Coinbase, Microsoft, Europol forstyrrer stor phishingplatform, 330 domæner taget ned

Coinbase, Microsoft og Europol koordinerer nedkæmpelse, mens Tycoon 2FA sender millioner af phishing-e-mails hver måned

International koordinering mellem teknologivirksomheder og retshåndhævende myndigheder udvides for at håndtere cyberkriminalitet. Kryptobørsen Coinbase (Nasdaq: COIN) delte den 4. marts, at den samarbejdede med Microsoft, Europol og branchepartnere om at forstyrre Tycoon 2FA. I en separat meddelelse samme dag beskrev Europol den globale operation, der var rettet mod phishingplatformen.

Coinbase udtalte:

“Vi samarbejdede med Microsoft, Europol og andre branchepartnere om at forstyrre Tycoon 2FA (Tycoon), en phishing-as-a-service-platform, der bruges til at stjæle loginoplysninger og omgå MFA ved at opsnappe sessionstokens.”

MFA, eller multifaktorgodkendelse, er en sikkerhedsmetode, der kræver, at brugere bekræfter deres identitet ved hjælp af to eller flere faktorer, såsom en adgangskode kombineret med en engangskode, godkendelse via en autentificeringsapp eller en hardwarebaseret sikkerhedsnøgle. Europols Europæiske Center for Cyberkriminalitet (EC3) koordinerede den internationale indsats og muliggjorde efterretningsdeling via sit Cyber Intelligence Extension Programme, som forbinder analytikere og efterforskere i den private sektor, der arbejder på grænseoverskridende cyberkriminalitetssager.

Aktiv siden mindst august 2023 fungerede Tycoon 2FA som et abonnementsbaseret værktøjssæt, der gjorde det muligt for cyberkriminelle at opsnappe live-autentificeringssessioner og omgå beskyttelse med multifaktorgodkendelse. Efterforskere fandt, at platformen genererede titusinder af millioner phishing-e-mails hver måned og muliggjorde uautoriseret adgang til næsten 100.000 organisationer verden over, herunder skoler, hospitaler og offentlige institutioner.

Med bemærkningen om at “I midten af 2025 stod Tycoon 2FA for omtrent 62% af alle phishingforsøg, som Microsoft blokerede,” uddybede Europol:

“Som led i forstyrrelsen blev 330 domæner, der udgjorde kerneinfrastrukturen i den kriminelle tjeneste, herunder phishingsider og kontrolpaneler, taget ned.”

Den tekniske forstyrrelse involverede Microsoft og flere private sektor-partnere, mens retshåndhævende myndigheder i Letland, Litauen, Portugal, Polen, Spanien og Storbritannien gennemførte beslaglæggelser og håndhævelsesaktioner koordineret via Europol. Yderligere organisationer, der bidrog til efterforskningen, omfattede Cloudflare, Intel471, Proofpoint, Shadowserver Foundation, Spycloud og Trend Micro. Efterforskere sporede også kryptovaluta-betalingsstrømme knyttet til platformens finansiering og infrastruktur.

Coinbase understregede: “Forstyrrelser som denne fungerer bedst, når de fastholdes. Vi vil fortsat samarbejde med Microsoft, retshåndhævelse og branchekolleger for at identificere operatører, øge omkostningerne ved at drive disse tjenester og hjælpe med at forhindre, at krypto bruges til at finansiere cyberkriminalitet.”

FAQ 🧭

• Hvorfor betyder nedkæmpelsen af Tycoon 2FA noget for investorer?
  Det signalerer et stærkere samarbejde mellem teknologivirksomheder, kryptovirksomheder og retshåndhævende myndigheder for at beskytte digitale platforme og reducere risici for cyberkriminalitet.
• Hvordan omgik Tycoon 2FA sikkerhedssystemer?
  Phishingværktøjssættet opsnappede live-login-sessioner og indfangede autentificeringstokens, hvilket gjorde det muligt for hackere at omgå multifaktorgodkendelse.
• Hvilken rolle spillede Coinbase i efterforskningen?
  Coinbase samarbejdede med Microsoft, Europol og sikkerhedsfirmaer om at spore infrastruktur, analysere kryptobetalingers pengestrømme og forstyrre phishingnetværket.
• Hvorfor stiger global koordinering mod cyberkriminalitet?
  Myndigheder og teknologivirksomheder deler efterretninger og ressourcer for at bekæmpe avancerede cyberkriminalitetsoperationer, der opererer på tværs af grænser.