Eine internationale Koalition aus Strafverfolgungsbehörden und Cybersicherheitsunternehmen hat die Infrastruktur von Tycoon 2FA abgeschaltet – einer der bislang grössten Phishing-as-a-Service (PhaaS)-Plattformen. Der Dienst spezialisierte sich auf Adversary-in-the-Middle (AitM)-Angriffe, mit denen Multi-Faktor-Authentifizierung (MFA) systematisch umgangen und Zugangsdaten im industriellen Massstab gestohlen wurden.
Tycoon 2FA: Phishing-as-a-Service für komplexe AitM-Angriffe
Tycoon 2FA tauchte im August 2023 in Untergrundforen auf und entwickelte sich laut Europol rasch zu einer der grössten globalen Phishing-Operationen. Das Geschäftsmodell folgte einem klaren Subscription-Ansatz: Rund 120 US-Dollar für 10 Tage Grundzugang, etwa 350 US-Dollar pro Monat für den Vollzugriff auf eine zentrale Web-Administrationsoberfläche.
Über dieses Web-Panel konnten Kriminelle ihre Kampagnen nahezu komplett automatisiert steuern. Die Plattform bot vorgefertigte Phishing-Templates für weit verbreitete Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint, Gmail und andere Business-Anwendungen. Angreifer wählten das Ziel, banden Dateien oder Links als Köder ein, konfigurierten Weiterleitungen und verwalteten Domains und Hosting mit wenigen Klicks.
Die Plattform stellte zudem umfangreiche Auswertungen bereit: Erfolgsquoten, gescheiterte Logins sowie den Export der gestohlenen Logins, Passwörter, MFA-Codes und Session-Cookies. Auf Wunsch konnten die Daten nahezu in Echtzeit über Telegram bereitgestellt werden. Damit senkte Tycoon 2FA die technischen Hürden so stark, dass selbst unerfahrene Akteure komplexe AitM-Phishingkampagnen durchführen konnten.
Angriffsvolumen: Zehntausende Vorfälle und Millionen Phishing-Mails
Nach Erkenntnissen von Europol ermöglichte Tycoon 2FA monatlich die Versendung von Zehntausenden bis Millionen Phishing-E-Mails und führte zu unautorisierten Zugriffen auf nahezu 100 000 Organisationen weltweit, darunter Schulen, Krankenhäuser und Behörden. Im Rahmen der Zerschlagung wurden 330 Domains der PhaaS-Infrastruktur vom Netz genommen.
Das Threat-Intelligence-Unternehmen Intel 471 bringt Tycoon 2FA mit über 64 000 Phishing-Vorfällen und Zehntausenden Domains in Verbindung, die für Versand und Hosting missbraucht wurden. Microsoft beobachtete die Betreiber unter dem Namen Storm-1747 und klassifizierte Tycoon 2FA als aktivste Phishing-Plattform des Jahres 2025; allein Microsoft blockierte mehr als 13 Millionen zugehörige schädliche E-Mails.
Proofpoint verzeichnete im Februar 2026 über 3 Millionen AitM-Phishing-Nachrichten, die dieser Toolchain zugeschrieben werden. Trend Micro schätzte die Zahl der aktiven Kunden von Tycoon 2FA auf rund 2 000, die Kampagnen quer durch alle Branchen fuhren. Insgesamt erreichten über diese Infrastruktur monatlich Phishing-Mails mehr als 500 000 Organisationen.
Technische Arbeitsweise: AitM-Proxy hebelt MFA und Sessions aus
Der Kern der Gefahr lag im Adversary-in-the-Middle-Ansatz. Statt gefälschte Login-Seiten isoliert zu hosten, setzte Tycoon 2FA auf einen Proxy-Server zwischen Opfer und legitimen Dienst – beispielsweise Microsoft 365. Für Nutzer sah alles korrekt aus: URL in der Mail, Login-Maske, MFA-Abfrage. Tatsächlich liefen sämtliche Eingaben aber durch die PhaaS-Infrastruktur.
Während der Anmeldung wurden gleichzeitig:
- Benutzername und Passwort abgegriffen,
- der eingegebene MFA-Code mitgeschnitten,
- und vor allem die vom echten Dienst ausgestellten Session-Cookies und Tokens übernommen.
Diese Session-Cookies erlaubten es Angreifern, dauerhaft auf Konten zuzugreifen – selbst nach einer Passwortänderung, solange die Sitzung nicht explizit beendet und die Tokens widerrufen wurden. Klassische Sofortmassnahmen wie „Passwort zurücksetzen“ reichen in solchen Szenarien daher nicht mehr aus.
Zur Erschwerung der Erkennung nutzte Tycoon 2FA Techniken wie Bot-Filter, Browser-Fingerprinting, eigene CAPTCHAs, stark verschleierten JavaScript-Code und kurzlebige Fully Qualified Domain Names (FQDN) mit Laufzeiten von teils nur 24–72 Stunden. Die Nutzung von Cloudflare-Hosting und einer Vielzahl von TLDs erschwerte Blacklists und statische Blockregeln zusätzlich.
ATO Jumping: Vom kompromittierten Konto zur nächsten Angriffswelle
Ein weiteres Merkmal der Tycoon-2FA-Kampagnen war intensives Account Takeover Jumping (ATO Jumping). Sobald ein Postfach kompromittiert war, diente es als Sprungbrett: Von dort aus wurden neue Tycoon-2FA-Links an Kontakte und interne Verteiler versendet. Da diese E-Mails von realen, bekannten Absenderadressen stammten, stieg die Erfolgswahrscheinlichkeit signifikant – sowohl bei Menschen als auch beim Umgehen technischer Filter.
Solche PhaaS-Angebote „demokratisieren“ hochentwickelte Angriffe: Kenntnisse in Webentwicklung, Infrastrukturaufbau oder Umgehung von Sicherheitsmechanismen werden durch fertige Baukästen ersetzt. Das vergrössert die Angreiferbasis und erhöht den Druck auf Organisationen jeder Grösse.
Konsequenzen und Schutzmassnahmen gegen AitM-Phishing
Eine Auswertung von Proofpoint zeigt, dass im Jahr 2025 99 % der Unternehmen mit Versuchen eines Account Takeovers konfrontiert waren, bei 67 % kam es mindestens einmal zum erfolgreichen Kontenmissbrauch. Auffällig: In 59 % der kompromittierten Konten war MFA aktiviert. Auch wenn nicht alle Fälle direkt auf Tycoon 2FA zurückgehen, unterstreicht dies die Wirksamkeit von AitM-Phishing gegen klassische MFA-Verfahren.
Organisationen sollten auf Basis dieser Erkenntnisse ihre Identitäts- und E-Mail-Sicherheitsstrategie anpassen:
- Einsatz von phishing-resistenter MFA wie FIDO2-Sicherheitsschlüsseln, Passkeys oder Smartcards anstelle von SMS-TAN und einfachen OTP-Apps.
- Konsequente Session-Kontrolle: Bei einem Sicherheitsvorfall nicht nur Passwörter ändern, sondern alle aktiven Tokens widerrufen und Sessions forcieren abmelden.
- Nutzung von Conditional-Access-Richtlinien mit Risikobewertung (ungewöhnliche IPs, Geolokation, Gerätetyp, anomale Login-Muster).
- Einführung moderner E-Mail-Security-Gateways und Anti-Phishing-Lösungen, die speziell AitM-Indikatoren und URL-Missbrauch berücksichtigen.
- Regelmässige , die auch Mails „von vertrauten Absendern“ und verdächtige Domains thematisieren.
- Erweitertes Monitoring von verdächtigem Benutzerverhalten wie Massenmails aus einzelnen Konten, ungewöhnliche Dateioperationen oder Änderungen an MFA-Einstellungen.
Die Zerschlagung von Tycoon 2FA verdeutlicht, wie schnell Cyberkriminelle fortgeschrittene Techniken wie AitM-Phishing in skalierbare Services verwandeln. Unternehmen sollten MFA nicht als Endpunkt, sondern als Teil einer ganzheitlichen Identitäts- und E-Mail-Sicherheitsstrategie verstehen. Wer frühzeitig auf phishing-resistente Authentifizierung, granulare Session-Kontrolle und verhaltensbasierte Erkennung setzt, reduziert das Risiko, dass die nächste Generation von PhaaS-Plattformen zu einem geschäftskritischen Sicherheitsvorfall wird.
