Coinbase, Microsoft og Europol forstyrrer en stor phishing-plattform, 330 domener tatt ned

Coinbase, Microsoft og Europol koordinerer aksjon mens Tycoon 2FA sender millioner av phishing-e-poster hver måned

Internasjonal koordinering mellom teknologiselskaper og politi- og påtalemyndigheter utvides for å håndtere cyberkriminalitet. Kryptobørsen Coinbase (Nasdaq: COIN) delte 4. mars at den samarbeidet med Microsoft, Europol og bransjepartnere for å forstyrre Tycoon 2FA. I en separat kunngjøring samme dag beskrev Europol den globale operasjonen som rettet seg mot phishingplattformen.

Coinbase uttalte:

«Vi inngikk partnerskap med Microsoft, Europol og andre bransjepartnere for å forstyrre Tycoon 2FA (Tycoon), en phishing-as-a-service-plattform som brukes til å stjele innloggingsopplysninger og omgå MFA ved å fange opp sesjonstokener.»

MFA, eller flerfaktorautentisering, er en sikkerhetsmetode som krever at brukere verifiserer identiteten sin ved hjelp av to eller flere faktorer, som et passord kombinert med en engangskode, godkjenning i en autentiseringsapp eller en fysisk sikkerhetsnøkkel. Europols europeiske senter for cyberkriminalitet (EC3) koordinerte den internasjonale innsatsen og la til rette for etterretningsdeling gjennom sitt Cyber Intelligence Extension Programme, som kobler sammen analytikere i privat sektor og etterforskere som jobber med grenseoverskridende cyberkrimsaker.

Aktiv siden minst august 2023 fungerte Tycoon 2FA som et abonnementsbasert verktøysett som gjorde det mulig for cyberkriminelle å avskjære aktive autentiseringsøkter og omgå beskyttelse med flerfaktorautentisering. Etterforskere fant at plattformen genererte titalls millioner phishing-e-poster hver måned og muliggjorde uautorisert tilgang til nær 100 000 organisasjoner verden over, inkludert skoler, sykehus og offentlige institusjoner.

Med henvisning til at «innen midten av 2025 stod Tycoon 2FA for om lag 62 % av alle phishingforsøk blokkert av Microsoft», utdypet Europol:

«Som del av forstyrrelsen ble 330 domener som utgjorde kjerneinfrastrukturen til den kriminelle tjenesten, inkludert phishing-sider og kontrollpaneler, tatt ned.»

Den tekniske forstyrrelsen involverte Microsoft og flere partnere i privat sektor, mens politimyndigheter i Latvia, Litauen, Portugal, Polen, Spania og Storbritannia gjennomførte beslag og håndhevingstiltak koordinert via Europol. Ytterligere organisasjoner som bidro til etterforskningen inkluderte Cloudflare, Intel471, Proofpoint, Shadowserver Foundation, Spycloud og Trend Micro. Etterforskere sporet også kryptovalutabetalingsstrømmer knyttet til plattformens finansiering og infrastruktur.

Coinbase understreket: «Slike forstyrrelser fungerer best når de opprettholdes over tid. Vi vil fortsette å samarbeide med Microsoft, rettshåndhevende myndigheter og bransjekolleger for å identifisere operatører, øke kostnaden ved å drive disse tjenestene og bidra til å forhindre at krypto brukes til å finansiere cyberkriminalitet.»

FAQ 🧭

• Hvorfor er aksjonen mot Tycoon 2FA viktig for investorer?
  Det signaliserer sterkere samarbeid mellom teknologiselskaper, kryptoselskaper og rettshåndhevende myndigheter for å beskytte digitale plattformer og redusere risikoen for cyberkriminalitet.
• Hvordan omgåtte Tycoon 2FA sikkerhetssystemer?
  Phishingverktøysettet avskar aktive innloggingsøkter og fanget opp autentiseringstokener, noe som gjorde det mulig for hackere å omgå flerfaktorautentisering.
• Hvilken rolle spilte Coinbase i etterforskningen?
  Coinbase samarbeidet med Microsoft, Europol og sikkerhetsselskaper for å spore infrastruktur, analysere kryptobetalingstrømmer og forstyrre phishing-nettverket.
• Hvorfor øker global koordinering mot cyberkriminalitet?
  Myndigheter og teknologiselskaper deler etterretning og ressurser for å bekjempe sofistikerte cyberkriminelle operasjoner som opererer på tvers av landegrenser.