Thought Leadership
Eine internationale Kooperation aus Sicherheitsfirmen und Behörden hat die Infrastruktur von Tycoon 2FA, einer der meistgenutzten Phishing-as-a-Service-Plattformen, erfolgreich zerstört.
Tycoon 2FA war insbesondere für Adversary-in-the-Middle-Angriffe (AiTM) bekannt, die Multi-Faktor-Authentifizierung (MFA) umgehen und Konten vollständig übernehmen konnten. An der Aktion beteiligt waren unter anderem Proofpoint, Microsoft, Europol und Cloudflare.
Laut Proofpoint waren im Jahr 2025 99 Prozent der Unternehmen von Kontoübernahmeversuchen betroffen, bei 67 Prozent gelang die Übernahme tatsächlich. Auffällig: 59 Prozent der übernommenen Konten waren durch MFA geschützt. Selena Larson, Staff Threat Researcher bei Proofpoint, erläutert: „Der Zugriff auf Unternehmens-E-Mail-Konten ist oft der erste Schritt in einer Angriffskette, die zerstörerische Konsequenzen nach sich ziehen kann.“
Die von Tycoon 2FA initiierten Kampagnen betrafen Zehntausende Konten in Branchen wie Gesundheitswesen, Bildung, Regierung und Verteidigung. Mit der Abschaltung der Plattform soll die weltweite Produktivität der AiTM-Phishing-Aktivitäten deutlich eingeschränkt werden.
Vorgehensweise der Angreifer
Die Angriffe liefen meist über E-Mail-Kampagnen, die bösartige Links, QR-Codes oder Anhänge enthielten. Nutzer wurden zu vom Angreifer kontrollierten Websites geleitet, die sich als legitime Anmeldeportale von Microsoft oder Google ausgaben. Oft wurden sogar Branding-Elemente wie das Azure Active Directory der Zielorganisation eingeblendet, um die Authentizität zu simulieren. Diese Social-Engineering-Komponente erhöhte die Wahrscheinlichkeit, dass Opfer ihre Anmeldedaten preisgaben.
Kampagnen variierten stark im Umfang: Einige betrafen nur wenige Nachrichten, andere verschickten Millionen von Mails. Die Dauer reichte von einem einzelnen Tag bis zu einer Woche.
Bedeutung der Abschaltung
Die Zerschlagung von Tycoon 2FA zeigt, dass die Bekämpfung von Cyberkriminalität internationale Zusammenarbeit zwischen privaten Sicherheitsunternehmen und Behörden erfordert. Proofpoint beobachtete die Aktivitäten der Plattform seit 2024 kontinuierlich und identifizierte die Betreiber sowie die genutzten Taktiken. Selena Larson betont: „Die Abschaltung der mit Tycoon 2FA verbundenen Infrastruktur und die Identifizierung der Person, die mutmaßlich für die Entwicklung dieses produktiven Hacking-Tools verantwortlich ist, werden erhebliche Auswirkungen auf das gesamte MFA-Credential-Phishing haben.“
AiTM-Phishing bleibt eine der effektivsten Methoden, um selbst durch MFA geschützte Konten zu kompromittieren. Die Abschaltung von Tycoon 2FA ist ein wichtiger Schritt, um Unternehmen weltweit zu schützen, zeigt jedoch auch, wie ausgefeilt und professionell die heutige Cyberkriminalität agiert. Kontinuierliches Monitoring, Schulungen und technische Sicherheitsmaßnahmen bleiben entscheidend, um Angriffe frühzeitig zu erkennen und zu verhindern.
