Tycoon 2FA représentait environ 62 % de toutes les tentatives de phishing bloquées par Microsoft à la mi-2025.
Une opération conjointe de cybersécurité a perturbé l'une des plus grandes plates-formes de phishing en tant que service au monde, appelée « Tycoon 2FA », utilisée pour contourner l'authentification multifacteur (MFA) et pirater les comptes d'utilisateurs.
L'opération a été coordonnée par le Centre européen de lutte contre la cybercriminalité d'Europol, tandis que les perturbations techniques ont été dirigées par Microsoft. Les partenaires industriels participants comprenaient également Cloudflare, Coinbase, Proofpoint et Esentire, entre autres.
La société japonaise de cybersécurité Trend Micro a partagé des renseignements qui ont permis le lancement de l'enquête, a noté Europol. Les autorités chargées de l'application des lois de plusieurs pays européens, dont l'Espagne et le Royaume-Uni, y ont également participé.
Tycoon 2FA a fourni aux cybercriminels une boîte à outils par abonnement qui interceptait les sessions d'authentification en direct pour obtenir un accès non autorisé aux comptes en ligne, y compris ceux protégés par des couches de sécurité supplémentaires.
La plateforme est active depuis au moins 2023, selon Europol, et a permis à « des milliers » de cybercriminels d’accéder à des comptes de messagerie et de services cloud. Les experts ont déterminé que la plateforme générait « des dizaines de millions » d’e-mails de phishing chaque mois, tentant d’accéder à près de 100 000 organisations dans le monde, notamment des écoles, des hôpitaux et des institutions publiques.
« Des campagnes tirant parti de Tycoon 2FA sont apparues dans presque tous les secteurs, notamment l'éducation, la santé, la finance, les organisations à but non lucratif et le gouvernement », a déclaré Microsoft.
« Sa popularité croissante auprès des cybercriminels est probablement due aux perturbations d’autres services de phishing populaires », note-t-il.
Tycoon 2FA représentait environ 62 % de toutes les tentatives de phishing bloquées par Microsoft à la mi-2025. Sa plate-forme a permis aux acteurs malveillants de se faire passer pour des marques de confiance en copiant les pages de connexion à des services tels que 365 et OneDrive de Microsoft, ainsi que Gmail. Cela permettait également aux criminels d’accéder à des informations sensibles même après la réinitialisation des mots de passe.
Les cibles ont été attirées par des e-mails de phishing contenant des pièces jointes contenant des fichiers svg, pdf, html ou docx, souvent intégrés à des codes QR ou JavaScript. Pour échapper à la détection, la plateforme a utilisé des techniques telles que le filtrage anti-bot, les empreintes digitales du navigateur et les Captchas auto-hébergés.
L'opération conjointe de l'industrie et des forces de l'ordre a conduit à la perturbation de 330 domaines qui constituaient l'infrastructure de base du service criminel, y compris les pages de phishing et les panneaux de contrôle.
Cependant, Microsoft a souligné que Tycoon 2FA illustre « l’évolution des kits de phishing en réponse aux défenses croissantes des entreprises ». La plateforme montre comment les cybercriminels adaptent leurs leurres, leurs infrastructures et leurs techniques d'évasion pour garder une longueur d'avance sur la détection.
Récemment, Google et iVerify ont souligné l'existence d'un mécanisme de piratage, d'origine américaine présumée, désormais utilisé par de mauvais acteurs pour infiltrer des iPhones obsolètes.
Pendant ce temps, Amazon a souligné le mois dernier comment l'IA commerciale est utilisée par des cybercriminels moins avertis techniquement pour étendre les cyberattaques contre les entreprises.
