Aliança global desarticula o Tycoon 2FA, um dos principais serviços cibercriminosos
A Microsoft, a Europol e parceiros da indústria desarticularam o Tycoon 2FA, um dos serviços cibercriminosos mais utilizados por trás de fraudes de impersonificação online em larga escala.
Esses ataques eram alimentados pelo Tycoon 2FA. Hoje, Microsoft, Europol e parceiros do setor anunciaram uma ação coordenada para interromper o serviço responsável por dezenas de milhões de e-mails fraudulentos que alcançam mais de 500 mil organizações a cada mês no mundo todo.sses ataques eram alimentados pelo Tycoon 2FA.
Apreensão de domínios
Como parte de uma ação autorizada judicialmente, a Microsoft apreendeu mais de 300 domínios que sustentavam a infraestrutura central do Tycoon 2FA. Ativo desde pelo menos 2023, o Tycoon 2FA permitiu que milhares de cibercriminosos invadissem contas de e-mail e de serviços online e foi associado a mais de 96 mil vítimas de phishing em todo o mundo, incluindo mais de 55 mil clientes da Microsoft. O serviço foi frequentemente utilizado para atingir empresas, escolas, hospitais e instituições públicas.
A escala e o impacto real do Tycoon 2FA
Em meados de 2025, a ameaça representava aproximadamente 62% de todas as tentativas de phishing bloqueadas pela Microsoft, incluindo mais de 30 milhões de e-mails em um único mês. Isso colocou a Tycoon 2FA entre as maiores operações de phishing do mundo.
Apesar das defesas extensas, o serviço está ligado a cerca de 96 mil vítimas distintas de phishing em todo o mundo desde 2023, incluindo mais de 55 mil clientes da Microsoft.
Não se tratava de uma operação de phishing convencional. O Tycoon funcionava como um serviço industrializado, projetado para interceptar sessões de autenticação ao vivo em tempo real — capturando códigos de uso único e cookies de sessão ativos e permitindo que criminosos acessassem contas corporativas em nuvem mesmo quando o Multi Factor Authentication estava habilitada.
Parceiros na empreitada
A desarticulação foi um exemplo de colaboração entre organizações públicas e privadas, realizada em coordenação com a Europol e alguns parceiros da indústria, incluindo Cloudflare, Coinbase, Proofpoint, Intel471, TrendAI, Shadowserver Foundation, Resecurity, eSentire e Health-ISAC. O nível de cooperação entre diferentes instituições reflete a natureza multiplataforma da ameaça.
Mais informações sobre a desarticulação e os esforços da Microsoft para desmontar ecossistemas de cibercrime estão disponíveis neste blog de Steven Masada, Conselheiro Geral Assistente da Unidade de Crimes Digitais da Microsoft.