Europol e Microsoft smantellano la piattaforma Tycoon2FA

Microsoft e altre aziende hanno smantellato la piattaforma Tycoon2FA con il coordinamento di Europol. Si tratta di una piattaforma PaaS (Phishing-as-a-Service) utilizzata dai cybercriminali per inviare oltre 10 milioni di email di phishing al mese. All’operazione internazionale hanno partecipato anche Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud e Trend Micro, oltre alle forze dell’ordine di Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito,

Descrizione della piattaforma Tycoon2FA

Tycoon2FA era attiva da agosto 2023. In cambio di un abbonamento (120 dollari per 10 giorni), i cybercriminali avevano accesso ad un kit di phishing e al panello di controllo degli attacchi informatici. In pochi mesi sono state colpite circa 100.000 organizzazioni nel mondo, incluse scuole, ospedali e istituzioni pubbliche. Microsoft evidenzia che oltre 500.000 organizzazioni hanno ricevuto email di phishing ogni mese (oltre 30 milioni a metà 2025).

Al termine dell’operazione internazionale sono stati sequestrati e chiusi oltre 330 domini dell’infrastruttura, inclusi quelli usati per il pannello di controllo e le pagine di login fasulle (Microsoft 365, OneDrive, Outlook, SharePoint e Gmail). Tycoon2FA consentiva di creare email apparentemente legittime e pagine di accesso simili a quelle reali. Le ignare vittime (dipendenti delle organizzazioni) cadevano nella trappola e inserivano le credenziali di login.

Tycoon2FA permetteva inoltre di aggirare l’autenticazione multi-fattore tramite attacchi AitM (Adversary-in-the-Middle). In pratica venivano intercettati codici MFA e cookie di sessione con server proxy. Le vittime venivano indirizzate verso la pagine di login attraverso codici QR o JavaScript presenti negli allegati alle email.

Per evitare la rilevazione degli attacchi erano disponibili varie tecniche, tra cui offuscamento del codice, pagine dinamiche e CAPTCHA. Le credenziali e i cookie di sessione potevano essere visualizzati nel pannello di controllo e inoltrate a canali Telegram per il monitoraggio in tempo reale.

Tutti i dettagli sono disponibili sul sito Microsoft. L’azienda di Redmond consiglia di eliminare le tradizionali password e usare passkey, Windows Hello for Business o chiavi di sicurezza hardware FIDO2.