Europol hat in einer koordinierten Aktion die Phishing-Plattform Tycoon 2FA abgeschaltet. Der Dienst ermöglichte es Kriminellen, per Abo-Modell professionelle Phishing-Kampagnen zu starten — und damit selbst Zwei-Faktor-Authentifizierung auszuhebeln. Microsoft- und Google-Konten waren besonders betroffen.
Phishing als Dienstleistung
Tycoon 2FA funktionierte als sogenannte Phishing-as-a-Service-Plattform (PhaaS). Kriminelle konnten ohne technisches Vorwissen über ein Abonnement fertige Phishing-Kampagnen buchen — inklusive täuschend echter Login-Seiten für Microsoft 365, Gmail und andere Dienste. Das Besondere: Die Plattform konnte Zwei-Faktor-Authentifizierung (2FA) umgehen, indem sie Session-Cookies in Echtzeit abfing.
Diese Technik, bekannt als Adversary-in-the-Middle (AitM), macht herkömmliche 2FA-Methoden wie SMS-Codes oder App-Bestätigungen wirkungslos. Der Angreifer sitzt zwischen Nutzer und echtem Dienst und leitet alles transparent weiter — inklusive der Authentifizierungs-Tokens.
Koordinierte Razzia in mehreren Ländern
Die Aktion wurde von Europol koordiniert und umfasste Ermittlungsbehörden aus mehreren europäischen Ländern. Infrastruktur wurde beschlagnahmt, Domains abgeschaltet und Verdächtige identifiziert. Details zu Festnahmen hat Europol bislang nur teilweise veröffentlicht.
Tycoon 2FA galt als eine der meistgenutzten PhaaS-Plattformen weltweit. Sicherheitsforscher hatten die Plattform seit Monaten beobachtet und dokumentiert, wie sie kontinuierlich weiterentwickelt wurde — ein professionelles Geschäftsmodell mit Updates, Support und gestaffelten Preisen.
Was Nutzer jetzt wissen müssen
Auch wenn Tycoon 2FA offline ist: Die Technik dahinter ist bekannt und wird von anderen Plattformen kopiert. Wer sich schützen will, sollte auf phishing-resistente Authentifizierung umsteigen — konkret auf FIDO2-Hardware-Keys oder Passkeys. Diese Methoden sind gegen AitM-Angriffe immun, da sie kryptografisch an die echte Domain gebunden sind.
Wer weiterhin nur SMS oder TOTP-Apps nutzt, bleibt verwundbar — unabhängig davon, ob Tycoon 2FA existiert oder nicht. Die Plattform ist weg, aber die Methoden der Angreifer werden immer raffinierter.
Einordnung
Die Zerschlagung von Tycoon 2FA ist ein Erfolg — aber kein Grund zur Entwarnung. Phishing-as-a-Service hat die Einstiegshürde für Cyberkriminalität drastisch gesenkt. Solange es einen Markt für gestohlene Zugangsdaten gibt, werden neue Plattformen entstehen. Die eigentliche Lektion: Zwei-Faktor-Authentifizierung allein reicht nicht mehr. Wer sich ernsthaft schützen will, muss auf hardwarebasierte Methoden umsteigen. Unternehmen, die das noch nicht begriffen haben, sollten sich die wachsende Liste von Sicherheitsvorfällen genau ansehen.
