Bij een internationale operatie waar opsporingsdiensten en techbedrijven aan deelnamen zijn honderden domeinnamen van het phishing-as-a-service platform Tycoon 2FA offline gehaald, zo melden Europol en Microsoft. Via Tycoon 2FA kunnen criminelen eenvoudig phishingaanvallen uitvoeren waarbij wordt geprobeerd om bijvoorbeeld inloggegevens van Google- of Microsoft-accounts te stelen.

Het platform biedt templates, de mogelijkheid om bijlagen te genereren, configuraties voor domeinen en hosting, instellingen voor het redirecten van slachtoffers naar phishingsites en tracking van slachtoffers. Wanneer gebruikers van Tycoon 2FA alles hadden ingesteld genereerde de dienst bijvoorbeeld .pdf- of .docx-bijlagen met QR-codes die naar de phishingsite wezen, of SVG-bestanden, HTML-bijlagen en redirect-links die dit deden.

De phishingsites leken op de inlogpagina's van Google of Microsoft. Daarbij fungeerden deze sites als een man-in-the-middle. Inloggegevens die slachtoffers invulden werden meteen op de echte inlogpagina geprobeerd. Wanneer slachtoffers tweefactorauthenticatie (2FA) hadden ingesteld kreeg het slachtoffer een zogenaamd 2FA-venster te zien. De ingevoerde 2FA-code werd vervolgens op de echte inlogpagina gebruikt.

Volgens Europol was Tycoon 2FA halverwege vorig jaar verantwoordelijk voor 62 procent van alle phishingaanvallen die Microsoft blokkeerde. Microsoft stelt dat het platform verantwoordelijk was voor tientallen miljoenen phishingmails per maand die naar meer dan 500.000 organisaties wereldwijd werden gestuurd. Via de dienst zouden sinds 2023 meer dan 96.000 unieke phishing-slachtoffers zijn gemaakt, waaronder meer dan 55.000 Microsoft-klanten.

"Tycoon 2FA-gebruikers konden bijna alle veelgebruikte multifactorauthenticatie (MFA) methodes omzeilen, waaronder sms-codes, one-time passcodes en pushnotificaties", aldus Microsoft. Bij een internationale operatie tegen het platform, waar Cloudflare, Coinbase, Intel471, Microsoft, Proofpoint, Shadowserver Foundation, SpyCloud, Trend Micro, Europol en opsporingsdiensten uit Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk aan deelnamen, zijn 330 domeinnamen van Tycoon 2FA offline gehaald. Ook zou de hoofdontwikkelaar van de dienst zijn geïdentificeerd. Microsoft adviseert organisaties en gebruikers om gebruik te maken van phishingbestendige MFA, zoals FIDO2 security keys.