L’operazione guidata da Microsoft ed Europol ha neutralizzato un sistema industrializzato di phishing capace di bypassare l’autenticazione a due fattori, coinvolgendo oltre 800 utenze in Italia
Un’importante operazione di polizia informatica internazionale ha portato allo smantellamento di Tycoon 2FA, uno dei servizi di “Phishing-as-a-Service” più diffusi ed efficaci degli ultimi anni. L’azione, condotta da Microsoft in coordinamento con Europol e una vasta coalizione di partner del settore tecnologico, ha inferto un colpo duraturo a un’infrastruttura cybercriminale che, dal 2023, ha alimentato frodi e furti di identità su scala globale. Complessivamente, sono stati sequestrati oltre 300 domini che costituivano l’ossatura logistica del servizio, interrompendo una catena di attacchi che aveva già compromesso circa 96.000 vittime, tra cui oltre 55.000 clienti dei servizi Microsoft.
Tycoon 2FA non operava attraverso metodologie di phishing tradizionale. Si trattava di un sistema industrializzato progettato per eseguire attacchi di tipo Adversary-in-the-Middle (AiTM). Questa tecnica permetteva ai criminali di intercettare in tempo reale le sessioni di autenticazione attive, acquisendo non solo le password, ma anche i codici monouso (OTP) e i cookie di sessione. Tale approccio consentiva agli attaccanti di accedere agli account cloud aziendali anche in presenza di sistemi di autenticazione a più fattori (MFA), neutralizzando una delle difese più comuni ed efficaci del perimetro digitale.
L’impatto sul territorio italiano è stato significativo: i dati dell’operazione indicano circa 800 vittime, dato che colloca l’Italia al nono posto tra i Paesi europei più colpiti. Il servizio criminale è stato utilizzato prevalentemente per colpire infrastrutture critiche e istituzioni, con una concentrazione di attacchi diretta verso aziende, scuole, ospedali e uffici della pubblica amministrazione. La natura trasversale della minaccia ha richiesto una risposta altrettanto corale, che ha visto la partecipazione di realtà come Cloudflare, Coinbase, Proofpoint, Intel471, TrendAI, the Shadowserver Foundation, Resecurity, eSentire e Health-ISAC.
L’intervento rappresenta un modello avanzato di collaborazione tra il settore pubblico e quello privato nella lotta al crimine informatico. Come evidenziato nel blog di Steven Masada, Assistant General Counsel della Microsoft Digital Crimes Unit, l’ampiezza della cooperazione riflette la necessità di agire in modo multipiattaforma per contrastare ecosistemi criminali sempre più sofisticati. L’operazione non solo ha rimosso una minaccia immediata, ma ha fornito dati preziosi per comprendere le evoluzioni dei modelli di business del cybercrime, orientati verso l’automazione del furto di credenziali e l’elusione sistematica dei protocolli di sicurezza standard.
