Operasi Europol Berhasil Tumbangkan Tycoon 2FA, Alat Phishing dengan 64.000 Serangan

Europol dan sejumlah badan penegak hukum serta perusahaan keamanan berhasil membongkar layanan phishing-as-a-service (PhaaS) bernama Tycoon 2FA, yang telah menjadi alat utama bagi para pelaku kejahatan siber untuk melakukan pencurian kredensial melalui serangan adversary-in-the-middle (AitM) secara masif.

Tycoon 2FA pertama kali muncul pada Agustus 2023 dan langsung menjadi salah satu operasi phishing terbesar di dunia. Layanan berlangganan ini dijual mulai dari 120 dolar AS untuk 10 hari akses atau 350 dolar AS untuk akses panel administrasi selama sebulan. Panel ini berfungsi sebagai pusat kendali bagi para operator untuk mengatur, memantau, dan menyempurnakan kampanye phishing mereka secara efisien.

Fitur dan Modus Operandi Tycoon 2FA

Panel administrasi Tycoon 2FA dilengkapi dengan berbagai fitur canggih, seperti:

• Template phishing siap pakai yang meniru halaman masuk layanan populer seperti Microsoft 365, OneDrive, Outlook, SharePoint, dan Gmail
• File lampiran dengan format umpan (lure) yang umum digunakan
• Konfigurasi domain dan hosting serta logika pengalihan yang rumit
• Pelacakan korban secara real-time, termasuk upaya login yang valid dan tidak valid
• Pengiriman data hasil pencurian, seperti kredensial, kode autentikasi multi-faktor (MFA), dan cookie sesi, langsung ke panel atau melalui Telegram

Europolpuluhan juta email phishing setiap bulan dan berhasil membobol hampir 100.000 organisasi di seluruh dunia, termasuk sekolah, rumah sakit, dan institusi pemerintah.

Skala Serangan dan Dampaknya

Menurut laporan Intel 471, Tycoon 2FA terkait dengan lebih dari 64.000 insiden phishing dan ribuan domain yang digunakan sebagai infrastruktur kriminal. Microsoft, yang memantau operasi ini dengan nama Storm-1747, menyebut Tycoon 2FA sebagai platform phishing paling produktif sepanjang 2025, dengan lebih dari 13 juta email berbahaya yang diblokir.

Data dari Proofpoint menunjukkan bahwa pada Februari 2026, lebih dari 3 juta pesan phishing yang terkait dengan Tycoon 2FA terdeteksi. Trend Micro, salah satu mitra sektor swasta dalam operasi ini, mengungkap bahwa platform tersebut memiliki sekitar 2.000 pengguna aktif.

Kampanye phishing dari Tycoon 2FA menyerang berbagai sektor tanpa pandang bulu, termasuk pendidikan, kesehatan, keuangan, organisasi nirlaba, dan pemerintahan. Email phishing yang dikirim mencapai lebih dari 500.000 organisasi setiap bulan di seluruh dunia.

Teknik Canggih Pengelabuan dan Penghindaran Deteksi

Tycoon 2FA menggunakan metode canggih untuk menghindari deteksi, seperti:

• Pengawasan penekanan tombol (keystroke monitoring)
• Skrining anti-bot
• Pencatatan sidik jari browser (browser fingerprinting)
• Obfuscation kode yang berat
• CAPTCHA buatan sendiri yang dihosting sendiri
• JavaScript khusus dan halaman umpan dinamis
• Penggunaan berbagai top-level domain (TLD) dan domain lengkap (FQDN) yang berumur pendek, hanya 24 hingga 72 jam, mempersulit pemblokiran
• Hosting infrastruktur phishing di Cloudflare untuk kecepatan dan anonimitas

Microsoft menggarisbawahi bahwa keberhasilan Tycoon 2FA juga terletak pada kemampuannya meniru proses autentikasi asli secara detail sehingga dapat menyadap kredensial dan token sesi secara tersembunyi.

Selain itu, teknik ATO Jumping digunakan untuk memperluas serangan, yaitu dengan memanfaatkan akun email yang sudah diretas untuk menyebarkan tautan phishing Tycoon 2FA. Ini membuat email tampak seperti berasal dari kontak terpercaya korban, sehingga meningkatkan keberhasilan kompromi.

Impak Besar dan Ancaman Berkelanjutan

Peneliti dari Proofpoint, Selena Larson, menyatakan bahwa di tahun 2025, 99% organisasi mengalami percobaan pengambilalihan akun dan 67% mengalami pengambilalihan akun yang berhasil. Dari akun yang diambil alih, 59% memiliki MFA aktif, yang menunjukkan betapa efektifnya serangan AitM phishing meskipun ada lapisan keamanan tambahan.

Serangan yang memungkinkan pengambilalihan akun ini dapat menyebabkan dampak yang sangat merugikan, termasuk serangan ransomware dan kebocoran data sensitif. Mengingat akses ke akun email sering menjadi langkah awal dalam rantai serangan siber, keberhasilan Tycoon 2FA menunjukkan betapa seriusnya ancaman yang dihadapi dunia digital saat ini.

Langkah Penanggulangan dan Penutupan Infrastruktur

Dalam operasi gabungan ini, lebih dari 330 domain yang menjadi tulang punggung layanan kriminal ini, termasuk halaman phishing dan panel kontrol, berhasil ditutup. Ini merupakan langkah signifikan untuk mengurangi aktivitas dan dampak negatif Tycoon 2FA secara global.

Analisis Redaksi

Menurut pandangan redaksi, pembongkaran Tycoon 2FA menandai sebuah kemenangan penting dalam perang melawan kejahatan siber yang semakin kompleks dan terorganisir. Namun, keberhasilan ini juga menyoroti bahwa model phishing-as-a-service memungkinkan pelaku kejahatan dengan kemampuan teknis minim sekalipun untuk melakukan serangan berbahaya secara luas.

Dalam jangka panjang, ancaman seperti Tycoon 2FA menuntut peningkatan kesadaran keamanan digital di kalangan pengguna dan organisasi, serta pengembangan teknologi deteksi dan mitigasi yang lebih adaptif terhadap teknik pengelabuan yang terus berkembang. Pemerintah dan sektor swasta harus berkolaborasi lebih erat untuk menutup celah keamanan, terutama pada metode autentikasi yang selama ini dianggap kuat seperti MFA.

Ke depan, yang perlu diwaspadai adalah munculnya layanan phishing baru yang mungkin mengadopsi inovasi serupa atau lebih canggih dari Tycoon 2FA. Masyarakat juga harus terus mengikuti perkembangan keamanan siber agar selalu siap menghadapi ancaman yang terus berevolusi.

Terus ikuti berita dan analisis kami untuk mendapatkan informasi terbaru tentang keamanan siber dan langkah-langkah perlindungan terbaik.