Eine koordinierte Aktion von Europol, Microsoft und Industriepartnern hat das kommerzielle Phishing‑als‑Service‑Angebot Tycoon 2FA erheblich gestört und Hunderte Domains sowie Infrastrukturkomponenten beschlagnahmt. Die Maßnahme reduzierte nach Angaben der Behörden sofort das Volumen an Kontoübernahmen und machte Beweise für weitere strafrechtliche Schritte verfügbar.

Anfang März 2026 gaben Europol, Microsoft und mehrere Industriepartner eine koordinierte Störung des Dienstes Tycoon 2FA bekannt, eines kommerziellen Phishing‑als‑Service‑Angebots, das automatisierte „adversary‑in‑the‑middle“‑Proxies nutzte, um Zwei‑Faktor‑Authentifizierung zu umgehen. Ermittler führten Tycoon auf Millionen schädlicher Nachrichten und Zehntausende bestätigter Kontoübernahmen zurück, die für Credential‑Diebstahl, Business‑Email‑Compromise (BEC) und anschließende finanzielle Betrugsfälle eingesetzt wurden. Im Zuge der Operation wurden Hunderte Domains und Infrastrukturkomponenten beschlagnahmt beziehungsweise sinkholed, Zahlungs‑ und Hosting‑Flüsse unterbrochen und Beweismaterialen für Partnerjurisdiktionen bereitgestellt, die gegen Betreiber und Reseller vorgehen. Behörden und betroffene Anbieter erklärten, die Maßnahme habe eine stark genutzte, kommerzialisierte Pipeline beseitigt, die den technischen Aufwand für skalierbare MFA‑Bypass‑Angriffe deutlich gesenkt hatte, und dadurch das unmittelbare Betrugsvolumen merklich reduziert. Teilnehmer der Aktion kündigten anhaltende Überwachung möglicher Mirror‑Dienste und Affiliate‑Netzwerke an und forderten Organisationen auf, Anti‑Phishing‑Kontrollen, bedingte Zugriffspolitiken und angreiferresistente MFA‑Implementierungen zu verstärken.