Global phishing‑as‑a‑service‑platform lukket

Eskil Sørensen

03.09.2026 10:08

Koordineret offentlig‑privat indsats fanger kæmpefisk

En af verdens mest udbredte phishing‑as‑a‑service‑platforme, Tycoon 2FA, er blevet taget ned i en omfattende international aktion ledet af Europol og bakket op af både politimyndigheder og en række teknologivirksomheder. Platformen specialiserede sig i at omgå multi‑faktor‑autentifikation og leverede professionelle værktøjer, der gjorde komplekse phishing‑angreb til et abonnementskøb.

Det skriver Europol i en pressemeddelelse.

Tycoon 2FA har været aktiv siden mindst august 2023 og voksede i perioden til en af de mest effektive og udbredte phishing‑infrastrukturer globalt. På sit højdepunkt stod platformen bag ca. 62 % af alle phishingforsøg blokeret af Microsoft.

330 domæner taget ned - med hjælp fra både politi og industri

Den koordinerede indsats førte til nedtagning af 330 domæner, der udgjorde platformens kerneinfrastruktur. Det omfattede både phishing‑sider, kontrolpaneler og backend‑funktionalitet, som de cyberkriminelle brugte til at styre deres kampagner.

Operationen blev drevet af:

Europols European Cybercrime Centre (EC3)
Nationale politi- og cyberkriminalitetsenheder i Letland, Litauen, Portugal, Polen, Spanien og Storbritannien
En koalition af private aktører, herunder Microsoft, Cloudflare, Coinbase, Proofpoint, Shadowserver og Trend Micro

Microsoft stod for store dele af den tekniske disruption, mens politiaktionerne håndterede fysisk beslaglæggelse og øvrige operative skridt.

En skaleret infrastruktur til kompromittering af tusindvis af organisationer

Tycoon 2FA var ikke blot endnu et phishing‑kit, men en fuldt professionel service:

Genererede titusindvis af phishing‑e‑mails pr. måned
Blev benyttet af titusinder af kriminelle kunder
Muligg jorde uautoriseret adgang til næsten 100.000 organisationer globalt
Ramte alle typer institutioner: skoler, hospitaler, offentlige myndigheder, private virksomheder

Kernen i tjenesten var dens evne til at kapre aktive MFA‑sessioner. Brugeren indtastede sine loginoplysninger og engangskode på en phishing‑side, og Tycoon 2FA’s systemer proxy’ede informationerne direkte videre til den legitime tjeneste. Den slags angreb går ofte under betegnelsen “real‑time phishing” eller “MFA fatigue 2.0”.

Dermed kunne angriberen logge ind på kontoen uden selv at kende engangskoden, fordi platformen overtog sessionen i samme øjeblik, brugeren autentificerede sig.

Hvordan efterforskningen tog fart

Sagen begyndte, da Trend Micro delte teknisk efterretningsmateriale gennem Europols netværk. Informationerne blev distribueret via EC3 Advisory Groups og de operative netværk. Derefter blev flere private partnere trukket ind i sagen for at bidrage med:

Infrastrukturkortlægning
Analyse af domæner, registranter og backend‑systemer
Indsigt i angrebstendenser
Korrelation mellem kampagner og infrastruktur

Denne form for efterretningsudveksling er kernen i Europols Cyber Intelligence Extension Programme (CIEP). Det er et program, hvor private eksperter arbejder fysisk sammen med Europols analytikere i Haag for at understøtte konkrete operationer.

Operationen er et eksempel på, hvor afhængig moderne cyberkriminalitetsbekæmpelse er af tæt, fortrolig og hurtig offentlig‑privat koordinering. Selv store politioperationer ville ikke kunne ramme infrastrukturen uden private aktørers tekniske viden, overvågning og værtskontrol.

Tycoon 2FA – den største fisk er fanget, men nye vil dukke op

Tycoon 2FA adskiller sig fra tidligere phishing‑platforme på flere punkter:

Størrelsen – få platforme har haft kapacitet til at masseproducere phishing‑kampagner i denne skala.
Angreb på moderne forsvar – platformen leverede en effektiv metode til at omgå MFA, som ellers ofte anses som et stærkt sikkerhedslag.
Forretningsmodellen – platformen professionaliserede MFA‑phishing med manualer, dashboards og abonnementstyper.
Rolle i globale angreb – dens infrastruktur blev brugt i kampagner mod tusindvis af organisationer, herunder kritiske sektorer.

Derfor repræsenterer nedtagningen ikke bare en fjernelse af endnu en PhaaS‑tjeneste, men en vigtig strategisk sejr i kampen mod real‑time phishing.

Men, som det er med alle cyberkriminalitetsplatforme: Miljøerne er resiliente. Når én platform fjernes, vokser der ofte to nye i dens sted. Men med indsigten fra CIEP og EC3 er der skabt et blueprint for, hvordan fremtidige operationer kan rammes lige så effektivt.

Læs mere

https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action

Information