Internationale Strafverfolgungsbehörden haben unter Koordination von Europol die Plattform Tycoon2FA zerschlagen – eine der weltweit größten Phishing-as-a-Service (PhaaS)-Infrastrukturen, die speziell auf den Bypass von Multi-Faktor-Authentifizierung (MFA) ausgerichtet war. Im Zuge der Aktion wurden 330 Domains beschlagnahmt, darunter Verwaltungsoberflächen für Betreiber und Phishing-Seiten, die in realen Angriffen eingesetzt wurden.
Internationale Operation gegen Tycoon2FA und Rolle der Industrie
Die technische Koordination übernahm Microsoft, das eigene Incident-Response-Teams und ein Netzwerk privater Partner einband. Die eigentliche Infrastruktur-Beschlagnahme erfolgte durch Behörden in Lettland, Litauen, Portugal, Polen, Spanien und dem Vereinigten Königreich. Dieses Modell der verteilten Zuständigkeiten spiegelt den modernen Ansatz in der Cybercrime-Bekämpfung: geteilte Bedrohungsdaten, automatisierter IOC-Austausch und enges juristisches Zusammenwirken über Grenzen hinweg.
Auslöser der Ermittlungen waren erste technische Hinweise von Trend Micro zu Infrastruktur und Aktivität der Plattform. Danach beteiligten sich zahlreiche weitere Unternehmen und Organisationen, darunter Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Resecurity und andere. Wie bereits die ENISA Threat Landscape und der Verizon Data Breach Investigations Report (DBIR) betonen, ist die Zerschlagung großer PhaaS-Ökosysteme ohne diese enge Kooperation zwischen Privatwirtschaft und Strafverfolgern kaum möglich.
Tycoon2FA als Phishing-as-a-Service: Umfang und Geschäftsmodell
Tycoon2FA (auch Tycoon 2FA, Betreibergruppe Storm‑1747) war seit August 2023 aktiv und bot Kriminellen ein vollautomatisiertes Toolkit für Phishing-Kampagnen. Nach Angaben von Microsoft generierte der Dienst bis Mitte 2025 monatlich zig Millionen Phishing‑E-Mails und nahm mehr als 500.000 Organisationen weltweit ins Visier. In der beobachteten Telemetrie war Tycoon2FA für bis zu 60 % aller blockierten Phishing-Angriffe verantwortlich.
Rund 100.000 Organisationen – darunter Behörden, Bildungs- und Gesundheitseinrichtungen – sollen realen Schaden genommen haben. Besonders kritisch: Der Zugang zum Dienst wurde über Telegram verkauft, mit Preisen von etwa 120 US‑Dollar für 10 Tage. Diese niedrige Einstiegshürde senkt sowohl die technischen Anforderungen als auch die Kosten und erlaubt es selbst wenig versierten Tätern, komplexe Angriffe im industriellen Maßstab zu fahren.
Adversary-in-the-Middle: So umging Tycoon2FA klassische MFA
Session-Hijacking über Reverse-Proxy
Technisch agierte Tycoon2FA als typische Adversary-in-the-Middle (AitM)-Plattform. Über einen Reverse-Proxy wurden in Echtzeit Zugangsdaten und Session-Cookies abgegriffen. Die Täter betrieben täuschend echte Login-Seiten für Microsoft 365, OneDrive, Outlook, SharePoint und Gmail, die für Opfer wie die legitimen Anmeldemasken wirkten.
Sobald ein Nutzer Benutzername, Passwort und MFA-Code eingab, leitete der Proxy diese Informationen sofort an den tatsächlichen Authentifizierungsdienst weiter. Für das Opfer sah der Ablauf wie ein normaler Login aus – im Hintergrund jedoch erhielt der Angreifer vollständigen Zugriff auf eine bereits authentifizierte Sitzung. Kritisch ist, dass viele der erbeuteten Tokens und Cookies auch nach Passwortänderung gültig blieben, solange aktive Sitzungen nicht explizit beendet und Tokens widerrufen wurden.
Grenzen klassischer MFA und Bedarf an phishingresistenter MFA
Der Fall Tycoon2FA verdeutlicht die strukturellen Grenzen von SMS‑Codes, TOTP‑Apps und einfachen Push-MFA. In einer AitM-Situation wird der Einmalcode nicht „gestohlen und später genutzt“, sondern in der Sekunde der Eingabe zum echten Dienst durchgereicht. Die MFA-Prüfung wird damit zwar formal bestanden, aber im Interesse des Angreifers.
Führende Leitfäden wie NIST SP 800‑63 und die Empfehlungen von FIDO Alliance fordern daher verstärkt phishingresistente MFA, etwa FIDO2/WebAuthn, Hardware-Sicherheitsschlüssel und passkey-basierte Logins. Diese Verfahren binden die Authentifizierung kryptografisch an die echte Domain und sind gegenüber AitM-Proxies deutlich robuster.
Konsequenzen für Unternehmen: Starke Kontosicherheit und Zero-Trust-Ansätze
Tycoon2FA zeigt, wie ausgereift der Markt für Phishing-as-a-Service inzwischen ist. Professionelle Plattformen nehmen Kriminellen die technische Schwerarbeit ab und demokratisieren hochwirksame Angriffswerkzeuge. Besonders kleine und mittelständische Unternehmen laufen Gefahr, sich mit basisnaher MFA und einfachen Mailfiltern in trügerischer Sicherheit zu wiegen.
Organisationen sollten ihre Architektur für Identitäts- und Zugriffsschutz kritisch prüfen. Zentrale Bausteine sind phishingresistente MFA (Hardware-Keys, passkeys), verkürzte Session-Laufzeiten, strenge Token-Revocation-Policies sowie Conditional Access auf Basis von Gerät, Standort und Risiko. Ergänzend sind fortgeschrittene E‑Mail- und Webfilter, konsequente Nutzung von DMARC, SPF und DKIM sowie die Überwachung auffälliger Logins (z. B. „unmögliche Reise“, neue Geräte, ungewöhnliche Uhrzeiten) essenziell.
Die Zerschlagung von Tycoon2FA ist ein wichtiger Erfolg, wird das PhaaS‑Modell aber nicht verschwinden lassen – in der Praxis entstehen schnell Nachfolger mit angepassten Taktiken. Unternehmen sollten deshalb ihre Zero‑Trust‑Strategien ausbauen, regelmäßig MFA- und Identitätsschutz-Audits durchführen und Mitarbeitende systematisch im Erkennen moderner Phishing‑Angriffe schulen. Wer AitM‑Attacken als normale Alltagsthreat einplant und frühzeitig auf phishingresistente Verfahren umstellt, reduziert nachweislich die Auswirkungen künftiger Kampagnen.
