Tycoon2FA tillbaka — MFA-bypass mot M365 fungerar igen
Tycoon2FA phishing-plattformen är tillbaka efter Europols nedstängning. AiTM-attacker kringgår standard-MFA och stjäl M365-tokens.
Europol och partnerländer slog till mot Tycoon2FA den 4 mars. Tre veckor senare är plattformen tillbaka på samma aktivitetsnivå som innan.
Tycoon2FA är en phishing-as-a-service-plattform som använder adversary-in-the-middle (AiTM) tekniker. Offret loggar in på en falsk M365-inloggningssida som i realtid proxar trafiken till Microsoft. MFA-koden fångas upp och angriparen får en giltig sessionstoken.
Varför standard-MFA inte räcker
SMS-koder, push-notiser och TOTP-appar — alla kan fångas av en AiTM-proxy. Det enda som faktiskt stoppar den här typen av attack är phishing-resistent autentisering: FIDO2-nycklar eller passkeys.
För svenska SMF-företag på M365 Business Premium är det här direkt relevant. De flesta har MFA aktiverat men använder fortfarande push-notiser via Microsoft Authenticator — vilket Tycoon2FA kringgår utan problem.
Vad du bör göra nu
- Aktivera phishing-resistent MFA med FIDO2-säkerhetsnycklar eller passkeys i
Entra ID. - Konfigurera token binding i
Conditional Access— binder sessionstoken till enheten så stulna tokens blir värdelösa. - Implementera Continuous Access Evaluation (CAE) för att begränsa tokens livslängd.
- Utbilda användare om att AiTM-attacker ser ut exakt som riktiga inloggningssidor.
Hur vi kan hjälpa
Vi erbjuder en MFA-härdning som inkluderar FIDO2-deployment, Conditional Access-policyöversyn och CAE-konfiguration. En halvdags genomgång som konkret stoppar den här typen av attack.
Vill du att vi kollar er miljö? Kontakta oss.