Operação coordenada pela Europol desmantela plataforma de phishing Tycoon2FA

Uma ação internacional coordenada pela Europol resultou no desmantelamento da infraestrutura da Tycoon2FA, uma das plataformas de phishing-as-a-service (PhaaS) mais utilizadas para contornar sistemas de autenticação multifator (MFA). No total, 330 domínios ligados à infraestrutura do serviço foram apreendidos e colocados offline, incluindo painéis de controlo e páginas de phishing usadas pelos atacantes.

A operação contou com a colaboração de várias autoridades europeias, entre elas Letónia, Lituânia, Portugal, Polónia, Espanha e Reino Unido, e com o apoio técnico de empresas do setor tecnológico e de cibersegurança, entre as quais Microsoft, Trend Micro, Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation e SpyCloud.

Segundo a Europol, a investigação teve origem em informação de inteligência partilhada pela Trend Micro, posteriormente distribuída através das redes operacionais do European Cybercrime Centre (EC3) para apoiar a coordenação da operação.

Ativa pelo menos desde agosto de 2023, a plataforma Tycoon2FA permitia a criminosos lançar campanhas de phishing capazes de contornar mecanismos de autenticação multifator, comprometendo contas empresariais e institucionais. Estima-se que o serviço tenha sido utilizado em ataques contra cerca de 100 mil organizações em todo o mundo, incluindo entidades governamentais, escolas e organizações de saúde.

De acordo com a Microsoft, a plataforma estava, em meados de 2025, associada ao envio de dezenas de milhões de emails de phishing por mês, representando mais de 60% das tentativas de phishing bloqueadas pelos sistemas da empresa.

O funcionamento da Tycoon2FA baseava-se num modelo de ataque conhecido como adversary-in-the-middle (AiTM). A plataforma utilizava servidores proxy reversos para interceptar, em tempo real, credenciais de acesso e cookies de sessão durante o processo de autenticação, em campanhas que imitavam páginas de login de serviços populares como Microsoft 365, OneDrive, Outlook, SharePoint e Gmail.

Este método permitia aos atacantes assumir sessões autenticadas dos utilizadores e contornar a autenticação multifator, mesmo quando o processo de login parecia decorrer normalmente para a vítima. Ao capturar os cookies de sessão gerados durante a autenticação, os atacantes conseguiam manter acesso às contas comprometidas, mesmo após a alteração de palavras-passe, caso as sessões ativas não fossem revogadas.

Outro fator que contribuiu para a disseminação da plataforma foi o seu modelo de comercialização. O acesso ao serviço era vendido em canais do Telegram por cerca de 120 dólares por períodos de dez dias, permitindo a criminosos com menor conhecimento técnico lançar campanhas sofisticadas de phishing em grande escala.

As autoridades e parceiros envolvidos na operação sublinham que este tipo de plataformas de cibercrime como serviço tem vindo a reduzir as barreiras de entrada para atividades maliciosas, facilitando a proliferação de ataques cada vez mais avançados contra organizações e utilizadores em todo o mundo.