Europol haalt massaal phishingnetwerk neer dat twee-factor-beveiliging omzeilde

Europol heeft samen met recherchediensten uit meerdere landen een van de meest gebruikte phishing-infrastructuren van dit moment ontmanteld. Het Tycoon 2FA-platform, dat criminelen voorzag van kant-en-klare tools om tweestapsverificatie (2FA) te omzeilen, is van het internet gehaald. In totaal werden 330 domeinen buiten werking gesteld. Meer dan een half miljoen organisaties wereldwijd maakten onbewust slachtoffer van dit netwerk, ook Nederlandse bedrijven en overheidsdiensten waren kwetsbaar.

Wat maakte Tycoon 2FA zo gevaarlijk?

Tweestapsverificatie geldt al jaren als een van de meest effectieve beveiligingsmaatregelen voor online accounts. Wie naast zijn wachtwoord ook een tijdelijk gegenereerde code invoert, is normaal gesproken goed beschermd. Tycoon 2FA schakelde die bescherming echter uit via een techniek die bekendstaat als een "adversary-in-the-middle"-aanval. Het platform plaatste zich onzichtbaar tussen de gebruiker en de legitieme inlogpagina, onderschepte de 2FA-code in realtime en gebruikte die om de sessie van het slachtoffer over te nemen.

Voor criminelen was dit een aantrekkelijke dienst omdat het als kant-en-klare tool werd aangeboden, de zogenoemde "phishing-as-a-service"-formule. Tegen betaling konden ook mensen zonder technische kennis gerichte aanvallen uitvoeren op bedrijven, overheidsinstanties en particulieren.

Omvang van de operatie

De ontmanteling werd gecoördineerd door Europol in samenwerking met handhavingsinstanties uit onder meer de VS, het VK, Duitsland en Nederland. De 330 uitgeschakelde domeinen werden in de loop van meerdere maanden opgebouwd: zodra autoriteiten een domein blokkeerden, dook een nieuw exemplaar op. De uiteindelijke gecoördineerde actie trof het volledige netwerk gelijktijdig, waardoor uitwijken niet meer mogelijk was.

Onderzoekers stelden vast dat het platform in 2025 betrokken was bij tienduizenden succesvolle inlogpogingen bij zakelijke e-mailaccounts en clouddiensten. Veel van die aanvallen resulteerden in datadiefstal, fraude of ransomware-installaties. De financiële schade wordt internationaal geschat op honderden miljoenen euro's.

Waarom is dit relevant voor Nederland?

Nederland is als een van Europa's meest gedigitaliseerde economieën een aantrekkelijk doelwit voor dit soort aanvallen. Veel Nederlandse bedrijven, gemeenten en zorgaanbieders maken gebruik van clouddiensten zoals Microsoft 365 en Google Workspace, precies de platformen waarop Tycoon 2FA zich richtte. Het Nationaal Cyber Security Centrum (NCSC) had eerder gewaarschuwd voor de opkomst van 2FA-bypass-technieken, maar een gecoördineerde internationale actie van deze omvang is zeldzaam.

Ook de timing is veelzeggend: juist nu cybercriminelen steeds vaker inspelen op de verhoogde digitale alertheid rondom het conflict in het Midden-Oosten, waarbij medewerkers van overheidsinstanties meer phishing-mails rapporteren, biedt de ontmanteling van Tycoon 2FA enige ademruimte.

Wat kunnen organisaties nu doen?

Beveiligingsexperts benadrukken dat de takedown geen reden is om achterover te leunen. Vergelijkbare platforms worden voortdurend opgebouwd. De aanbeveling is drieledig: gebruik waar mogelijk hardware-beveiligingssleutels (zoals FIDO2/passkeys) in plaats van sms- of app-gebaseerde 2FA; controleer aanmeldlogs op onverwachte sessies; en train medewerkers in het herkennen van gesofisticeerde phishingpagina's die nauwelijks te onderscheiden zijn van echte inlogschermen.

De actie laat ook zien dat internationale samenwerking op het gebied van cybercriminaliteit werkt, maar tegelijkertijd moeizaam is. Criminelen opereren over grenzen heen; handhaving vereist langdurige coördinatie die door politieke ontwikkelingen snel onder druk kan komen te staan.