Una delle principali piattaforme di phishing-as-a-service utilizzate per aggirare l’autenticazione a più fattori è stata smantellata grazie a un’operazione internazionale coordinata con il supporto di Europol. Il servizio, noto come Tycoon 2FA, offriva agli attori malevoli un toolkit in abbonamento capace di intercettare sessioni di autenticazione in tempo reale e facilitare l’accesso non autorizzato ad account online, anche protetti da sistemi di sicurezza aggiuntivi.
L’intervento ha portato all’interruzione e alla rimozione di 330 domini legati all’infrastruttura della piattaforma, comprese pagine di phishing e pannelli di controllo. L’azione tecnica è stata guidata da Microsoft insieme a partner privati, mentre il sequestro dell’infrastruttura è stato eseguito dalle autorità di diversi Paesi europei, tra cui Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito, sotto il coordinamento del Centro europeo per la lotta alla criminalità informatica di Europol.
Attiva almeno dall’agosto 2023, la piattaforma ha generato milioni di messaggi di phishing ogni mese e avrebbe consentito l’accesso illecito a decine di migliaia di organizzazioni nel mondo, tra cui istituzioni pubbliche, scuole e ospedali. Secondo le analisi riportate, entro la metà del 2025 rappresentava una quota significativa dei tentativi di phishing bloccati a livello globale.
L’operazione è stata resa possibile dalla collaborazione tra forze dell’ordine e settore privato attraverso il Cyber Intelligence Extension Programme di Europol, che ha favorito la condivisione di informazioni e competenze tecniche. Tra i partner coinvolti figurano aziende tecnologiche e organizzazioni di sicurezza che hanno contribuito all’analisi dell’infrastruttura e al supporto operativo.
