Hoy, Microsoft, Europol y socios de la industria interrumpieron Tycoon 2FA, uno de los servicios cibercriminales más utilizados detrás de fraudes de suplantación de identidad online a gran escala.
Como parte de una acción autorizada por un tribunal, Microsoft tomó control de más de 300 dominios que impulsaban la infraestructura principal de Tycoon 2FA. Activo al menos desde 2023, este servicio permitió que miles de cibercriminales accedieran a cuentas de correo electrónico y servicios en línea, y se ha vinculado con más de 96,000 víctimas distintas de phishing a nivel global, incluyendo más de 55,000 clientes de Microsoft.
Tycoon 2FA no operaba como una campaña de phishing convencional. Funcionaba como un servicio industrializado diseñado para interceptar sesiones de autenticación en tiempo real, capturando códigos de un solo uso y cookies de sesión activas, lo que permitía a los delincuentes acceder a cuentas empresariales en la nube incluso cuando la autenticación multifactor estaba habilitada.
La interrupción es un ejemplo de colaboración público-privada, realizada en coordinación con Europol y una coalición de socios de la industria como Cloudflare, Coinbase, Proofpoint, Intel471, TrendAI, la Shadowserver Foundation, Resecurity, eSentire y Health-ISAC.
Pueden consultar la historia completa en este enlace.