Operasi penegakan hukum internasional yang dikoordinasikan Europol berhasil melumpuhkan Tycoon2FA, platform phishing-as-a-service (PhaaS) besar yang dikaitkan dengan puluhan juta pesan phishing setiap bulan.
Sebanyak 330 domain yang menjadi bagian dari infrastruktur inti layanan kriminal tersebut—termasuk panel kontrol dan halaman phishing—disita dan dinonaktifkan dalam aksi gabungan ini.
Kolaborasi Global dan Sektor Swasta
Gangguan teknis terhadap Tycoon2FA dipimpin oleh Microsoft dengan dukungan koalisi mitra swasta. Sementara itu, penyitaan infrastruktur dan langkah operasional lainnya dilakukan oleh aparat penegak hukum di Latvia, Lithuania, Portugal, Polandia, Spanyol, dan Inggris, di bawah koordinasi Europol.
Investigasi bermula setelah intelijen dibagikan oleh Trend Micro. Europol kemudian mendistribusikan informasi tersebut melalui jaringan operasional dan kelompok penasihat EC3, sehingga memungkinkan pengembangan strategi terpadu.
Aksi ini juga didukung oleh berbagai perusahaan keamanan dan infrastruktur digital, termasuk Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Crowell, Resecurity, dan Health-ISAC.
Platform Phishing untuk Bypass MFA
Tycoon2FA—aktif setidaknya sejak Agustus 2023—dirancang sebagai platform adversary-in-the-middle yang menggunakan server reverse proxy untuk mencegat kredensial login dan cookie sesi korban secara real time.
Platform ini memungkinkan pelaku membajak sesi autentikasi dan melewati perlindungan multi-factor authentication (MFA), meskipun proses login terlihat normal dari sudut pandang korban.
Serangan yang difasilitasi Tycoon2FA menargetkan pengguna layanan Microsoft dan Google dengan meniru halaman login resmi seperti Microsoft 365, OneDrive, Outlook, SharePoint, dan Gmail.
Menurut Microsoft, pada pertengahan 2025 Tycoon2FA menghasilkan puluhan juta email phishing per bulan, menjangkau lebih dari 500.000 organisasi dan menyumbang sekitar 60% dari seluruh upaya phishing yang berhasil diblokir.
Dengan mencegat cookie sesi yang dihasilkan selama proses autentikasi, platform ini memungkinkan pelaku mempertahankan akses bahkan setelah kata sandi korban diubah—kecuali sesi aktif dan token dicabut secara eksplisit.
Dijual Murah via Telegram
Tycoon2FA dipasarkan melalui Telegram dengan harga sekitar 120 dolar AS untuk akses selama 10 hari. Skema ini menurunkan hambatan masuk bagi pelaku dengan keterampilan rendah untuk meluncurkan serangan canggih dalam skala besar.
Gangguan terhadap infrastruktur Tycoon2FA dipandang sebagai langkah signifikan dalam memerangi model bisnis phishing-as-a-service yang semakin mempermudah pelaku kejahatan siber dalam mengeksploitasi sistem autentikasi modern.
Meski demikian, otoritas dan perusahaan keamanan memperingatkan bahwa ekosistem PhaaS terus berkembang, sehingga kolaborasi lintas negara dan sektor swasta tetap menjadi kunci dalam menekan ancaman phishing berbasis layanan.