Microsoft, Europol e vari partner del settore hanno colpito duro: Tycoon 2FA è stato smantellato con un’operazione coordinata che ha portato al sequestro di oltre 300 domini legati alla sua infrastruttura. Il punto non è solo “chiudere un sito”. Qui parliamo di un servizio usato su larga scala per furto d’identità e compromissione di account, attivo almeno dal 2023.

Tycoon 2FA: 96.000 vittime e Italia nella top 10 europea

I numeri danno la dimensione del problema. Tycoon 2FA è stato collegato a oltre 96.000 vittime di phishing nel mondo. Tra queste, più di 55.000 sarebbero clienti Microsoft. In Italia si parla di circa 800 vittime, con il Paese al 9° posto tra i più colpiti in Europa.

Il bersaglio non era “solo” l’utente privato. Il servizio è stato usato soprattutto contro realtà che valgono soldi e dati: aziende, scuole, ospedali e istituzioni pubbliche.

Perché Tycoon 2FA era diverso dal phishing classico

Qui sta il dettaglio più importante. Tycoon 2FA non funzionava come la truffa “vecchio stile” con una pagina finta e una password rubata. Era un servizio industrializzato, costruito per intercettare in tempo reale una sessione di accesso già attiva.

In pratica, mentre la vittima faceva login, il sistema catturava:

• codici monouso (OTP)
• cookie di sessione
• dati della sessione in corso

Risultato: i criminali potevano entrare negli account anche quando era attiva l’autenticazione a più fattori. E questo è il vero salto di qualità, perché sposta l’attacco dal furto della password al furto della sessione.

Cosa significa “bypass MFA” nel mondo reale

Molti pensano che l’MFA sia un muro. In realtà è un muro contro un certo tipo di attacco. Se però qualcuno riesce a rubare la sessione già autenticata, può “saltare” il passaggio, perché il sistema vede un utente già verificato.

È il motivo per cui, negli ambienti aziendali, contano sempre di più misure come:

• sessioni legate al dispositivo
• controlli di rischio e anomalie
• accesso condizionale
• limitazione di cookie e token

Non è paranoia. È difesa moderna.

Operazione con Europol e partner: perché conta

L’operazione è anche un esempio concreto di collaborazione pubblico-privato. Microsoft ha agito con Europol e una coalizione di partner che include nomi diversi tra loro, proprio perché la minaccia era trasversale: domini, protezioni web, intelligence, email security, exchange crypto, monitoraggio infrastrutture.

In breve: se vuoi spegnere servizi come Tycoon 2FA, non basta un singolo attore. Serve una rete, e serve muoversi insieme.

Cosa aspettarsi dopo lo smantellamento

Chiudere l’infrastruttura principale è un colpo serio. Però questi ecosistemi tendono a ricostruirsi, spesso copiando modelli e strumenti. Quindi la notizia è buona, ma non è “fine dei giochi”.

Il messaggio utile è un altro: Tycoon 2FA ha mostrato che il phishing può diventare una filiera industriale, capace di aggirare anche protezioni considerate “sicure”. E proprio per questo, oggi, aggiornare policy, formazione e controlli non è più un extra. È manutenzione obbligatoria della vita digitale.