Europol, Microsoft oraz organy ścigania z sześciu krajów, w tym z Polski, ogłosiły rozbicie platformy Tycoon 2FA — jednej z największych globalnych usług phishingu na zlecenie. W ramach operacji przejęto i wyłączono 330 aktywnych domen tworzących rdzeń przestępczej infrastruktury. Operację skoordynowało Europejskie Centrum ds. Cyberprzestępczości Europolu (EC3).
Phishing na zlecenie — co to znaczy?
Phishing-as-a-service, czyli phishing na zlecenie, to model działalności przestępczej, w którym twórcy gotowego zestawu narzędzi do ataków internetowych wynajmują je innym cyberprzestępcom — tak jak legalne firmy sprzedają oprogramowanie w abonamencie. Zamawiający nie musi posiadać żadnej wiedzy technicznej. Wystarczy, że opłaci dostęp i wybierze cel ataku.
Tycoon 2FA, działający co najmniej od sierpnia 2023 roku, był jedną z najbardziej zaawansowanych i powszechnie stosowanych tego rodzaju platform na świecie. Jak podaje Europol w komunikacie z 4 marca 2026 r., usługa „zapewniała cyberprzestępcom oparty na subskrypcji zestaw narzędzi zaprojektowany do przechwytywania aktywnych sesji uwierzytelniania i uzyskiwania nieautoryzowanego dostępu do kont internetowych, w tym tych chronionych dodatkowymi warstwami bezpieczeństwa.” Dostęp do panelu administracyjnego oferowany był przez komunikator Telegram za 120 dolarów za 10 dni lub 350 dolarów miesięcznie.
Dlaczego Tycoon 2FA był tak niebezpieczny?
Kluczową właściwością platformy była zdolność do omijania uwierzytelniania wieloskładnikowego (MFA) — mechanizmu uznawanego za jeden z najskuteczniejszych sposobów ochrony kont. Tradycyjny phishing wykrada jedynie hasło. Tycoon 2FA szedł dalej: przechwytywał w czasie rzeczywistym jednorazowe kody autoryzacyjne i aktywne pliki cookie sesji, pozwalając przestępcom zalogować się na konto ofiary bez wzbudzania żadnych alertów bezpieczeństwa — nawet na kontach z aktywną weryfikacją dwuetapową.
Platforma podszywała się pod popularne serwisy, takie jak Microsoft 365, Outlook, OneDrive, SharePoint czy Gmail, oferując przestępcom gotowe szablony wiadomości phishingowych i realistyczne strony logowania. Według danych opublikowanych przez Microsoft 4 marca 2026 r., platforma „łączyła przekonujące szablony phishingowe, realistyczne strony docelowe i przechwytywanie danych uwierzytelniających oraz kodów autoryzacyjnych w czasie rzeczywistym — wszystko to w łatwym do użycia pakiecie, który szybko się skalował. Obniżając techniczny próg wejścia, umożliwiała przestępcom z ograniczoną wiedzą prowadzenie wyrafinowanych kampanii podszycia się.„
Doprowadziło to do sytuacji, w której atak nie zaczynał się od wirusa czy luki w systemie — zaczynał się od jednego kliknięcia w fałszywy e-mail. Po przejęciu sesji napastnicy działali z takim samym poziomem zaufania jak prawowici użytkownicy: poruszali się po systemach, uzyskiwali dostęp do wrażliwych danych i nadużywali połączeń między usługami bez wzbudzania podejrzeń.
Skala zagrożenia w liczbach
Dane dotyczące skali działalności Tycoon 2FA są alarmujące. Według informacji opublikowanych przez Microsoft 4 marca 2026 r.:
- W połowie 2025 roku platforma była odpowiedzialna za około 62 procent wszystkich prób phishingu zablokowanych przez Microsoft.
- W jednym miesiącu wygenerowała ponad 30 milionów fałszywych wiadomości e-mail.
- Docierała do ponad 500 000 organizacji miesięcznie na całym świecie.
- Od 2023 roku doprowadziła do kompromitacji szacunkowo 96 000 unikalnych ofiar, w tym ponad 55 000 klientów Microsoft.
- Cyberprzestępcy korzystający z platformy zarejestrowali i wykorzystali w kampaniach phishingowych łącznie ponad 24 000 domen internetowych.
Największa liczba ofiar — blisko 52 procent — pochodziła ze Stanów Zjednoczonych. Według danych opublikowanych przez serwis Computer Weekly, kolejne miejsca zajmowały Wielka Brytania (ok. 8 proc.), Niemcy (ok. 5 proc.) i Kanada (ok. 4 proc.).
Szczególnie dotkliwie ucierpiały instytucje ochrony zdrowia i placówki edukacyjne. Według Microsoftu, ponad 100 członków organizacji Health-ISAC — globalnej sieci wymiany informacji o zagrożeniach w sektorze zdrowotnym i współpowódki w postępowaniu sądowym — padło ofiarą phishingu przeprowadzonego za pośrednictwem Tycoon 2FA. Tylko w stanie Nowy Jork co najmniej dwa szpitale, sześć szkół publicznych i trzy uczelnie wyższe były celem udanych lub próbowanych ataków. Skutki były jak najbardziej realne: dezorganizacja pracy, opóźnienia w opiece nad pacjentami i kradzież danych wrażliwych.
Jak przebiegała operacja?
Likwidacja Tycoon 2FA była wynikiem wielomiesięcznej, bezprecedensowej współpracy organów ścigania z sektorem prywatnym. Śledztwo zainicjowało przekazanie przez firmę TrendAI (należącą do grupy Trend Micro) szczegółowych informacji wywiadowczych Europolowi. Jak wskazuje Europol w swoim komunikacie: „Dochodzenie rozpoczęło się po tym, jak wywiad został udostępniony przez Trend Micro. Europol rozpowszechnił te informacje za pośrednictwem swoich Grup Doradczych EC3 i sieci operacyjnych, umożliwiając opracowanie skoordynowanej strategii operacyjnej.”
Na mocy nakazu sądowego wydanego przez Sąd Rejonowy Stanów Zjednoczonych dla Południowego Dystryktu Nowego Jorku, Microsoft przejął 330 aktywnych domen stanowiących trzon infrastruktury platformy — panele administracyjne oraz fałszywe strony logowania. Było to jednocześnie pierwsze tego rodzaju działanie realizowane w ramach Programu Rozszerzenia Wywiadu Cybernetycznego Europolu (CIEP), który formalizuje współpracę podmiotów publicznych i prywatnych — umożliwiając przejście od samej wymiany informacji do skoordynowanej, transgranicznej akcji.
Operacje terenowe — zajęcie infrastruktury oraz inne środki operacyjne — przeprowadziły organy ścigania z Łotwy, Litwy, Portugalii, Polski, Hiszpanii i Wielkiej Brytanii. W operacji uczestniczyło szerokie grono prywatnych partnerów: Cloudflare (likwidacja infrastruktury spoza jurysdykcji USA), Proofpoint, Intel471, eSentire (analiza zagrożeń i telemetria kryminalna), SpyCloud (dane o ofiarach), Resecurity (ułatwienie dostępu do platformy dla śledczych), Coinbase (śledzenie przepływów kryptowalutowych) oraz Shadowserver Foundation, która powiadomiła ponad 200 krajowych zespołów reagowania na incydenty komputerowe (CERT) na całym świecie.
Twórcy i ekosystem przestępczy
Według informacji ujawnionych przez Microsoft i TrendAI, głównym deweloperem i operatorem platformy był użytkownik działający pod pseudonimami „SaaadFridi” i „MrXaad”, zidentyfikowany jako Saad Fridi — osobnik, co do którego przyjęto, że działa z terytorium Pakistanu. Wobec Fridiego i innych podejrzanych powiązanych z obsługą platformy wszczęto postępowania prawne.
Tycoon 2FA funkcjonował jako element szerszego, wzajemnie powiązanego ekosystemu przestępczego. Platforma koncentrowała się na przechwytywaniu danych uwierzytelniających i tokenów sesji, podczas gdy komplementarne, odrębne usługi zapewniały masową wysyłkę wiadomości, dystrybucję złośliwego oprogramowania i monetyzację przejętego dostępu. Przykładem takiej synergii był serwis RedVDS, rozbity przez Microsoft w styczniu 2026 roku, który dostarczał tanich wirtualnych serwerów używanych przez przestępców do prowadzenia kampanii phishingowych opartych właśnie na Tycoon 2FA.
Jak podkreśla Microsoft, operator Tycoon 2FA utrzymywał kontakty z twórcą platformy RaccoonO365 — aresztowanym w Nigerii — co dowodzi, jak ściśle powiązany i wzajemnie zależny jest ten rynek przestępczy. Gdy jeden element ekosystemu zostaje usunięty, zaburzenia odczuwalne są w całej sieci.
Phishing na zlecenie — rosnące zagrożenie systemowe
Likwidacja Tycoon 2FA wpisuje się w szerszą strategię organów ścigania polegającą na wywieraniu ciągłej presji na rynek cyberprzestępczości. W ciągu ostatnich 18 miesięcy Microsoft rozbił kilka kluczowych usług podobnego ekosystemu, w tym Lumma Stealer, RaccoonO365 i Fake ONNX. Działania te doprowadziły do aresztowań w Egipcie i Nigerii, całkowitego zamknięcia usług i utraty infrastruktury przez operatorów.
Jednocześnie operacja ujawnia głębszy trend w ewolucji cyberprzestępczości: tożsamość, nie infrastruktura, stała się głównym celem ataku. Jedno skompromitowane konto otwiera dziś drzwi do systemów bankowych, portali ochrony zdrowia, aplikacji firmowych i mediów społecznościowych. Robert McArdle, dyrektor ds. badań nad cyberprzestępczością w TrendAI, skomentował: „To nie była pojedyncza kampania phishingowa. To była zaindustrializowana usługa zbudowana po to, by obejście uwierzytelniania wieloskładnikowego było dostępne dla tysięcy przestępców. Tożsamość jest teraz główną powierzchnią ataku. Gdy przejęcie sesji można opakować i sprzedać w abonamencie, ryzyko przesuwa się z izolowanych incydentów w kierunku systemowego zagrożenia.”
Jak wskazuje Europol w raporcie Internet Organised Crime Threat Assessment (IOCTA) 2024: „rynek usług ransomware, złośliwego oprogramowania i phishingu na zlecenie rośnie i przypomina dynamikę legalnego sektora usług IT, a cyberprzestępcy reklamują swoje usługi za pośrednictwem dark webu.” Demokratyzacja narzędzi przestępczych — czyli obniżenie bariery wejścia dla osób bez wiedzy technicznej — stanowi dziś jedno z kluczowych wyzwań dla organów ścigania na całym świecie.
Co zrobić, by się chronić?
Eksperci zajmujący się bezpieczeństwem cyfrowym wskazują, że pomimo likwidacji Tycoon 2FA zagrożenie ze strony podobnych platform pozostaje aktualne — na rynku przestępczym działają kolejne usługi tego rodzaju. Podstawowe środki ochrony, które znacząco redukują ryzyko, to: stosowanie kluczy bezpieczeństwa sprzętowego lub aplikacji uwierzytelniających odpornych na przechwytywanie sesji (zamiast kodów SMS), analiza nadawcy i adresu URL przed każdym kliknięciem w wiadomości e-mail, regularne przeglądanie aktywnych sesji w ustawieniach kont oraz niezwłoczne zgłaszanie podejrzanych wiadomości do administratorów systemów lub odpowiednich służb.
Źródła
- Europol, komunikat prasowy z 4 marca 2026 r.: Global phishing-as-a-service platform taken down in coordinated public-private action — europol.europa.eu
- Microsoft On the Issues, Steven Masada, 4 marca 2026 r.: Defending the gates: How a global coalition disrupted Tycoon 2FA — blogs.microsoft.com
- TrendAI / PRNewswire, 4 marca 2026 r.: TrendAI Helps Drive Global Takedown of Tycoon 2FA MFA-Bypass Phishing Service — prnewswire.com
- Europol, Internet Organised Crime Threat Assessment (IOCTA) 2024 — europol.europa.eu
