Une opération internationale coordonnée par Europol a permis de démanteler Tycoon2FA, une plateforme de phishing capable de contourner l’authentification multifacteur. Le service, proposé aux cybercriminels sous forme d’abonnement, a servi à mener des campagnes massives visant des organisations dans le monde entier.
Une plateforme de phishing-as-a-service démantelée
Une action coordonnée entre autorités publiques et acteurs privés a permis de perturber l’infrastructure de Tycoon2FA, une plateforme utilisée pour mener des campagnes de phishing sophistiquées. L’opération, annoncée par Europol, a réuni plusieurs partenaires industriels ainsi que des entreprises de cybersécurité. Les enquêteurs ont identifié et saisi environ 330 domaines associés à l’infrastructure du service. Cette action vise à perturber durablement l’activité de la plateforme et à remonter jusqu’à ses opérateurs.
Tycoon2FA fonctionnait selon un modèle de phishing-as-a-service, fournissant aux cybercriminels une infrastructure prête à l’emploi pour mener des campagnes de vol d’identifiants.
Un service clé en main pour mener des campagnes de phishing
La plateforme proposait un ensemble d’outils permettant de créer et d’héberger des pages de connexion frauduleuses imitant des services largement utilisés, notamment Microsoft 365 ou Gmail. Le service comprenait également des interfaces de gestion pour suivre les campagnes, récupérer les identifiants collectés et automatiser les attaques. Ce modèle par abonnement permettait à des acteurs peu expérimentés de lancer des campagnes à grande échelle.
Une technique capable de contourner la MFA
La particularité de Tycoon2FA repose sur l’utilisation d’une technique dite adversary-in-the-middle. La victime est redirigée vers une page de connexion frauduleuse qui relaie en temps réel les échanges avec le service légitime. Les identifiants et les codes d’authentification sont ainsi interceptés, de même que les cookies de session générés lors de la connexion. Les attaquants peuvent ensuite utiliser ces éléments pour accéder au compte compromis, même lorsque l’authentification multifacteur est activée.
Des campagnes menées à grande échelle
Selon les informations communiquées dans le cadre de l’opération, l’infrastructure de Tycoon2FA a servi à mener des campagnes de phishing massives visant des organisations dans de nombreux pays. Des dizaines de millions de messages frauduleux auraient été envoyés chaque mois, ciblant notamment des comptes professionnels associés à des services cloud. Les données recueillies par les enquêteurs indiquent que des dizaines de milliers de victimes ont été compromises depuis le lancement du service.
