Sicherheit + Datenschutz 13. März 2026 2 Min Lesezeit

Tycoon2FA: Eines der weltweit grössten Phishing-Netzwerke zerschlagen

Geschrieben von
Miriam Schäfer
Tycoon2FA Phishing Netzwerk

Das Phishing-Netzwerk Tycoon2FA gehört zu den auffälligsten Cyberkriminalitätsfällen der letzten Jahre. Die Plattform ermöglichte es Kriminellen, trotz Zwei-Faktor-Authentifizierung unbemerkt auf E-Mail- und Cloud-Konten zuzugreifen – weltweit. Eine internationale Strafverfolgungsaktion unter Koordination von Europol, mit Unterstützung von Microsoft und Trend Micro, hat Tycoon2FA nun zerschlagen.

Tycoon2FA: Das Netzwerk, das Zwei-Faktor-Authentifizierung aushebelte

Tycoon2FA war eine professionelle Phishing-Plattform, aktiv seit August 2023 und laut Europol eine der grössten bekannten Phishing-Operationen weltweit. Ziel: Cyberkriminellen den Zugriff auf E-Mail- und Cloud-Dienste verschaffen – auch wenn diese mit Zwei-Faktor-Authentifizierung (2FA) gesichert waren.

Normalerweise schützt 2FA Accounts mit einem Einmal-Code zusätzlich zum Passwort. Tycoon2FA hebelte diesen Schutz aus, indem während der Authentifizierung Sitzungs-Cookies abgefangen und die 2FA-Codes über Proxy-Server weitergeleitet wurden.

Tausende Cyberkriminelle nutzten die Plattform – von unerfahrenen Einsteigern bis zu professionellen Angreifern. Die niedrige Einstiegshürde war das eigentlich Gefährliche: Kein technisches Know-how, keine eigenen Server, trotzdem angriffsfähig.

Vom Klick zum Zugriff: Die Tricks von Tycoon2FA

Tycoon2FA funktionierte als „Phishing-as-a-Service“-System. Angriffe starten, ohne tieferes technisches Wissen – das war das Versprechen an Käufer.

Der Vertrieb lief über geschlossene oder halbprivate Telegram-Channels. Rund 120 US-Dollar für zehn Tage Zugriff. Danach standen vorgefertigte Phishing-Seiten, Proxy-Server und Kontrollpanels bereit – sofort einsetzbar, auch gegen 2FA-gesicherte Konten.

Wer Sitzungen und Tokens übernimmt, kommt auch dann rein, wenn Passwörter geändert werden. Rundum-sorglos-Paket für aktive Cyberkriminelle, ohne Euphemismus gesagt.

Technische Funktionsweise: Wie 2FA ausgehebelt wurde

Die Masche lässt sich vereinfacht als Man-in-the-Middle-Angriff beschreiben:

  1. Ein Nutzer gibt seine Anmeldedaten auf einer gefälschten Login-Seite ein – optisch kaum von Microsoft 365 oder Gmail zu unterscheiden.
  2. Die Plattform leitet die Daten in Echtzeit an den echten Server weiter. Das Opfer merkt nichts – der Login scheint normal.
  3. 2FA-Codes werden ebenfalls abgefangen und über Proxy-Server weitergeleitet, sodass der Dienst eine korrekte Authentifizierung annimmt.
  4. Zusätzlich speicherte Tycoon2FA Sitzungs-Cookies, die dauerhaften Zugriff ermöglichen – auch nach einer Passwortänderung.

Nicht das Passwort wird umgangen, sondern die aktive Sitzung übernommen. 2FA war damit wirkungslos.

Zahlen & Fakten zu einer der grössten Phishing-Operationen weltweit

  • Aktiv seit August 2023
  • Anzahl Domains: mindestens 330 (inkl. Phishing-Seiten & Kontrollpanels)
  • Anzahl Phishing-Mails: mehrere Millionen monatlich
  • Kriminelle Nutzer: mehrere Tausend
  • Angegriffene Ziele: Fast 100.000 Organisationen weltweit, darunter Krankenhäuser, Schulen und öffentliche Einrichtungen

Das Aus für Tycoon2FA: Ein Blick hinter die Strafverfolgungsaktion

Im März 2026 schaltete eine internationale Ermittlerkoalition Tycoon2FA ab. Koordiniert vom Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol, vereinte die Aktion Behörden, private IT-Sicherheitsfirmen und Infrastruktur-Anbieter.

Den Anfang machten Hinweise von Trend Micro (IT-Sicherheitsunternehmen, Tokio) auf die Infrastruktur von Tycoon2FA. Europol teilte diese Informationen über operative Netzwerke und Beratungsgruppen, daraus entstand eine koordinierte internationale Einsatzstrategie: Plattform vollständig vom Netz nehmen, Phishing-Domains und Kontrollpanels abschalten.

Beteiligt waren Behörden aus Lettland, Litauen, Portugal, Polen, Spanien und Grossbritannien. Microsoft und Trend Micro lieferten technisches Fachwissen und Infrastruktur-Analysen. Cloudflare und Coinbase unterstützten bei Abschaltung und Sicherung der Server.

Das Ergebnis: 330 Domains – Phishing-Seiten und Kontrollpanels – sind offline.

Quellen:

Pressemeldung Europol: Global phishing-as-a-service platform taken down in coordinated public-private action

Bericht von Bleeping Computer: Europol-coordinated action disrupts Tycoon2FA phishing platform

Tags: Cybercrime
Über die Autor:in

Miriam Schäfer

Social Media und redaktionelle Inhaltspflege rundum.dog seit April 2026. Schreibt für dataloft zu Datenschutz, Online-Recht, Social-Media-Trends und KI-Themen.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-06-12 Tatort Schweiz: Datenleck im Kantonsgericht Schaffhausen 2018-04-06 Chrome: Google-Browser durchsucht Nutzerdaten unter Windows 2019-05-28 CodeRisk Security-Bewertung für WordPress Plugins

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG