Début mars 2026, Europol, Microsoft et plusieurs partenaires industriels ont coordonné la disruption de Tycoon 2FA, une plateforme commerciale de phishing‑as‑a‑service exploitant des proxys « adversary‑in‑the‑middle » pour contourner l'authentification à deux facteurs. Les autorités ont saisi et redirigé des centaines de domaines, affirmant que l'action a réduit de manière significative un flux à haut volume utilisé pour le vol d'identifiants et l'escroquerie au président (BEC).

Au début mars 2026, Europol, Microsoft et plusieurs partenaires de l'industrie ont annoncé une opération coordonnée visant Tycoon 2FA, une plateforme commerciale de phishing‑as‑a‑service qui automatisait le proxying « adversary‑in‑the‑middle » pour neutraliser les protections d'authentification multifacteur. Les enquêteurs ont relié Tycoon à des millions de messages malveillants et à des dizaines de milliers de prises de comptes confirmées, exploitées pour le vol d'identifiants, l'escroquerie au président (BEC) et des fraudes financières consécutives. L'opération a saisi et « sinkholé » des centaines de domaines et composants d'infrastructure, interrompu les circuits de paiement et d'hébergement de la plateforme, et rendu des éléments de preuve accessibles aux juridictions partenaires poursuivant opérateurs et revendeurs. Les autorités et les éditeurs concernés ont indiqué que la mise hors service de Tycoon avait supprimé une chaîne commerciale à très fort volume qui abaissait la barrière technique pour des attaques d'ampleur visant le contournement de la MFA, réduisant matériellement le volume de fraude immédiat et fermant des voies de réutilisation rapide des identifiants récoltés. Les acteurs publics et privés impliqués ont annoncé une surveillance continue pour détecter des services miroirs et des réseaux d'affiliés, et ont appelé les organisations à renforcer leurs contrôles anti‑phishing, leurs politiques d'accès conditionnel et la mise en œuvre de MFA résistante aux attaques.