Uma coligação internacional de autoridades policiais, liderada pela Europol, e diversas empresas de cibersegurança conseguiu desmantelar a Tycoon 2FA. Esta plataforma de “phishing como serviço” permitia a cibercriminosos contornar a autenticação de múltiplos factores à escala global e roubar credenciais de acesso de forma massiva.
O serviço criminoso surgiu em Agosto de 2023 e funcionava com base em assinaturas. Os interessados podiam comprar o acesso através do Telegram ou do Signal, a pagar 120 dólares por dez dias ou 350 dólares por um mês de utilização de um painel de administração na web. As autoridades apontam Saad Fridi, alegadamente a residir no Paquistão, como o principal programador da ferramenta. A operação conjunta resultou na apreensão de 330 domínios que serviam de base à infra-estrutura maliciosa.
O painel de controlo funcionava como um centro de comando para configurar e refinar campanhas de ataques. Os operadores tinham à disposição modelos pré-construídos, ficheiros de anexo para engodos comuns e lógicas de redireccionamento. A grande ameaça da Tycoon 2FA residia na capacidade de interceptar cookies de sessão gerados durante o processo de autenticação. Ao capturar estes dados, os atacantes conseguiam manter o acesso a contas de correio electrónico e serviços na cloud mesmo depois de as vítimas alterarem as palavras-passe. Os códigos de segurança eram reencaminhados através de servidores proxy para o serviço legítimo, a enganar os sistemas de protecção.
Um impacto à escala global
A dimensão do problema era massiva. A Europol descreveu a operação como uma das maiores do mundo no campo do roubo de dados. A plataforma facilitou o acesso não autorizado a quase cem mil organizações em todo o planeta, a incluir escolas, hospitais e instituições públicas. A Microsoft, que monitoriza os operadores deste serviço sob o nome Storm-1747, revelou que a Tycoon 2FA representou cerca de 62% de todas as tentativas de phishing bloqueadas pela empresa a meio de 2025. Apenas num mês, a gigante tecnológica bloqueou mais de trinta milhões de mensagens associadas a esta rede.
Dados da SpyCloud indicam que os Estados Unidos concentraram o maior número de vítimas identificadas, a ultrapassar as 179 mil. O Reino Unido, o Canadá, a Índia e a França completam a lista dos países mais afectados. A esmagadora maioria das contas visadas pertencia a ambientes empresariais, o que demonstra um foco claro em alvos corporativos em vez de consumidores individuais. A Trend Micro, parceira do sector privado nesta investigação, estimou que a plataforma contava com cerca de dois mil utilizadores activos.
A empresa de segurança Proofpoint também partilhou dados alarmantes, a sublinhar que a Tycoon 2FA foi responsável pelo maior volume de ameaças deste género. Apenas em Fevereiro de 2026, a Proofpoint observou mais de três milhões de mensagens associadas a este kit. Toda a informação capturada podia ser descarregada directamente no painel ou enviada para o Telegram para uma monitorização quase em tempo real.
Tácticas de evasão avançadas
Para evitar a detecção por parte das ferramentas de segurança, o serviço empregava técnicas sofisticadas. Os criminosos recorriam a monitorização de teclas, bloqueio de bots, ofuscação de código e páginas de engodo dinâmicas. A plataforma permitia imitar na perfeição as páginas de início de sessão de marcas de confiança, como o Microsoft 365, o OneDrive, o Outlook e o Gmail.
Outro aspecto central da estratégia passava por utilizar uma mistura de domínios de topo e nomes de domínio de curta duração para alojar a infra-estrutura na Cloudflare. Estes endereços permaneciam activos apenas entre 24 a 72 horas. Esta rotação rápida consistia num esforço deliberado para complicar o trabalho dos investigadores e impedir a criação de listas de bloqueio fiáveis. Com o desmantelamento agora anunciado, as autoridades desferem um golpe severo numa das ferramentas mais prolíficas do cibercrime moderno.
