Microsoft en Europol ontmantelen phishingreus Tycoon 2FA

Een imperium van gestolen inloggegevens

Sinds de lancering in augustus 2023 groeide Tycoon 2FA razendsnel uit tot een dominante speler in het criminele circuit. Het platform bood 'Phishing-as-a-Service' aan: tegen betaling kregen criminelen toegang tot een gebruiksvriendelijk dashboard waarmee ze eenvoudig grootschalige aanvallen konden opzetten.

De techniek achter de dienst was geraffineerd. Tycoon 2FA maakte gebruik van zogenaamde Adversary-in-the-Middle (AiTM) aanvallen. Hierbij worden niet alleen wachtwoorden gestolen, maar ook tweestapsverificatie (MFA)-codes en sessiecookies onderschept. Hierdoor konden aanvallers direct accounts overnemen, zelfs als de gebruiker extra beveiliging had ingesteld.

De verstoring

Microsoft Threat Intelligence en Europol sloegen de handen ineen om de infrastructuur van de groep aan te pakken. Tijdens de operatie werden 330 actieve domeinen in beslag genomen. Hiermee is de kern van de operatie effectief ontmanteld.

Om detectie te omzeilen, gebruikte de dienst complexe omleidingsketens, aangepaste CAPTCHA's en versleutelde code. "Dit onderzoek laat zien hoe professioneel de phishing-industrie is geworden," aldus het Microsoft Defender Security Team.

Hoe u zich beschermt

Ondanks deze overwinning waarschuwt Microsoft dat organisaties alert moeten blijven. Het rapport adviseert drie cruciale stappen:

Stap over op phishing-resistente MFA (zoals hardware-sleutels of biometrie).

Zet geavanceerde beveiligingsoplossingen in die afwijkend gedrag detecteren.

Zorg voor een scherp protocol voor detectie en respons bij incidenten.

Lees alles over deze verstoringsactie en hoe Tycoon 2FA te werk ging in het officiële Microsoft onderzoek of in het Microsoft On the Issue blog.