Phishingplatform ontmanteld dat 500 Belgische slachtoffers maakte
Tycoon2FA was actief sinds 2023 en groeide razendsnel uit tot een van de populairste phishing‑as‑a‑service‑kits (PhaaS) op de markt. In België maakte het op meer dan een jaar tijd ongeveer 500 slachtoffers. Daar zaten zowel particulieren als bedrijven en openbare instellingen bij. Wereldwijd gaat het om maar liefst 96.000 slachtoffers van phishing, waaronder ruim 55.000 Microsoft‑klanten. Het ‘succes’ was onder meer te danken aan de mogelijkheid om multifactorauthenticatie (MFA) te omzeilen.
Volgens Microsoft werden maandelijks tientallen miljoenen phishingberichten verstuurd via Tycoon 2FA naar meer dan 500.000 organisaties. Uit het onderzoek bleek dat de groep genaamd Storm‑1747 de kit had ontwikkeld en adversary‑in‑the‑middle (AiTM)‑functionaliteit had aangeboden. Ze verhuurden dus hun aanvalssoftware. Daardoor konden criminelen zelfs zonder technische kennis gebruikmaken van de geavanceerde functies die zelfs multifactorauthenticatie konden omzeilen.
Phishing for dummies
Tycoon 2FA viel op door zijn professionele en laagdrempelige aanpak. De criminelen kregen namelijk een webgebaseerd dashboard ter beschikking. Daarmee konden ze phishingcampagnes configureren alsof ze met een simpele marketingtool aan het werk waren. Ze konden kiezen uit templates voor Microsoft 365, Outlook, OneDrive, SharePoint en Gmail, maar ook QR‑code‑phishing, pdf‑ en eml‑bijlages, subdomeinrotatie, Cloudflare‑Workers‑redirects, en realtime monitoring via Telegram. De kit onderschepte zowel inloggegevens als cookies. Op die manier konden de aanvallers de toegang behouden zelfs nadat een slachtoffer zijn wachtwoord had gewijzigd.
In België richtte Tycoon 2FA zich onder meer op ziekenhuizen, onderzoeksinstellingen en overheidsdiensten. Dergelijke aanvallen hebben vaak maatschappelijke gevolgen. Dat maakt het uitschakelen van die infrastructuur nog belangrijker.
Internationale samenwerking
De operatie resulteerde in de inbeslagname van 330 domeinen die de kern vormden van de criminele infrastructuur, waaronder controlepanelen en valse inlogpagina’s. Het was de eerste keer dat Microsoft zo’n actie uitvoerde in nauwe coördinatie met Europol, ondersteund door politiediensten uit onder meer Letland, Litouwen, Portugal, Polen, Spanje en het Verenigd Koninkrijk. Er vonden arrestaties plaats in Egypte en Nigeria, en de vermoedelijke ontwikkelaar werd geïdentificeerd in Pakistan. In België werd samengewerkt met onder andere de Federal Computer Crime Unit (FCCU).
Volgens Bart Asnot, North Europe Security Leader bij Microsoft, toont de operatie het belang van internationale samenwerking: “De aanpak van Tycoon 2FA toont hoe belangrijk het is dat technologiebedrijven, politiediensten en justitie samen optreden tegen georganiseerde cybercriminaliteit. Door de infrastructuur van zo’n platform uit te schakelen, beschermen we niet alleen bedrijven en overheden, maar ook burgers tegen concrete schade, van datadiefstal tot verstoorde ziekenhuiszorg. Dit is een voorbeeld van hoe samenwerking op wereldschaal een directe impact heeft op de digitale veiligheid in België.”
