Hoe phishingdienst Tycoon 2FA ten onder ging

donderdag, 5 maart 2026 (16:09) - Techzine

In dit artikel:

Microsoft en Europol, samen met nationale opsporingsdiensten en securitybedrijven, hebben de phishing-as-a-service dienst Tycoon 2FA verstoord en 330 actieve domeinen in beslag genomen op basis van een vonnis van de U.S. District Court for the Southern District of New York. De actie, aangekondigd onlangs, was de eerste gezamenlijke inzet met Europols Cyber Intelligence Extension Programme (CIEP); aanvullende maatregelen liepen via autoriteiten in Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk. Ondersteuning kwam van partijen als Trend Micro, Proofpoint, Cloudflare, Intel471, eSentire, SpyCloud, Coinbase en Shadowserver.

Tycoon 2FA, actief sinds ten minste 2023, fungeerde als een plug-and-play phishingplatform waarmee duizenden cybercriminelen inloggegevens en sessietokens konden stelen — ook van accounts die met multi-factor authentication (MFA) beschermd waren. Microsoft schat dat het platform halverwege 2025 verantwoordelijk was voor ongeveer 62% van de phishingpogingen die het blokkeerde, ongeveer 30 miljoen kwaadaardige e-mails per maand. Sinds 2023 zijn naar schatting 96.000 slachtoffers getroffen, waarvan ruim 55.000 klanten van Microsoft; zorg- en onderwijsinstellingen liepen bijzondere schade op, onder meer meer dan 100 leden van Health-ISAC in Florida en meerdere ziekenhuizen en onderwijsinstellingen in New York.

Technisch gebruikte Tycoon overtuigende nepsites en real-time proxy‑technieken om MFA-codes en sessiedata af te vangen. Links varieerden van PDF- en SVG-bestanden tot cloud- en delingslinks; voorafgaande controles (domeinchecks, CAPTCHA-detectie, scanners) moesten detectie en bots helpen vermijden. De dienst was goedkoop en laagdrempelig (circa $120–$350 per maand), waardoor minder ervaren daders toch effectieve campagnes konden draaien.

De verstoring legt cruciaal infrastructuur van de groep plat, maar waarschuwt ook dat andere diensten het vacuüm kunnen opvullen. Microsoft zegt door te gaan met gerichte acties; eerdere stilleggingen betroffen onder meer RedVDS, Lumma Stealer en RaccoonO365.