Europol zerschlägt zwei grosse Cybercrime-Dienste
Europol hat zusammen mit Microsoft, Trend Micro, Proofpoint und weiteren Partnern eine der grössten Phishing-as-a-Service-Plattformen lahmgelegt. Die Plattform Tycoon 2FA half Cyberkriminellen bei MFA-Umgehungen und Kontoübernahmen. Zeitgleich zog Europol auch dem kriminellen Handelsforum Leakbase den Stecker.
Europols European Cybercrime Centre (EC3) hat die Phishing-as-a-Service-Plattform Tycoon 2FA zerschlagen. Der Schlag gelang durch eine internationale Zusammenarbeit: Während Tech-Unternehmen wie Microsoft, Trend Micro und Proofpoint für die technische Umsetzung sorgten, beschlagnahmten Strafverfolgungsbehörden in sechs europäischen Ländern die Infrastruktur, wie Europol mitteilt.
Tycoon 2FA war laut Mitteilung seit mindestens August 2023 aktiv. Der Dienst umfasste über 330 Domains und ermöglichte Cyberkriminellen den Diebstahl von Zugangsdaten zu E-Mail- und Cloud-Konten durch die Umgehung der Multi-Faktor-Authentifizierung (MFA). Die Plattform soll jeden Monat Millionen von Phishing-E-Mails generiert haben, die auf fast 100'000 Organisationen weltweit zielten - darunter auch Schulen und Krankenhäuser.
Die Dimension der Bedrohung zeigt sich in den Zahlen von Microsoft: Zeitweise gingen rund 62 Prozent aller vom Konzern blockierten Phishing-Versuche auf das Konto von Tycoon 2FA. In einem einzigen Monat waren das über 30 Millionen E-Mails. Mehr als 55'000 Microsoft-Konten nahmen die Angreifer damit ins Visier, aber auch Outlook- und Gmail-Konten waren betroffen, wie Microsoft in einem Blogbeitrag mitteilt.
Dashboard der Plattform Tycoon 2FA. (Source: Microsoft Blogs)
Tycoon 2FA bot überzeugende Phishing-Vorlagen, realistische Landing Pages sowie in Echtzeit abgegriffene Anmeldedaten und Authentifizierungscodes an. Dadurch war für die Angriffe kaum Fachwissen nötig. Laut Microsoft agieren die Angreifer nach einem erfolgreichen Phishing-Angriff oft wie legitime User, bewegen sich lateral über Systeme hinweg und greifen auf sensible Daten zu, ohne Alarm auszulösen.
"Das war keine einzelne Phishing-Kampagne. Es war ein industrialisierter Dienst, der MFA-Bypass für Tausende von Kriminellen zugänglich machte", erklärt Robert McArdle, Director of Cybercrime Research bei TrendAI von Trend Micro in einer Mitteilung. Er warnt: "Identität ist heute die primäre Angriffsfläche. Wenn Session Hijacking als Abo-Modell angeboten wird, verschiebt sich das Risiko von Einzelfällen hin zu systemischer Bedrohung."
Handelsplatz für Cyberkriminelle ist nun auch Geschichte
Europol legte ausserdem das Onlineforum namens Leakbase lahm. Laut Mitteilung hatte sich Leakbase seit 2021 als zentrale Drehscheibe für den Handel mit kompromittierten Daten etabliert. Auf der Plattform mit über 142'000 registrierten Usern konnten Cyberkriminelle gestohlene Daten kaufen, verkaufen und austauschen. An diesem Schlag waren Behörden aus 13 Ländern beteiligt.
Das könnte Sie auch interessieren: Der Threat Report von Barracuda zeigt, dass im Jahr 2025 90 Prozent der Ransomware-Angriffe die Firewalls umgehen konnten. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Falsche Banker und Polizisten machen Jagd auf Kontodaten
Europol zerschlägt zwei grosse Cybercrime-Dienste
E-Mail-Betrüger erpressen Opfer mit erfundenem Datenpaket
Wie Lesefaulheit aufgrund versteckter Prompts zu einer neuen Angriffsfläche wird
Konsortium entwickelt Open-Source-Alternative zu Google Play Integrity
Finanzbranche übt Reaktion auf systemischen Cyberangriff
Selbsthilfegruppe bei Frauenproblemen - speziell für Hobbits und Zwerge
KI-Angriffe setzen auf Masse statt Klasse
Diese Projekte treten zur Wahl des "Master of Swiss Web 2026" an
