Operasi penegakan hukum internasional yang dikoordinasikan oleh Europol telah mengganggu Tycoon2FA, platform phishing-as-a-service (PhaaS) utama yang terkait dengan puluhan juta pesan phishing setiap bulannya.
Secara total, 330 domain yang merupakan bagian dari infrastruktur tulang punggung layanan kriminal (termasuk panel kontrol dan halaman phishing) disita dan dijadikan offline selama aksi bersama ini.
“Gangguan teknis dipimpin oleh Microsoft dengan dukungan koalisi mitra swasta, sementara penyitaan infrastruktur dan tindakan operasional lainnya dilakukan oleh penegak hukum di Latvia, Lituania, Portugal, Polandia, Spanyol, dan Inggris – semua ini dikoordinasikan oleh Europol,” kata Europol pada hari Rabu.
“Penyelidikan dimulai setelah informasi intelijen dibagikan Tren Mikro. Europol menyebarkan informasi ini melalui Kelompok Penasihat EC3 dan jaringan operasionalnya, sehingga memungkinkan pengembangan strategi operasional yang terkoordinasi.”
Aksi tersebut juga didukung oleh Cloudflare, Coinbase, intel471, Titik buktiYayasan Server Bayangan, SpyCloudeSentire, Crowell, Keamanan, dan Kesehatan-ISAC.
Tycoon2FA (juga dikenal sebagai Tycoon 2FA) telah aktif setidaknya sejak Agustus 2023 dan digunakan oleh penjahat dunia maya untuk menerobos perlindungan autentikasi multi-faktor (MFA) dan menyusupi akun milik hampir 100.000 organisasi di seluruh dunia, termasuk lembaga pemerintah, sekolah, dan organisasi layanan kesehatan.
Menurut Microsoft, Tycoon2FA menghasilkan puluhan juta email phishing setiap bulan pada pertengahan tahun 2025, menjangkau lebih dari 500.000 organisasi dan menyumbang 60% dari semua upaya phishing yang diblokir.
Ini beroperasi sebagai platform musuh di tengah, menggunakan server proxy terbalik untuk mencegat kredensial login dan cookie sesi korban secara real time, dalam serangan yang menargetkan pelanggan Microsoft dan Google.
Namun, hal ini memungkinkan penyerang untuk membajak sesi yang diautentikasi dan menghindari perlindungan MFA, meskipun proses login tampaknya berhasil secara normal dari sudut pandang korban.
“Platform Tycoon2FA memungkinkan pelaku ancaman meniru merek tepercaya dengan meniru halaman masuk untuk layanan seperti Microsoft 365, OneDrive, Outlook, SharePoint, dan Gmail. Platform ini juga memungkinkan pelaku ancaman menggunakan layanannya untuk membangun persistensi dan mengakses informasi sensitif bahkan setelah kata sandi disetel ulang, kecuali sesi dan token aktif secara eksplisit dicabut,” kata Microsoft Hari ini.
“Ini bekerja dengan mencegat cookie sesi yang dihasilkan selama proses otentikasi, sekaligus menangkap kredensial pengguna. Kode MFA kemudian diteruskan melalui server proxy Tycoon2FA ke layanan otentikasi.”
Dijual melalui Telegram seharga $120 untuk akses 10 hari, Tycoon2FA menurunkan hambatan bagi penjahat berketerampilan rendah untuk melancarkan serangan canggih yang melewati MFA dalam skala besar.
Laporan Merah 2026: Mengapa Enkripsi Ransomware Turun 38%
Malware semakin pintar. Laporan Merah 2026 mengungkapkan bagaimana ancaman baru menggunakan matematika untuk mendeteksi kotak pasir dan bersembunyi di depan mata.
Unduh analisis kami terhadap 1,1 juta sampel berbahaya untuk mengungkap 10 teknik teratas dan lihat apakah tumpukan keamanan Anda tidak diketahui.
