Nell’ambito di una vasta operazione internazionale, la piattaforma Tycoon 2FA smantellata segna un punto di svolta nella lotta contro il phishing mirato alle criptovalute e ai servizi online.
Summary
Operazione congiunta contro una delle maggiori reti di phishing
Una coalizione formata da Coinbase, Microsoft ed Europol ha annunciato di aver smantellato, questa settimana, l’infrastruttura centrale di Tycoon 2FA, considerata una delle più grandi piattaforme di phishing al mondo.
Tycoon 2FA operava come servizio di phishing-as-a-service, offrendo in abbonamento kit completi che permettevano ai criminali di rubare credenziali di accesso e aggirare l’autenticazione a più fattori (MFA) senza particolari competenze tecniche.
La piattaforma era attiva almeno dal 2023 e, entro la metà del 2025, era responsabile del 62% di tutti i tentativi di phishing bloccati da Microsoft, secondo i dati diffusi dal gruppo.
Volume degli attacchi e infrastruttura bloccata
Nel suo periodo di massima attività, Tycoon generava ogni mese decine di milioni di email di phishing. Secondo le stime, ha facilitato accessi non autorizzati a quasi 100.000 organizzazioni a livello globale, tra cui scuole, ospedali e istituzioni pubbliche.
Microsoft ha dichiarato di aver bloccato 330 domini collegati alla piattaforma. Inoltre, le forze dell’ordine hanno sequestrato ulteriori componenti dell’infrastruttura tecnica, colpendo il cuore operativo del servizio criminale.
Detto ciò, le autorità sottolineano che la chiusura dell’infrastruttura principale non esclude la possibilità che gruppi derivati tentino di ricostruire parte delle capacità offensive in futuro.
Come Tycoon aggirava l’autenticazione a più fattori
Il toolkit offerto da Tycoon includeva pagine di atterraggio fasulle, progettate per imitare fedelmente siti legittimi di servizi online, inclusi account aziendali e piattaforme di pagamento.
Quando un utente inseriva le proprie credenziali, il sistema intercettava cookie e token di sessione. Questi elementi fungono da prova che l’utente ha già effettuato l’accesso, consentendo di mantenere la sessione attiva senza richiedere nuovamente MFA.
Se un attaccante riesce a rubare un token di sessione, può usarlo per accedere all’account della vittima senza far scattare ulteriori richieste di autenticazione. In questo modo, il controllo dell’account avviene in modo silenzioso e difficilmente rilevabile.
Tycoon 2FA smantellata e il rischio di attacchi avanzati
Secondo Coinbase, la combinazione di esche molto credibili e furto di token di sessione rendeva il phishing un canale estremamente affidabile per crimini più complessi, come takeover di account, compromissione di email aziendali e frodi su fatture.
Inoltre, abbassando drasticamente la barriera tecnica, Tycoon consentiva anche a criminali con competenze limitate di lanciare campagne sofisticate. Settori come sanità, istruzione e pubblica amministrazione sono stati colpiti da furti di dati, deviazione di pagamenti e interruzioni nell’erogazione di servizi essenziali.
Nel complesso, la chiusura della piattaforma riduce un importante vettore di attacco, ma non elimina il rischio di nuove soluzioni analoghe che potrebbero riemergere con varianti tecniche ancora più evolute.
Il ruolo di Coinbase nel tracciamento delle transazioni crypto
Coinbase ha avuto un ruolo chiave nell’indagine, analizzando le transazioni su blockchain utilizzate per finanziare l’operatività di Tycoon. Questo tracciamento dei flussi di denaro ha aiutato le autorità a individuare il presunto amministratore della piattaforma e diversi acquirenti degli strumenti offerti.
Secondo l’exchange, mettere offline l’infrastruttura centrale interrompe un canale significativo di furto di credenziali e costringe i gruppi criminali a ricostruire i propri strumenti, aumentando tempi, costi e rischi di esposizione.
Coinbase ha inoltre dichiarato che sta lavorando attivamente per identificare ulteriori soggetti che avrebbero acquistato i kit di Tycoon e che continuerà a supportare le forze dell’ordine nelle prossime fasi delle indagini.
Impatto economico del phishing nel settore crypto
Il phishing è stato indicato come la seconda minaccia più rilevante per gli utenti di criptovalute nel 2025 dalla società di sicurezza blockchain CertiK. In quell’anno ha causato perdite per 722 milioni di dollari in 248 incidenti documentati.
Nonostante l’ampiezza del fenomeno, le perdite complessive da phishing sono scese dell’83% nel 2025 rispetto all’anno precedente. Tuttavia, gli esperti avvertono che gli attaccanti stanno adottando tecniche sempre più sofisticate per aggirare le misure di difesa.
Tra queste rientrano exploit legati alla proposta EIP-7702 e attacchi basati su firme Permit2, che sfruttano autorizzazioni di spesa e meccanismi di consenso delle transazioni per sottrarre fondi in modo indiretto.
Un rischio ancora persistente nel 2026
Un portavoce della società di sicurezza blockchain PeckShield ha dichiarato a Cointelegraph che il phishing rimane una “minaccia persistente” nel 2026, nonostante il calo delle perdite registrate nel corso del 2025.
Inoltre, la chiusura di grandi piattaforme come Tycoon 2FA non elimina il problema alla radice, ma spinge spesso i criminali a frammentarsi in gruppi più piccoli e a sperimentare nuovi modelli di attacco.
Detto ciò, la collaborazione tra grandi aziende tecnologiche, operatori crypto e forze di polizia internazionali rappresenta un elemento sempre più decisivo per contrastare questi schemi, combinando analisi dei dati, tracciamento on-chain e azioni coordinate sull’infrastruttura.
Prospettive future nella lotta al phishing
Nel complesso, il caso di Tycoon 2FA smantellata evidenzia come la cooperazione pubblico-privato possa colpire infrastrutture criminali di scala globale, riducendo l’impatto di campagne di phishing industrializzate.
Tuttavia, esperti di sicurezza e operatori del settore crypto sottolineano che il fattore umano resta il punto più vulnerabile. Formazione continua, verifica accurata dei link ricevuti e uso corretto degli strumenti di sicurezza rimangono essenziali per mitigare il rischio.
Alla luce di questi sviluppi, è probabile che nei prossimi anni il contrasto al phishing si concentri sempre più su monitoraggio in tempo reale, condivisione di intelligence tra attori diversi e rafforzamento delle tutele per utenti retail e istituzionali.
