Microsoft und Europol zerschlagen Phishing-Riese Tycoon 2FA

Eine internationale Koalition hat die berüchtigte Phishing-Plattform Tycoon 2FA lahmgelegt. Unter Führung von Microsoft und Europol beschlagnahmten Behörden das technische Rückgrat des kriminellen Dienstes.

Die Aktion traf einen der größten Player im Cyber-Untergrund. Tycoon 2FA war speziell darauf ausgelegt, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen – und galt als Werkzeug für den Großteil der weltweiten Phishing-Angriffe.

Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen, da sie selbst moderne Sicherheitsvorkehrungen geschickt umgehen. Dieser kostenlose Report zeigt, wie Kriminelle vorgehen und wie Sie Ihre Organisation wirksam schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

So knackte Tycoon 2FA selbst starke Sicherungen

Die Plattform nutzte eine raffinierte „Man-in-the-Middle“-Methode. Statt einfacher Fake-Login-Seiten schaltete sie einen unsichtbaren Proxy-Server zwischen Opfer und echten Dienst wie Microsoft 365.

Der Nutzer gab seine Daten und den 2FA-Code ein – beides wurde in Echtzeit an den legitimen Dienst weitergeleitet. Gleichzeitig stahl die Software aber das Authentifizierungs-Cookie. Mit diesem digitalen Schlüssel konnten Angreifer dann ungehindert auf das Konto zugreifen, ohne Passwort oder Code.

Die Dienstleistung war erschreckend einfach zu mieten: Über Telegram-Bots bot Tycoon 2FA Abonnements schon für etwa 120 US-Dollar an und senkte so die Einstiegshürde für Kriminelle massiv.

Eine globale Bedrohung mit Millionen Opfern

Das Ausmaß der Angriffe war gewaltig. Microsoft-Daten zeigen: Bis Mitte 2025 verantwortete die Plattform rund 62 Prozent aller von Microsoft blockierten Phishing-Versuche.

In Spitzenzeiten verschickten Nutzer über 30 Millionen betrügerische E-Mails pro Monat. Seit 2023 wurden schätzungsweise 96.000 Organisationen weltweit Opfer, darunter mehr als 55.000 Microsoft-Kunden.

Besonders hart traf es kritische Sektoren wie Gesundheitswesen und Bildung. Kompromittierte E-Mail-Konten in Krankenhäusern führten zu Betriebsunterbrechungen und verzögerter Patientenversorgung. Die Angreifer nutzten den Zugang oft für weitere Erpressungsangriffe und Datendiebstahl.

Internationaler Schlag mit Domains und Klagen

Die Zerschlagung erforderte beispiellose Koordination. Unter Europols Führung beschlagnahmten Behörden aus sechs europäischen Ländern die physische Server-Infrastruktur.

Parallel übernahm Microsoft per US-Gerichtsbeschluss die Kontrolle über 330 aktive Domains – das Nervensystem des Netzwerks. Gegen die mutmaßlichen Hintermänner laufen nun auch juristische Schritte.

Microsoft und die Gesundheits-Allianz Health-ISAC reichten Zivilklage gegen den mutmaßlichen Hauptentwickler ein. Sie fordern Schadensersatz in Höhe von zehn Millionen Dollar, um das finanzielle Fundament solcher kriminellen Dienste zu zerstören.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, verdeutlicht die Brisanz professioneller Phishing-Netzwerke für die Wirtschaft. Dieser Experten-Report enthüllt effektive Strategien zur Stärkung der IT-Sicherheit, ohne dass Ihr Budget explodieren muss. Kostenlosen Cyber-Security-Leitfaden jetzt anfordern

Private Sicherheitsfirmen als entscheidende Spürhunde

Der Erfolg basierte maßgeblich auf der Vorarbeit privater Cybersicherheitsunternehmen. Firmen wie Proofpoint, TrendAI und Cloudflare überwachten die Tycoon-Infrastruktur teils seit ihrer Entstehung.

Ihre detaillierten Analysen und Telemetriedaten lieferten die Grundlage für die gerichtlichen Anordnungen. Cloudflare blockierte gezielt die missbräuchliche Nutzung seiner Dienste zur Verschleierung der Angriffe.

Diese enge Verzahnung von privaten Threat-Intelligence-Daten und staatlichen Befugnissen machte es erst möglich, das hochdynamische Netzwerk effektiv zu treffen.

Eine Atempause – aber kein endgültiger Sieg

Branchenexperten sehen in der Aktion einen kritischen Wendepunkt. Tausenden Kriminellen wurde ihr wichtigstes Werkzeug entzogen. Die Zahl folgenschwerer Business-Email-Compromise-Angriffe dürfte kurzfristig spürbar sinken.

Doch ist die Gefahr damit gebannt? Sicherheitsexperten warnen vor zu viel Optimismus. Das Phishing-as-a-Service-Ökosystem ist anpassungsfähig. Konkurrierende Plattformen werden versuchen, die entstandene Marktlücke schnell zu füllen.

Für Unternehmen bedeutet die Zerschlagung eine wichtige Atempause. Sie müssen nun fortschrittliche Identitätsschutzmaßnahmen implementieren und aktive Sitzungen regelmäßig widerrufen. Denn gestohlene Session-Cookies bleiben auch nach einer Passwortänderung gültig.

Die erfolgreiche Kooperation zwischen Tech-Riesen, Sicherheitsbranche und internationalen Behörden setzt einen neuen Standard. Sie dürfte als Blaupause für künftige Schläge gegen ähnliche kriminelle Netzwerke dienen.

boerse | 68848596 |