Europol-Aktion legt grosse Phishing-Infrastruktur lahm

Eine große Phishing-as-a-Service-Plattform mit dem Namen „Tycoon 2FA“ ist im Rahmen einer internationalen Operation mit Unterstützung von Europol zerschlagen worden. Der Dienst ermöglichte Cyberkriminellen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und sich unbefugt Zugang zu Online-Konten zu verschaffen.

Die Plattform bot ein abonnementbasiertes Toolkit, mit dem Angreifer Authentifizierungssitzungen in Echtzeit abfangen konnten. Dadurch konnten sie sich Zugang zu E-Mail-Konten und Cloud-Diensten verschaffen – selbst wenn diese durch zusätzliche Sicherheitsmaßnahmen geschützt waren.

Im Rahmen der Operation wurden 330 Domains abgeschaltet, die zur Infrastruktur des Dienstes gehörten. Dazu zählten Phishing-Webseiten sowie Kontrollpanels für Cyberkriminelle.

Die technische Störung der Plattform wurde von Microsoft mit Unterstützung privater Partner durchgeführt. Strafverfolgungsbehörden aus Lettland, Litauen, Portugal, Polen, Spanien und dem Vereinigten Königreich beschlagnahmten zudem Teile der Infrastruktur. Die gesamte Aktion wurde vom Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol koordiniert.

„Tycoon 2FA“ war seit mindestens August 2023 aktiv und entwickelte sich zu einer der größten Phishing-Infrastrukturen weltweit. Über die Plattform wurden monatlich Millionen Phishing-E-Mails versendet.

Nach Angaben der Ermittler ermöglichte der Dienst Cyberkriminellen den Zugriff auf Konten von fast 100'000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen.

Bis Mitte 2025 standen laut Microsoft rund 62 Prozent aller blockierten Phishing-Versuche im Zusammenhang mit „Tycoon 2FA“.

Zusammenarbeit von Behörden und Privatunternehmen

Die Operation war das Ergebnis enger Zusammenarbeit zwischen Strafverfolgungsbehörden und Technologieunternehmen. Hinweise zu der Plattform wurden zunächst vom Sicherheitsunternehmen Trend Micro geliefert.

Im Rahmen des Cyber Intelligence Extension Programme (CIEP) arbeiteten Unternehmen wie Microsoft und Trend Micro eng mit Europol und nationalen Ermittlern zusammen. Europol koordinierte den Informationsaustausch und unterstützte die Analyse der technischen Infrastruktur.

Unterstützt wurden sie von mehreren privaten Partnern, darunter Microsoft, Cloudflare, Coinbase, Proofpoint, Shadowserver Foundation, SpyCloud, Intel471 und Trend Micro.

Die Ermittlungen dauern an. Die Behörden betonen, dass die internationale Zusammenarbeit entscheidend ist, um Cyberkriminalität und groß angelegte Phishing-Kampagnen wirksam zu bekämpfen.