7 uren geleden
1
Microsoft heeft samen met Europol en internationale partners de phishing-as-a-service-dienst Tycoon 2FA verstoord. De dienst stuurde maandelijks tientallen miljoenen frauduleuze e-mails naar meer dan 500.000 organisaties en omzeilde multifactorauthenticatie. Microsoft legde beslag op 330 actieve domeinen via een Amerikaanse rechtbank.
Tycoon 2FA, een Phishing-as-a-Service (PhaaS)-platform, stelde duizenden cybercriminelen in staat inloggegevens en sessietokens te stelen. Zelfs accounts beveiligd met MFA waren via een enkele e-mail te compromitteren. De dienst was actief sinds minstens 2023 en groeide snel uit tot één van de meest gebruikte phishingplatforms ter wereld.
De actie werd gisteravond bekendgemaakt. Op basis van een rechtbankbevel van de U.S. District Court for the Southern District of New York legde Microsoft beslag op 330 domeinen. Het was de eerste keer dat dit gebeurde in samenwerking met het Cyber Intelligence Extension Programme (CIEP) van Europol. Autoriteiten in Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk voerden aanvullende operationele maatregelen uit. Tevens hielpen onder meer Trend Micro, Proofpoint, Cloudflare en Intel471 aan het onderzoek.
Omdat cyberaanvallers veelal van kwaadaardige dienstverlener wisselden, waren veel Tycoon 2FA-gebruikers afkomstig van eerder offline gehaalde diensten. Ondanks de disruptie zal een andere service vermoedelijk het gat vullen, maar de gecoördineerde campagne heeft de infrastructuur van de aanvaller offline gehaald. Enkel door de data van verschillende autoriteiten en bedrijven te combineren kon Tycoon 2FA op deze wijze zijn aangevallen. Losse acties hadden de dienst de kans gegeven om elders nieuwe infrastructuur op te bouwen of gearresteerde leden op te pakken. Er is niet bekend of de huidige campagne samenging met arrestaties; dat was bij eerdere acties wel het geval in Egypte en Nigeria.
Omvang van de schade
Halverwege 2025 was Tycoon 2FA verantwoordelijk voor circa 62 procent van alle phishingpogingen die Microsoft blokkeerde, concludeert het bedrijf. Dat kwam neer op 30 miljoen e-mails per maand. Wereldwijd telt de dienst naar schatting 96.000 slachtoffers sinds 2023, van wie meer dan 55.000 Microsoft-klanten. Zorg- en onderwijsinstellingen waren het zwaarst getroffen: meer dan 100 leden van Health-ISAC in de Amerikaanse staat Florida werden met succes gephisht. Alleen al in New York waren ten minste twee ziekenhuizen, zes gemeentelijke scholen en drie universiteiten slachtoffer van een poging of geslaagde aanval.
Tycoon 2FA combineerde overtuigende phishingtemplates, realistische inlogpagina’s en real-time onderschepping van inloggegevens en authenticatiecodes. De technische drempel was volgens Microsoft laag. Criminelen met beperkte expertise konden zo toch geavanceerde phishingcampagnes uitvoeren, aldus Europol. De dienst werd aangeboden voor circa 120 tot 350 dollar per maand.
Omzeilen van MFA
Het opvallendste wapenfeit van Tycoon 2FA zit in de omzeiling van MFA. De links die de aanvallers deelden, varieerden van PDF-documenten tot SVG-bestanden, kwaadaardige websites, PowerPoint-presentaties, e-mails, S3-buckets en Canva- of Dropbox-links. Voordat het slachtoffer werd omgeleid, vondt een controle plaats op de domeinnaam, CAPTCHA, eventuele scanners en debuggers. Met deze maatregelen voorkwamen de aanvallers dat securitydiensten op eenvoudige wijze hun campagne ontdekten en hield men botverkeer tegen.
Een neppe inlogpagina onderschepte reacties van legitieme Microsoft-servers om de MFA-code te stelen. Zo konden credentials worden gestolen en alsnog doorgespeeld naar Microsoft zelf. Doordat de pagina er legitiem uitziet, hebben slachtoffers niet door dat ze alles van e-maildata tot MFA-codes en IP-adres doorgeven aan de malafide groep.
Deel van een groter ecosysteem
Tycoon 2FA was een gezamenlijk initiatief. De primaire ontwikkelaar, Saad Fridi, vermoedelijk werkend vanuit Pakistan, werkte samen met partners voor marketing, betalingen en technische ondersteuning. Cybercriminelen koppelden de dienst regelmatig aan andere illegale services. Zo leverde RedVDS, in januari 2026 al verstoord door Microsoft, goedkope virtual desktops waarmee phishingcampagnes werden opgezet en verspreid.
Proofpoint, Intel 471, eSentire en Cloudflare ondersteunden de operatie. Trend Micro leverde threat intelligence. SpyCloud hielp om slachtofferdata te verzamelen en Coinbase traceerde gestolen fondsen. De Shadowserver Foundation informeerde daarnaast meer dan 200 CERT-teams wereldwijd.
Eerdere groeperingen die door Microsoft en co zijn neergehaald, zijn Lumma Stealer en RaccoonO365. Meer zullen volgens het bedrijf nog volgen, want de campagne om dergelijke aanvallers neer te halen, wordt voortgezet.
Lees ook: Aantal phishing-aanvallen verdubbeld in een jaar tijd
/s3/static.nrc.nl/wp-content/uploads/2026/03/02125523/020326BIN_2031383570_vlieland1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/03125407/030326CUL_2031852036_1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/02125001/030326BIN_2031523758_maastricht1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/03/03093353/030326BUI_2031971971_1.jpg)
English (US) ·