Tycoon 2FA, una delle piattaforme di phishing-as-a-service (PhaaS) più diffuse tra i criminali informatici, è stata disattivata grazie a un’operazione coordinata tra partner pubblici e privati: Proofpoint, Microsoft, Europol, Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel 471, Resecurity, The Shadowserver Foundation, SpyCloud e TrendAI, insieme alle forze dell’ordine di Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito.
Nel solo febbraio 2026, Proofpoint ha rilevato oltre tre milioni di messaggi riconducibili a questa piattaforma. Tycoon 2FA opera come un kit di phishing adversary-in-the-middle (AiTM): sottrae username, password e cookie di sessione di Microsoft 365 e Gmail, consentendo agli attaccanti i di aggirare l’autenticazione a più fattori (MFA) e ottenere il takeover completo degli account — anche quelli protetti da MFA.
I dati Proofpoint 2025 mostrano la portata del fenomeno: il 99% delle aziende ha subìto tentativi di account takeover, riusciti nel 67% dei casi. Il 59% degli account compromessi aveva l’MFA attivo.
Il 4 marzo 2026, Microsoft ha annunciato la causa legale contro il presunto creatore di Tycoon 2FA, Saad Fridi, depositata presso il Southern District of New York insieme al co-ricorrente Health-ISAC. Microsoft ha sequestrato 330 domini del pannello di controllo associati alla piattaforma. Proofpoint ha supportato l’operazione fornendo dati sulle minacce – inclusi domini malevoli e informazioni sulle campagne – e depositando una dichiarazione a supporto del procedimento.
“Tycoon 2FA è responsabile del più alto volume di campagne di credential phishing AiTM secondo i dati Proofpoint, con decine di migliaia di account compromessi in settori critici come sanità, istruzione, pubblica amministrazione e difesa. Smantellare l’infrastruttura di Tycoon 2FA e identificare il presunto responsabile avrà un impatto significativo sul credential phishing che bypassa la MFA e infliggerà un duro colpo al phishing-as-a-service AiTM più prolifico al mondo,” spiega Selena Larson, Staff Threat Researcher di Proofpoint.
