Nel mondo della sicurezza informatica basta davvero poco per trasformare una situazione ordinaria in un problema serio. A volte non serve nemmeno un software sofisticato: è sufficiente un messaggio di posta elettronica ben costruito, una grafica credibile e la sensazione di dover agire in fretta. È proprio su tale dinamica che ha fatto leva Tycoon 2FA, uno dei servizi cybercriminali più diffusi nel panorama del phishing globale. La piattaforma non era un semplice strumento usato da pochi hacker esperti, ma una realtà pensata per rendere il furto di identità digitale accessibile anche a chi possiede competenze tecniche limitate. Attivo almeno dal 2023, il servizio funzionava come un kit pronto all’uso. I criminali potevano creare rapidamente copie quasi perfette delle pagine di accesso di servizi online molto diffusi e convincere le vittime a inserire le proprie credenziali.
Ecco come è stata smantellata la rete di Tycoon 2FA
Le dimensioni del fenomeno aiutano a capire quanto il problema fosse diffuso. Le stime parlano di almeno 96.000 vittime di phishing in tutto il mondo. Tra cui oltre 55.000 utenti legati ai servizi Microsoft. Anche l’Italia è comparsa tra i Paesi coinvolti nella campagna: circa 800 vittime identificate, un dato che colloca il nostro Paese al nono posto tra quelli più colpiti in Europa. A essere presi di mira non erano soltanto singoli utenti, ma soprattutto organizzazioni e istituzioni. Compromettere anche un solo account può aprire la strada a intrusioni più profonde. Con conseguenze che vanno dalla sottrazione di informazioni riservate fino al blocco di intere infrastrutture digitali.
Proprio per tale motivo è stata avviata un’operazione che ha portato allo smantellamento dell’infrastruttura di Tycoon 2FA. L’intervento è stato coordinato da Microsoft con il supporto di Europol e di numerosi partner del settore tecnologico e della sicurezza informatica. L’azione congiunta ha permesso di sequestrare oltre 300 domini. I quali venivano utilizzati per gestire la piattaforma criminale.
Il successo dell’operazione dimostra quanto la collaborazione tra settore pubblico e privato sia essenziale nella lotta contro il cybercrime. Accanto a Microsoft ed Europol hanno partecipato realtà come Cloudflare, Coinbase, Proofpoint, Intel471, TrendAI, Shadowserver Foundation, Resecurity, eSentire e Health-ISAC. Mentre diverse autorità europee, tra cui quelle di Regno Unito, Spagna, Portogallo e Lituania, hanno contribuito alle attività investigative e al sequestro delle infrastrutture.
