Uma operação internacional liderada pela Europol e pela Microsoft desarticulou o Tycoon 2FA, descrito como phishing-as-a-service por assinatura, com a apreensão de 330 domínios ativos. A ação reuniu autoridades da Letônia, Lituânia, Portugal, Polônia, Espanha e Reino Unido.
O Tycoon 2FA era utilizado para campanhas de phishing contra empresas e usuários corporativos, segundo a Microsoft, respondendo por cerca de 62% das tentativas de phishing bloqueadas pela empresa no último ano. O serviço enviava dezenas de milhões de e-mails fraudulentos por mês, atingindo aproximadamente 500 mil organizações mensalmente.
A plataforma combinava páginas de login simuladas com captura em tempo real de credenciais e códigos de autenticação, permitindo contornar mecanismos de autenticação multifator (MFA) ao interceptar sessões de autenticação e acessar contas de e-mail e serviços em nuvem sem acionar alertas de segurança.
Desde 2023, o Tycoon 2FA esteve associado a cerca de 96 mil vítimas, incluindo mais de 55 mil clientes da própria Microsoft. Segundo a companhia, a plataforma reduziu a barreira técnica para fraudes sofisticadas, permitindo que indivíduos com conhecimentos limitados conduzissem campanhas de impersonação em escala.
A operação também resultou na detenção de suspeitos, entre eles Saad Fridi, apontado como principal desenvolvedor da plataforma, residente no Paquistão. Oenfrentamento envolveu empresas de cibersegurança como Cloudflare, Proofpoint, Intel471, Trend Micro, Resecurity, SpyCloud e eSentire, além de Coinbase, Crowell & Moring e organizações como Shadowserver Foundation e Health-ISAC.
