A repressão global ao phishing-as-a-service mira tycoons 2fa numa grande operação de cibersegurança

Em uma operação coordenada contra fraudes online organizados, investigadores e empresas de segurança moveram-se esta semana para desmantelar o Tycoon 2fa e a sua vasta infraestrutura de phishing.

Coalizão desmantela enorme plataforma de phishing

Uma operação conjunta da Coinbase, Microsoft e Europol desmantelou a infraestrutura central da plataforma de phishing como serviço Tycoon 2FA, anunciaram as empresas na quarta-feira. A operação visou o que as autoridades descrevem como uma das maiores operações comerciais de phishing do mundo, ativa desde pelo menos 2023.

Além disso, os investigadores afirmam que o serviço industrializou o roubo de credenciais ao vender kits de ferramentas por assinatura a criminosos. Estes pacotes permitiam aos compradores roubar credenciais de login em grande escala e contornar sistematicamente a autenticação de múltiplos fatores, transformando esquemas básicos de fraude em ataques organizados a empresas em todo o mundo.

Até meados de 2025, dados da Microsoft mostraram que campanhas ligadas ao Tycoon representavam 62% de todas as tentativas de phishing bloqueadas pela empresa. No seu auge, a plataforma gerava dezenas de milhões de emails de phishing por mês, inundando caixas de entrada em várias regiões e setores.

A operação facilitou tentativas de acesso não autorizado a quase 100.000 organizações globalmente, incluindo escolas, hospitais e instituições públicas. No entanto, a escala da plataforma permitia que muitas campanhas fossem lançadas por atores com pouca habilidade, que simplesmente alugavam as ferramentas em vez de construir a sua própria infraestrutura.

Como parte do desmantelamento, a Microsoft bloqueou 330 domínios ligados ao serviço. As autoridades também apreenderam infraestrutura central adicional, interrompendo os sistemas de comando e controlo que coordenavam campanhas de phishing e geriam dados roubados.

Como o Tycoon contornou a autenticação de múltiplos fatores

O Tycoon operava como uma rede profissional de phishing como serviço. O seu kit incluía páginas de aterragem falsificadas, criadas para imitar de perto portais de login legítimos de serviços empresariais, contas financeiras e sistemas do setor público.

Quando as vítimas inseriam as suas credenciais, a plataforma capturava cookies de sessão e tokens em tempo real. Além disso, esta abordagem permitia aos atacantes sequestrar sessões autenticadas, em vez de tentarem adivinhar repetidamente passwords ou fazer ataques de força bruta simples.

Um evento de roubo de token de sessão é especialmente perigoso porque o token serve como prova de que o utilizador já se autenticou. Se um hacker roubar esse token, pode reutilizá-lo para aceder à conta sem desencadear novamente os pedidos de autenticação de múltiplos fatores, criando efetivamente uma presença furtiva e persistente.

“Essa combinação — iscas de alta fidelidade mais roubo de tokens de sessão — transforma o phishing numa via confiável para crimes maiores, como tomada de contas, comprometimento de emails empresariais, fraude em faturas,” afirmou a Coinbase numa declaração. A empresa destacou, no entanto, que a disrupção coordenada ainda pode reduzir significativamente a superfície de ataque dessas operações.

Ao baixar a barreira técnica de entrada, a plataforma permitiu que criminosos com habilidades limitadas conduzíssem campanhas sofisticadas contra grandes organizações. Indústrias desde a saúde até à educação foram afetadas, resultando em dados roubados, faturas redirecionadas e até interrupções nos cuidados aos pacientes, à medida que sistemas eram comprometidos ou bloqueados.

Coinbase e investigação forense em blockchain

A Coinbase desempenhou um papel central na investigação ao rastrear transações em blockchain usadas para pagar pelo serviço. Além disso, esse rasto financeiro ajudou as autoridades a ligar carteiras pseudónimas a identidades do mundo real relacionadas ao suposto administrador da plataforma e a vários compradores dos kits.

“Desligar a infraestrutura central do Tycoon corta um importante canal para o roubo de credenciais e obriga os criminosos a reconstruir, reconfigurar e assumir mais riscos,” afirmou a Coinbase. Os investigadores viram nisso uma oportunidade de aumentar o atrito operacional para os atores de ameaças que passaram a depender do serviço.

A Coinbase também afirmou que está a trabalhar ativamente para identificar as pessoas que compraram as ferramentas da plataforma e continuará a apoiar os esforços das autoridades em todo o mundo. Este tipo de cooperação entre Coinbase e as forças de segurança destaca como as bolsas de criptomoedas e as equipas de análise desempenham agora um papel essencial em casos de cibercrime em grande escala.

O phishing foi apontado como a segunda maior ameaça aos utilizadores de criptomoedas em 2025 pela empresa de segurança blockchain CertiK, que registou perdas de 722 milhões de dólares em 248 incidentes. No entanto, os investigadores acreditam que, sem as recentes ações contra redes de phishing industrializadas, essas perdas poderiam ter sido ainda maiores.

Tendências mais amplas em ataques de phishing e MFA

De acordo com dados do setor, as perdas relacionadas com phishing caíram 83% em 2025 em comparação com o ano anterior. Além disso, essa redução sugere que utilizadores, plataformas e reguladores estão lentamente a fechar alguns dos vetores de ataque mais prejudiciais que proliferaram em 2023 e 2024.

No entanto, os atacantes continuam a desenvolver técnicas cada vez mais avançadas para derrotar as medidas de segurança. As campanhas agora frequentemente visam infraestruturas de carteiras, plataformas em nuvem e logins empresariais, incluindo explorações ligadas ao EIP-7702 e ataques baseados em assinatura Permit2 que manipulam aprovações de transações.

Pesquisadores de segurança observam que o Tycoon 2fa fazia parte de um ecossistema mais amplo de serviços de malware que se especializam em contornar a autenticação de múltiplos fatores. Essas plataformas criminosas focam-se em roubar ou reproduzir artefatos de sessão e abusar da confiança nos fluxos legítimos de login, em vez de simplesmente roubar passwords estáticos.

Um porta-voz da empresa de segurança blockchain PeckShield disse à Cointelegraph que o phishing continua a ser uma “ameaça persistente” em 2026, apesar do impacto operacional das recentes ações. No entanto, respostas coordenadas envolvendo bolsas, provedores de nuvem e unidades policiais transfronteiriças estão a começar a aumentar o custo e a complexidade de operar redes de phishing em grande escala.

Resumindo, o desmantelamento do Tycoon 2FA representa uma vitória significativa contra o roubo organizado de credenciais, mas as técnicas subjacentes continuarão a evoluir. A colaboração contínua entre empresas de tecnologia, investigadores de blockchain e forças de segurança será fundamental para manter operações de phishing como serviço sob controlo no futuro.