Europol e Microsoft derrubam plataforma usada em “phishing por assinatura”
Operação desarticula o Tycoon 2FA, phishing por assinatura; ação apreende 330 domínios e mira serviço que enviava milhões de e-mails fraudulentos
A Europol e a Microsoft desarticularam a plataforma Tycoon 2FA, descrita como phishing-as-a-service, operando por assinatura, com apreensão de 330 domínios ativos e atuação voltada a campanhas de fraude em larga escala, em uma operação internacional.
O Tycoon 2FA operava como um serviço de phishing por assinatura e era usado para disparar campanhas contra empresas e usuários corporativos. A Microsoft afirma que a plataforma respondeu por cerca de 62% das tentativas de phishing bloqueadas pela companhia no último ano. O serviço era utilizado para disparar dezenas de milhões de e-mails fraudulentos por mês, alcançando aproximadamente 500 mil organizações mensalmente.
Captura em tempo real e contorno de autenticação multifator
Segundo a Microsoft, o Tycoon 2FA combinava modelos de phishing com páginas de login simuladas e captura em tempo real de credenciais e códigos de autenticação. O serviço permitia contornar mecanismos de autenticação multifator (MFA) ao interceptar sessões de autenticação e acessar contas de e-mail e serviços em nuvem sem acionar alertas de segurança.
Desde 2023, o Tycoon 2FA está associado a cerca de 96 mil vítimas distintas em todo o mundo, incluindo mais de 55 mil clientes da própria Microsoft. A companhia afirmou que a plataforma reduziu a barreira técnica para a prática de fraudes sofisticadas, permitindo que indivíduos com conhecimento limitado conduzissem campanhas de impersonação em escala.
Seis países europeus e apreensão de 330 domínios
A operação incluiu ordens judiciais, compartilhamento de inteligência e a apreensão de 330 domínios ativos, entre painéis de controle e páginas de phishing. De acordo com a Europol, participaram autoridades da Letônia, Lituânia, Portugal, Polônia, Espanha e Reino Unido.
Além da derrubada da infraestrutura técnica, o material registra que medidas legais foram adotadas contra indivíduos suspeitos de operar o serviço. Entre eles está Saad Fridi, apontado como principal desenvolvedor da plataforma e residente no Paquistão, conforme descrito no texto.
A ação teve apoio de empresas de cibersegurança como Cloudflare, Proofpoint, Intel471, Trend Micro, Resecurity, SpyCloud e eSentire, assim como a própria Microsoft. Também participaram a corretora de criptoativos Coinbase, o escritório jurídico Crowell & Moring e organizações como Shadowserver Foundation e Health-ISAC.
