Tycoon 2FA

🔍 Contexte Publié le 10 avril 2026 par Flashpoint, cet article de threat intelligence présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS), réalisée en collaboration avec des institutions financières partenaires. Il décrit la transformation du phishing d’une tactique isolée en un modèle économique cybercriminel industrialisé. 🏗️ Structure de l’écosystème PhaaS Le PhaaS moderne fonctionne comme une plateforme SaaS légitime : Abonnements à partir de 10 USD pour des kits basiques Templates préconçus pour usurper des marques connues Mécanismes de livraison intégrés : email, SMS, QR phishing Dashboards en temps réel pour le suivi des campagnes et la collecte de credentials Le pipeline d’attaque implique des acteurs spécialisés : développeurs de kits, fournisseurs d’infrastructure, services de livraison SMS, et acteurs de monétisation. ...

Selon un communiqué de presse d’Europol (4 mars 2026), une opération internationale coordonnée par l’EC3 a démantelé « Tycoon 2FA », une plateforme de phishing-as-a-service utilisée pour contourner l’authentification multifacteur (MFA) et compromettre des comptes à grande échelle. • Ce service par abonnement fournissait un outillage conçu pour intercepter des sessions d’authentification en direct et obtenir un accès non autorisé à des comptes en ligne, y compris ceux protégés par des couches de sécurité additionnelles. Actif depuis au moins août 2023, il a permis à des milliers de cybercriminels de viser des comptes email et services cloud, touchant près de 100 000 organisations (dont des écoles, hôpitaux et institutions publiques). ✉️🔓 ...

Source et contexte: SpyCloud publie une analyse basée sur 159 188 identifiants phishés, révélant que la plateforme de Phishing-as-a-Service Tycoon 2FA met en œuvre des techniques Adversary-in-the-Middle (AitM) pour contourner la MFA et compromettre des comptes Microsoft 365 et Gmail. 🎣 Fonctionnement: Tycoon 2FA héberge des copies convaincantes des pages de connexion Gmail et Microsoft 365, intercepte le flux d’authentification, capture identifiants et jetons MFA, relaie les requêtes vers les services légitimes et vole les cookies de session pour l’hijacking. Le kit intègre des fonctions anti-analyse comme des CAPTCHA et de l’obfuscation de code. ...