Phishing-Plattform Tycoon 2FA zerschlagen: Europol koordiniert internationalen Behördeneinsatz

Nach einer koordinierten Aktion unter Beteiligung von Strafverfolgungsbehörden aus sechs Ländern sowie mehreren Technologieunternehmen wurde die Phishing-as-a-Service-Plattform „Tycoon 2FA“ außer Betrieb gesetzt. Europol übernahm die Koordination der Operation über sein Europäisches Zentrum zur Bekämpfung der Cyberkriminalität (EC3).

Was hinter Tycoon 2FA steckte

Die Plattform wurde mindestens seit August 2023 betrieben und zählte zu den meistgenutzten Werkzeugen für groß angelegte Phishing-Kampagnen. Über ein Abonnementmodell konnten Kriminelle auf ein Toolkit zugreifen, das es erlaubte, laufende Authentifizierungssitzungen abzufangen – selbst bei Konten, die durch Multi-Faktor-Authentifizierung abgesichert waren.

Die Plattform generierte monatlich Millionen von Phishing-E-Mails und verschaffte unbefugten Zugang zu E-Mail- und Cloud-Diensten. Bis Mitte 2025 entfielen laut Microsoft etwa 62 Prozent aller von dem Unternehmen blockierten Phishing-Versuche auf Tycoon 2FA.

Umfang der Abschaltung

Im Zuge der Störungsmaßnahmen wurden insgesamt 330 Domains deaktiviert, darunter Phishing-Seiten sowie Kontrollpanels der Plattform. Die technische Umsetzung lag bei Microsoft, das dabei von einem Verbund privater Partner unterstützt wurde. Infrastrukturbeschlagnahmungen und weitere operative Schritte erfolgten durch Behörden in:

• Lettland (Staatspolizei)
• Litauen (Kriminalpolizei)
• Portugal (Kriminalpolizei)
• Polen (Zentrale Behörde für Cyberkriminalität)
• Spanien (Nationale Polizei und Guardia Civil)
• Vereinigtem Königreich (Nationale Kriminalbehörde)

Öffentlich-private Zusammenarbeit als Grundlage

Den Ausgangspunkt der Ermittlungen bildeten Informationen von Trend Micro, die über die Beratungsgruppen und operativen Netzwerke des EC3 verteilt wurden. Im Rahmen von Europols Cyber Intelligence Extension Programme (CIEP) arbeiteten Vertreter der Privatwirtschaft gemeinsam mit EC3-Analysten und nationalen Ermittlern an der Entwicklung einer koordinierten Einsatzstrategie.

Folgende private Unternehmen und Organisationen waren über Europol in die Operation eingebunden:

• Cloudflare
• Coinbase
• Intel471
• Microsoft
• Proofpoint
• Shadowserver Foundation
• SpyCloud
• Trend Micro

Das CIEP-Programm von Europol

Das Cyber Intelligence Extension Programme ist das erste Europol-Programm seiner Art. Es ermöglicht Experten aus dem Privatsektor, zeitlich begrenzt am Hauptsitz in Den Haag mit EC3-Mitarbeitern zusammenzuarbeiten. Ziel ist die Bündelung von Fachwissen zur Unterstützung operativer Maßnahmen gegen Cyberkriminalität – darunter die Abschaltung krimineller Infrastrukturen über Ländergrenzen hinweg sowie der zeitnahe Austausch über neue Angriffsmethoden.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk