Die Phishing-as-a-Service-Plattform Tycoon 2FA scheint für Strafverfolgungsbehörden ein Gegner zu sein, der schwer zu bezwingen ist. Weniger als eine Woche nach der koordinierten internationalen Aktion im März haben die Betreiber ihre Operationen wieder vollständig hochgefahren. Dies ist eine bemerkenswerte Demonstration der Widerstandsfähigkeit von professioneller organisierten Cyberkriminalität.
Die Zahlen sind beeindruckend und beängstigend zugleich. Tycoon 2FA ist für etwa 96.000 bekannte Phishing-Opfer weltweit verantwortlich. Das Volumen der Angriffe ist gigantisch: Über 30 Millionen bösartige E-Mails monatlich, was zeigt, dass diese Plattform zu einem der Hauptwerkzeuge für Phishing-Kampagnen geworden ist. Microsoft erkannte die Gefahr und identifizierte, dass 62 Prozent aller in seinem System blockierten Phishing-Versuche im Jahr 2025 von dieser Plattform stammten.
Die Angriffsmethoden sind clever und zielgerichtet. Tycoon 2FA nutzt gefälschte CAPTCHA-Seiten, um Session-Cookies zu stehlen. Über bösartige JavaScript-Dateien werden E-Mail-Adressen extrahiert und Anmeldedaten abgegriffen. Die so gewonnenen Zugangsdaten ermöglichen dann Zugriff auf Cloud-Umgebungen. CrowdStrike dokumentiert, dass die Betreiber diese Taktiken auch für Business-Email-Compromise-Angriffe, Thread-Hijacking und SharePoint-Kompromittierungen einsetzen.
Die Behördenaktion im März war beachtlich: 330 Domains wurden beschlagnahmt, und es wurden rechtliche Verfahren gegen mehrere Personen eingeleitet. Daran waren Behörden aus sechs Ländern und ein Dutzend private Unternehmen beteiligt. Ein klassisches Beispiel internationaler Cybercrime-Bekämpfung.
Doch der Erfolg war kurzlebig. Am 4. und 5. März, unmittelbar nach der Aktion, sank die Aktivität auf etwa 25 Prozent des normalen Niveaus. Doch bereits kurz darauf kehrten die Angriffszahlen zu den gewohnten Werten zurück. Dies deutet darauf hin, dass die Betreiber schnell auf neue Infrastruktur umgestiegen sind. CrowdStrike identifizierte sogar acht neue IP-Adressen, die vermutlich nach der Disruption akquiriert wurden, sowie Phishing-Domains, die bereits seit 2025 aktiv sind, aber nicht von den Behörden ins Visier genommen wurden.
Für deutsche Organisationen ist dies eine unbequeme Wahrheit: Die technische Bekämpfung von Phishing-Plattformen allein reicht offenbar nicht aus. Tycoon 2FA zeigt, dass selbst internationale Behördeneinsätze die Cyberkriminellen nur vorübergehend aufhalten können. Der Sektor braucht daher nicht nur Disruption, sondern auch präventive Maßnahmen auf organisatorischer Ebene – bessere Mitarbeiterschulung, robustere Multi-Faktor-Authentifizierung und schnellere Reaktion auf Kompromittierungen.