Nemzetközi rendőrségi együttműködés keretében felszámolták a világ egyik legnagyobb "phishing-as-a-service" (PhaaS) platformját, a Tycoon 2FA nevű szolgáltatást. Az akciót az Europol vezette, és több ország - Lettország, Litvánia, Portugália, Lengyelország, Spanyolország és az Egyesült Királyság - hatóságai vettek részt benne. A nyomozás során 330 olyan domaint kapcsoltak le, amelyek a rendszer alapinfrastruktúráját alkották, beleértve az adathalász oldalakat és azokat a vezérlőpaneleket is, amelyeken keresztül a támadók kampányaikat irányították.
A Tycoon 2FA legalább 2023 augusztusa óta működött, és lehetővé tette, hogy kiberbűnözők tömegesen férjenek hozzá e-mail- és felhőszolgáltatások fiókjaihoz. A platform úgynevezett "adversary-in-the-middle" (AiTM) támadást alkalmazott. A bejelentkezési adatokat és a munkamenet-sütiket elfogva még a többfaktoros hitelesítéssel védett fiókokhoz is képes volt hozzáférni. Az Europol szerint a szolgáltatás havonta több tízmillió adathalász e-mail kiküldését tette lehetővé, és világszerte közel 100 ezer szervezet - köztük iskolák, kórházak és állami intézmények - rendszereibe segítette a jogosulatlan belépést.
A műveletben több magáncég is támogatta a hatóságokat, köztük a Cloudflare, a Coinbase, a Microsoft, a Proofpoint, a Trend Micro és a Shadowserver Foundation. Biztonsági kutatók szerint a platform rendkívül népszerű volt az alvilági fórumokon. A hozzá kapcsolódó bitcoin-pénztárca 2023 augusztusa és 2024 márciusa között több mint 400 ezer dollárnyi kriptovalutát gyűjtött. A szolgáltatáshoz már 120 dollárért is hozzá lehetett férni tíz napra, ami széles körben elérhetővé tette a kiberbűnözők számára. 2025 közepére a Tycoon 2FA állítólag az összes, a Microsoft által blokkolt adathalász támadás mintegy 62 százalékáért volt felelős.
