Europol und Tech-Unternehmen wie Microsoft, Trend Micro und Cloudflare haben die Phishing-Plattform Tycoon 2FA in einer internationalen Operation zerschlagen. Die Plattform war für etwa 62 Prozent aller blockierten Phishing-Versuche Microsofts verantwortlich und hatte über 96.000 Opfer.
Eine der gefährlichsten und meistgenutzten Phishing-Plattformen der Bedrohungslandschaft ist vorerst vom Netz genommen worden. Europol führte gemeinsam mit Partnern aus der Privatwirtschaft — darunter Microsoft, Trend Micro und Cloudflare — eine internationale Operation gegen Tycoon 2FA durch, eine sogenannte Phishing-as-a-Service-Plattform (PhaaS). Im Rahmen von Europols Cyber Intelligence Extension Programme (CIEP) sperrte Microsoft 330 Domains, die als Kontrollpanels und gefälschte Login-Seiten der Plattform dienten.
Strafverfolgungsbehörden beschlagnahmten Tycoon-2FA-Infrastruktur in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien. Der Schlag gegen eine der weltweit größten PhaaS-Plattformen trifft ein System, das seit seiner Entdeckung 2023 Sicherheitsteams erhebliche Probleme bereitet hat.
“Bis Mitte 2025 war Tycoon 2FA für etwa 62 Prozent aller von Microsoft blockierten Phishing-Versuche verantwortlich — mehr als 30 Millionen E-Mails pro Monat”, erklärte Steven Masada, stellvertretender Generalanwalt der Digital Crimes Unit von Microsoft. Die Plattform hatte schätzungsweise 96.000 verschiedene Phishing-Opfer, darunter über 55.000 Microsoft-Kunden.
Phishing-Baukästen und PhaaS-Plattformen vereinfachen Angreifern seit Jahren ihre Arbeit, indem sie Werkzeuge bereitstellen, um authentische E-Mails und betrügerische Seiten zu erstellen. Für moderate Gebühren können auch weniger versierte Cyberkriminelle solche Services abonnieren und massenweise Attacken durchführen.
Tycoon 2FA unterschied sich durch eine besonders raffinierte Technik: Ein MFA-Bypass-System, das echte Microsoft-365- und Google-Login-Seiten als Proxy missbrauchte. Statt Fake-Seiten zu zeigen, leitete die Plattform echte Anmeldungen weiter — ein Adversary-in-the-Middle-Angriff. Wenn Opfer ihre Zugangsdaten und MFA-Codes eingaben, übermittelte Tycoon 2FA diese an den echten Dienst, fing aber die zurückgesendeten Authentifizierungstoken ab.
“Im Gegensatz zu traditionellen Phishing-Kits, die nur statische Passwörter stehlen, erfasste Tycoon 2FA Authentifizierungsaufforderungen in Echtzeit, um aktive Session-Token und Cookies zu interceptieren”, erläuterte Cloudflare. Dies machte SMS-Codes, Authentifizierungs-Apps und Push-Benachrichtigungen unwirksam. Angreifer konnten die gestohlenen Tokens importieren und damit vollständigen Zugriff auf Konten erlangen — oft für Business-Email-Compromise-Kampagnen.
Tycoon 2FA erschien 2023 zunächst über Telegram und wurde für etwa 120 Dollar angeboten. Die Plattform war besonders beliebt, weil sie regelmäßig aktualisiert wurde und eine benutzerfreundliche Oberfläche bot — selbst für unerfahrene Hacker. Anti-Analyse-Techniken wie Verschleierung und CAPTCHAs erschwerten Sicherheitsforschern die Verfolgung.
“Die regelmäßigen Updates zwangen Forscher, ständig an der Detektion zu arbeiten”, erklärt Selena Larson von Proofpoint. Ähnliche Plattformen wie VoidProxy und Starkiller nutzen vergleichbare MFA-Bypass-Methoden.
Die Schwachstelle verdeutlicht ein grundlegendes Problem traditioneller MFA-Systeme. Sicherheitsexperten empfehlen daher den Wechsel zu phishing-resistenten MFA-Lösungen wie FIDO2-Hardware-Keys oder Passkeys. Larson meint, dass sich mehr Organisationen damit befassen sollten: “Physische Schlüssel und MFA-Systeme, die durch Conditional-Access-Richtlinien gesteuert werden, bieten großartigen Schutz.”
Trend Micro warnt jedoch: “Betreiber passen sich normalerweise an und migrieren zu neuer Infrastruktur.” Die Partner — auch Intel471, Coinbase, Shadowserver Foundation und SpyCloud — werden Tycoon-2FA-Aktivitäten weiter überwachen und auf Comeback-Versuche achten. Gestohlene Anmeldedaten und Session-Cookies zirkulieren noch immer im Darknet.
Quelle: Dark Reading