Una coalizione di aziende tecnologiche e forze dell’ordine, tra cui Coinbase, ha smantellato l’infrastruttura centrale di Tycoon 2FA, una grande piattaforma di phishing-as-a-service che offriva strumenti per aggirare l’autenticazione a più fattori.
L’Europol ha annunciato mercoledì che Microsoft ha contribuito a bloccare 330 domini collegati alla piattaforma, mentre le forze dell’ordine hanno sequestrato ulteriori infrastrutture chiave.
Anche il tracciamento dei flussi finanziari ha avuto un ruolo importante. Coinbase ha dichiarato di aver assistito alle indagini tracciando transazioni su blockchain utilizzate per finanziare Tycoon 2FA, contribuendo così a identificare il presunto amministratore della piattaforma e alcuni dei suoi utenti.
“Mettere offline l’infrastruttura principale di Tycoon interrompe una delle principali pipeline per il furto di credenziali e l’accesso iniziale ai sistemi, costringendo i criminali a ricostruire le proprie operazioni, riorganizzarsi e assumersi maggiori rischi”, ha aggiunto Coinbase.
Le truffe di phishing sono state segnalate come la seconda minaccia più grave nel 2025 dalla società di sicurezza blockchain CertiK, con un costo per gli investitori crypto pari a 722 milioni di dollari in 248 incidenti. Un portavoce di PeckShield ha dichiarato lunedì a Cointelegraph che il phishing rimane una “minaccia persistente” nel 2026.
Strumenti di Tycoon utilizzati per aggirare l'autenticazione a più fattori
Il kit di strumenti di Tycoon includeva landing page contraffatte progettate per rubare le credenziali degli utenti su siti web legittimi. Secondo Coinbase, catturava anche cookie di sessione e token, consentendo agli aggressori di aggirare le protezioni MFA.
In genere, quando un utente accede utilizzando l'autenticazione a più fattori (MFA), il sistema genera un token di sessione. Il token funge da prova di autenticazione e viene memorizzato nel browser dell'utente. Se un hacker ruba il token, può utilizzarlo per ingannare il sistema e aggirare l'autenticazione MFA.
“Questa combinazione, esche altamente realistiche e furto di token di sessione, trasforma il phishing in un affidabile punto di accesso per crimini più gravi come il furto di account, la compromissione delle e-mail aziendali, la frode nelle fatture e il successivo social engineering”, ha aggiunto Coinbase.
Una delle più grandi piattaforme di scam al mondo
Tycoon è attivo almeno dal 2023, secondo quanto riferito da Steven Masada, assistente del consulente legale generale della Digital Crimes Unit di Microsoft. A metà del 2025, Tycoon rappresentava il 62% dei tentativi di phishing bloccati da Microsoft, inclusi oltre 30 milioni di e-mail in un solo mese.
“Questo ha collocato Tycoon 2FA tra le più grandi organizzazioni di phishing a livello globale”, ha aggiunto. “Abbassando la barriera tecnica all’ingresso, ha permesso a criminali con competenze limitate di condurre sofisticate campagne di furto d’identità”.
Masada ha affermato che settori che vanno dall’assistenza sanitaria all’istruzione sono stati vittime di Tycoon 2FA, con conseguente reindirizzamento delle fatture, furto di dati sensibili, blocco delle reti e interruzioni nell’assistenza ai pazienti.
“La disattivazione di questa infrastruttura interrompe un importante canale di appropriazione indebita degli account e contribuisce a proteggere le persone e le organizzazioni da attacchi successivi quali furto di dati, ransomware, compromissione delle e-mail aziendali e frodi finanziarie”.
