Es klingt nach einem weiteren Schlag gegen Internetbetrug, doch die Dimension ist größer, als es auf den ersten Blick scheint. Eine internationale Zusammenarbeit von Ermittlern und Sicherheitsfirmen hat eine Plattform gestoppt, die darauf ausgelegt war, selbst zusätzliche Sicherheitsstufen beim Login in Nutzerkonten zu umgehen. Im Zentrum stand ein Dienst namens Tycoon2FA, der laut Beteiligten über Jahre hinweg gezielt für Kontoübernahmen genutzt wurde und Tausende Kriminelle anzog.
Beteiligt an der Aktion waren unter anderem Europol sowie mehrere große Technologie- und Sicherheitsunternehmen. Auch Trend Micro spielte mit seiner Analyse-Einheit TrendAI eine entscheidende Rolle. Die Experten lieferten Erkenntnisse zu Technik, Infrastruktur und möglichen Tätern. Diese Informationen flossen direkt in die Ermittlungen ein. Tycoon2FA war kein gewöhnlicher Betrugsdienst. Die Plattform tauchte erstmals im August 2023 auf und funktionierte wie ein Abo-Modell.
Nutzer konnten sich einloggen und fertige Werkzeuge verwenden, um an fremde Zugangsdaten zu kommen. Besonders brisant: Selbst zusätzliche Sicherheitscodes, die viele Menschen als Schutz empfinden, konnten ausgehebelt werden. Die Methode dahinter war raffiniert. Opfer wurden auf täuschend echte Login-Seiten gelockt. Dort gaben sie ihre Daten ein, ohne zu ahnen, dass diese in Echtzeit abgefangen wurden. Gleichzeitig wurden aktive Sitzungen übernommen.
Das bedeutet: Angreifer konnten sich direkt in Konten einloggen, ohne erneut nach einem Code gefragt zu werden. Bis zur Abschaltung nutzten rund 2.000 Personen diesen Dienst. Insgesamt kamen mehr als 24.000 Internetadressen zum Einsatz. Besonders im Fokus standen Konten von Cloud-Diensten, darunter auch Angebote wie Microsoft 365. Die Ermittler beobachteten die Aktivitäten über einen längeren Zeitraum.
Im November 2025 gelang es laut Angaben der Analysten, die Plattform einer Person zuzuordnen, die unter den Namen SaaadFridi und Mr_Xaad auftrat. Es soll sich um den Entwickler und Hauptverantwortlichen handeln. Frühere Spuren deuten darauf hin, dass dieser Akteur bereits zuvor Webseiten manipulierte, bevor er sich auf den Aufbau solcher Angriffswerkzeuge konzentrierte. Die gesammelten Daten wurden an Ermittler weitergegeben, um gezielte Maßnahmen zu ermöglichen.
Robert McArdle von TrendAI beschreibt die Dimension. "Das war keine einzelne Phishing-Kampagne. Es war ein industrialisierter Dienst, der MFA-Bypass für Tausende von Kriminellen zugänglich machte", sagt er. Und weiter: "Identität ist heute die primäre Angriffsfläche. Wenn Session Hijacking als Abo-Modell angeboten wird, verschiebt sich das Risiko von Einzelfällen hin zu systemischer Bedrohung." Tatsächlich zeigt der Fall, wie sich Internetkriminalität verändert hat. Was früher technisches Wissen erforderte, ist heute oft nur noch eine Frage des Zugangs zu solchen Plattformen. Dadurch wächst die Zahl potenzieller Täter.
Auch wenn die Plattform abgeschaltet wurde, warnen Experten vor zu viel Entwarnung. Bereits gestohlene Zugangsdaten könnten weiterhin im Umlauf sein. Zudem ist nicht ausgeschlossen, dass ähnliche Dienste unter anderem Namen wieder auftauchen. Der Zugriff zeigt aber auch, wie wichtig internationale Zusammenarbeit ist. Solche Netzwerke arbeiten über Ländergrenzen hinweg und nutzen verteilte Systeme. Ohne koordinierte Maßnahmen wären Eingriffe in dieser Größenordnung kaum möglich.
