Netcrook Logo
👤 CRYSTALPROXY
🗓️ 05 Mar 2026  

Dentro il takedown di Tycoon2FA: come le autorità hanno paralizzato un impero globale di phishing capace di aggirare l’MFA

Europol e partner globali smantellano una prolifica operazione di phishing-as-a-service che ha trasformato l’aggiramento dell’MFA in un’arma per cybercriminali di tutto il mondo.

Nel mondo oscuro del cybercrimine, Tycoon2FA era una stella nascente - finché una repressione internazionale senza precedenti non ne ha messo a nudo il copione. Per quasi un anno, questo servizio criminale ben oliato ha permesso agli hacker di eludere persino le difese di autenticazione a più fattori (MFA) più robuste, mettendo a rischio centinaia di migliaia di organizzazioni. Ora, grazie a un’alleanza guidata da Europol, l’infrastruttura di Tycoon2FA è offline e i suoi segreti stanno venendo alla luce.

Dati rapidi

  • Oltre 330 domini legati a Tycoon2FA sono stati sequestrati e portati offline in un’azione coordinata delle forze dell’ordine.
  • Tycoon2FA consentiva ai cybercriminali di aggirare l’MFA e di dirottare account in quasi 100.000 organizzazioni a livello globale.
  • La piattaforma veniva venduta a partire da soli 120 dollari per 10 giorni di accesso tramite Telegram.
  • Entro la metà del 2025, Tycoon2FA rappresentava il 60% di tutti i tentativi di phishing bloccati che prendevano di mira utenti Microsoft e Google.
  • Tra i partner del takedown figuravano Microsoft, Europol, Cloudflare, Coinbase e diverse aziende di cybersicurezza.

L’anatomia di un moderno impero del phishing

Tycoon2FA non era solo l’ennesimo kit di phishing. Operava come una piattaforma “phishing-as-a-service” (PhaaS) a tutti gli effetti, abbassando la soglia tecnica per aspiranti cybercriminali. Con una tariffa contenuta, anche i principianti potevano lanciare campagne in grado di indurre le vittime a rivelare le credenziali, quindi intercettare furtivamente i codici MFA per dirottare gli account - il tutto senza competenze di hacking sofisticate.

Il segreto? Un approccio “adversary-in-the-middle”, che utilizzava server reverse proxy per intercettare in tempo reale credenziali di accesso e cookie di sessione. Le vittime vedevano le familiari pagine di accesso Microsoft o Google - repliche perfette - mentre gli attaccanti rubavano silenziosamente tutto ciò che serviva per accedere a dati sensibili, persino dopo il reset delle password. A meno che le organizzazioni non revocassero le sessioni attive e i token di autenticazione, gli attaccanti potevano mantenere l’accesso a tempo indeterminato.

La portata della piattaforma era impressionante. Secondo Microsoft, Tycoon2FA generava decine di milioni di email di phishing ogni mese, raggiungendo oltre mezzo milione di organizzazioni in tutto il mondo. Dalle agenzie governative agli ospedali e alle scuole, pochi settori sono stati risparmiati. La flessibilità del servizio - che offriva accesso in abbonamento tramite Telegram - lo ha reso uno dei preferiti tra i criminali poco esperti desiderosi di ottenere risultati da professionisti.

L’indagine è iniziata quando l’azienda di cybersicurezza Trend Micro ha condiviso informazioni con Europol. Microsoft e una coalizione di partner privati hanno guidato l’interruzione tecnica, mentre le forze dell’ordine di sei Paesi hanno eseguito sequestri dell’infrastruttura. L’operazione evidenzia il crescente potere delle alleanze pubblico-private nel contrastare il cybercrimine su larga scala.

La strada davanti

La caduta di Tycoon2FA è una grande vittoria per i difensori, ma la storia non è finita. Il successo della piattaforma dimostra che le difese MFA, pur essenziali, non sono infallibili - soprattutto quando gli attaccanti sfruttano la fiducia umana e scorciatoie tecniche. Man mano che i modelli di phishing-as-a-service evolvono, deve evolvere anche la risposta globale. Per ora, il messaggio è chiaro: anche gli imperi del cybercrimine più raffinati possono crollare quando il mondo lavora insieme.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi - come satelliti LEO e GEO - per migliorare affidabilità, copertura e sicurezza.
  • Adversary: Un avversario è qualsiasi persona o gruppo che tenta di violare sistemi informatici o dati, spesso per scopi malevoli come furto o sabotaggio.
  • Reverse Proxy: Un reverse proxy è un server che si colloca tra gli utenti e un servizio web, nascondendo la reale posizione del servizio e proteggendolo da attacchi diretti.
  • Session Cookies: I cookie di sessione sono file temporanei che ti mantengono connesso ai siti web. Se rubati, possono consentire agli attaccanti di impersonarti online.
Tycoon2FA phishing-as-a-service MFA bypass
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news