De phishingdienst Tycoon2FA is opnieuw op volle kracht actief, amper enkele dagen nadat Europol en partners een gerichte actie uitvoerden tegen het platform. De interventie leek even effect te hebben, maar volgens nieuwe cijfers is daar vandaag weinig nog van te merken.
Op 4 maart nam een internationale operatie (met Microsoft als technische voortrekker) een groot deel van de infrastructuur van Tycoon2FA onder handen. In totaal werden zo’n 330 domeinen offline gehaald, waaronder controlepanelen en phishingpagina’s die gebruikt werden bij aanvallen. Die ingreep zorgde aanvankelijk voor een duidelijke terugval. Volgens beveiligingsbedrijf CrowdStrike zakte het aantal phishingcampagnes op 4 en 5 maart naar ongeveer 25 procent van het normale niveau.
Lang duurde dat echter niet. Enkele dagen later zaten de activiteiten alweer op hetzelfde peil als vóór de actie. Ook het aantal incidenten waarbij cloudaccounts gecompromitteerd werden, klom opnieuw naar het niveau van begin 2026.
Tycoon2FA is geen onbekende in de cyberwereld. Het platform dook zo’n twee jaar geleden voor het eerst op en biedt phishing aan als een dienst (PhaaS). Cybercriminelen kunnen er kant-en-klare tools kopen om onder meer Microsoft 365- en Gmail-accounts aan te vallen. Wat Tycoon2FA extra gevaarlijk maakt, is het gebruik van zogenaamde adversary-in-the-middle-technieken. Daarmee kunnen aanvallers zelfs tweestapsverificatie (2FA) omzeilen, nochtans een van de belangrijkste beveiligingsmaatregelen voor accounts.
De makers van het platform blijven hun aanbod bovendien actief uitbreiden. Nieuwe functies en verbeteringen moeten het aantrekkelijk houden voor klanten in het cybercriminele circuit.
De schaal waarop Tycoon2FA opereert, is aanzienlijk. Microsoft meldde eerder dat het platform goed is voor zo’n 30 miljoen phishingmails per maand. Daarmee zou het zelfs verantwoordelijk zijn voor 62 procent van alle phishingmails die door Microsoft worden geblokkeerd. Volgens CrowdStrike werkt Tycoon2FA vandaag nog grotendeels met dezelfde technieken als voor de politieactie. Het platform wordt ingezet voor uiteenlopende vormen van cybercriminaliteit, zoals business email compromise (BEC), het kapen van e-mailconversaties, het overnemen van cloudaccounts en het verspreiden van kwaadaardige SharePoint-links.
Na de ontmanteling schakelden de operators snel over op nieuwe infrastructuur. Nieuwe domeinen en IP-adressen werden in sneltempo geregistreerd, terwijl delen van de oude infrastructuur zelfs actief bleven. Dat wijst erop dat de actie van de autoriteiten niet volledig sluitend was. In recente campagnes maken aanvallers onder meer gebruik van verkorte links, legitieme platformen zoals presentatietools en gehackte websites om slachtoffers te misleiden. Opvallend is ook het gebruik van AI-gegenereerde lokpagina’s om phishingaanvallen geloofwaardiger te maken.
Na een succesvolle aanval richten de daders zich vaak meteen op het verder uitbuiten van de toegang. Zo worden inboxregels aangemaakt, verborgen mappen opgezet en voorbereidingen getroffen voor fraude via e-mail. Volgens CrowdStrike toont dit incident vooral aan hoe veerkrachtig zulke netwerken zijn. Zonder arrestaties of fysieke inbeslagnames van infrastructuur is het voor cybercriminelen relatief eenvoudig om snel opnieuw op te starten. Zolang de vraag naar phishingdiensten hoog blijft, lijkt het kat-en-muisspel tussen opsporingsdiensten en cybercriminelen dan ook nog lang niet voorbij.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
