Europol zerschlägt Phishing-Plattform Tycoon2FA

Europol hat die Infrastruktur der Phishing-as-a-Service-Plattform Tycoon2FA zerstört. Die internationale Operation traf ein Baukastensystem für Cyberkriminelle, das speziell die Zwei-Faktor-Authentifizierung (2FA) umging. Damit wurde ein zentraler Dienst für Identitätsdiebstahl lahmgelegt.

Angriffe wie durch Tycoon2FA verdeutlichen, wie verwundbar viele Organisationen trotz bestehender Sicherheitsvorkehrungen sind. Erfahren Sie in diesem kostenlosen E-Book, welche neuen Gesetze und Bedrohungen Geschäftsführer jetzt kennen müssen. Was Geschäftsführer über Cyber Security 2024 wissen müssen

So funktionierte die Betrugsmaschine

Tycoon2FA bot Kriminellen ein Abo-Modell: Für etwa 120 Dollar erhielten sie eine zehntägige Lizenz für eine vollautomatisierte Phishing-Infrastruktur. Rund 2.000 Nutzer bedienten sich zuletzt an dem Dienst.

Der Trick war eine sogenannte Adversary-in-the-Middle-Technik. Sie leitete Opfer auf perfekt gefälschte Login-Seiten von Diensten wie Microsoft 365 oder Gmail. Dort wurden nicht nur Benutzername und Passwort abgefangen, sondern auch der zweite Faktor – etwa ein SMS-Code. Entscheidend war jedoch der Diebstahl des aktiven Sitzungs-Cookies, der die 2FA komplett aushebelte.

Ein koordinierter Schlag von Behörden und Tech-Konzernen

Der Erfolg basierte auf einer ungewöhnlichen Allianz. Cybersicherheitsfirmen wie Trend Micro lieferten entscheidende Hinweise auf die Infrastruktur. Ein Branchenverbund mit Microsoft, Cloudflare und Coinbase unterstützte die Ermittlungen.

Microsoft reichte eine Zivilklage ein, die zur Abschaltung von über 330 zentralen Domains führte. Parallel führten Polizeibehörden in Lettland, Portugal, Spanien und weiteren Ländern Razzien durch. Die Ermittler identifizierten den mutmaßlichen Hauptbetreiber, der unter Pseudonymen wie "SaaadFridi" agierte.

Da Kriminelle immer raffiniertere Methoden nutzen, um Identitäten zu stehlen, wird der private Schutz des eigenen Smartphones zur Pflichtaufgabe. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und sensible Daten mit fünf einfachen Maßnahmen effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Fast 100.000 Organisationen betroffen

Die Plattform war seit August 2023 aktiv und nutzte über 24.000 Domains für ihre Angriffe. Fast 100.000 Organisationen weltweit wurden getroffen, darunter Krankenhäuser, Universitäten und Behörden.

Die geografische Verteilung zeigt die globale Reichweite: Über die Hälfte der Opfer saß in den USA, etwa acht Prozent im Vereinigten Königreich und rund fünf Prozent in Deutschland.

Ein Weckruf für die Sicherheit

Der Fall zeigt eine beunruhigende Entwicklung: Cyberkriminelle industrialisieren ihre Angriffe und senken so die Einstiegshürden. Phishing-as-a-Service ermöglicht auch technisch weniger versierten Tätern hochkomplexe Attacken.

Tycoon2FA wurde zudem immer raffinierter. Neuere Versionen setzten auf Code-Verschleierung und dynamische CAPTCHAs, um die Erkennung zu erschweren. Für Sicherheitsexperten ist klar: Die bloße Existenz einer Zwei-Faktor-Authentifizierung reicht heute nicht mehr aus.

Was Nutzer jetzt tun sollten

Die Ermittlungen laufen weiter. Die gesicherten Daten sollen helfen, die tausenden Kunden der Plattform zu identifizieren. Cybersicherheitsfirmen beobachten bereits, ob der Dienst unter neuem Namen wiederaufersteht.

Für Unternehmen und Privatpersonen bleibt die wichtigste Lehre: Sicherheitsmaßnahmen müssen überprüft werden. Experten empfehlen phishing-resistente Methoden wie FIDO2-Hardwareschlüssel. Die Wachsamkeit jedes Einzelnen ist aber nach wie vor die erste Verteidigungslinie.