Bild: monticello / Shutterstock.com

Ein internationaler koordinierter Schlag gegen Cyberkriminalität sorgt für Aufsehen: Ermittler aus mehreren europäischen Ländern haben die Phishing-Plattform Tycoon2FA abgeschaltet. Insgesamt 330 Domains, die zum Kern der Infrastruktur gehörten, wurden vom Netz genommen. Heise Online berichtet von dem Fall.

Führend bei der Aktion war Europol. Beteiligt waren Strafverfolgungsbehörden aus Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien. Auch Unternehmen aus der Tech-Branche unterstützten die Ermittlungen, darunter Cloudflare, Coinbase, Microsoft und Trend Micro.

Tycoon2FA galt als eine der größten Plattformen ihrer Art. Über sie konnten Cyberkriminelle weltweit Angriffe starten und an sensible Zugangsdaten gelangen.

Ein Werkzeug für massenhafte Phishing-Angriffe

Die Plattform war laut Europol mindestens seit August 2023 aktiv. In dieser Zeit nutzten Tausende Kriminelle den Dienst, um gezielt E-Mail-Konten und Cloud-Zugänge zu übernehmen.

Besonders gefährlich war, dass Tycoon2FA sogar Schutzmechanismen umgehen konnte, die eigentlich zusätzliche Sicherheit bieten sollen – etwa die Zwei-Faktor-Authentifizierung.

Die Dimensionen sind enorm. Europol erklärt:
„Die Plattform generierte monatlich zig Millionen Phishing-E-Mails und ermöglichte den unbefugten Zugriff auf fast 100.000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen“.

Damit richteten sich die Angriffe nicht nur gegen Unternehmen, sondern auch gegen Einrichtungen des öffentlichen Lebens.

Angriff zum günstigen Preis

Erschreckend ist auch, wie einfach der Zugang zu diesem System war. Dem Tech-Portal Bleeping Computer zufolge konnten Interessierte über Telegram ein Abo abschließen. Für rund 120 US-Dollar gab es zehn Tage Zugriff auf die Plattform – quasi als niedrigschwelliges Einsteigerangebot.

Die Methode war dabei täuschend simpel. Die Plattform stellte gefälschte Login-Seiten bereit, die bekannten Diensten nachempfunden waren – etwa Microsoft 365, Outlook, OneDrive, SharePoint oder Gmail. Nutzer glaubten, sich bei einem echten Dienst anzumelden und gaben ihre Zugangsdaten ein.

Microsoft erklärte dazu:
„Die Plattform von Tycoon2FA ermöglichte es Angreifern, sich als vertrauenswürdige Marken auszugeben, indem sie Anmeldeseiten für Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail imitierten. Sie erlaubte es Angreifern außerdem, sich dauerhaft einzunisten und auf sensible Informationen zuzugreifen, selbst nachdem Passwörter zurückgesetzt wurden, sofern aktive Sitzungen und Token nicht explizit widerrufen wurden“.

Zusammenarbeit bringt Erfolg

Die Ermittlungen begannen mit Hinweisen des Sicherheitsunternehmens Trend Micro. Diese Informationen wurden über Europols Netzwerk zur Bekämpfung von Cyberkriminalität weitergegeben.

In der Folge arbeiteten Ermittler und IT-Unternehmen eng zusammen und analysierten die Infrastruktur der Plattform. Am Ende stand die koordinierte Abschaltung der zentralen Domains.

Kommentar

Der Erfolg wirkt zunächst wie ein großer Sieg. Gleichzeitig zeigt der Fall ein strukturelles Problem: Cyberkriminalität wird immer stärker zu einem Geschäftsmodell. Angriffssoftware wird vermietet, Infrastruktur verkauft und Wissen über Messenger-Dienste verbreitet. Wird eine Plattform abgeschaltet, taucht oft schnell die nächste auf. Genau darin liegt die eigentliche Herausforderung.

Quelle: heise.de, bleepingcomputer.com