Security

Tycoon2FA AiTM-phishing omzeilt MFA op schaal

3 min leestijd

Samenvatting

Microsoft waarschuwt dat de phishingkit Tycoon2FA MFA op grote schaal kan omzeilen door via een adversary-in-the-middle-aanpak inloggegevens én sessiecookies tijdens het aanmelden te onderscheppen. Dat is belangrijk omdat organisaties hierdoor ook met ingeschakelde MFA kwetsbaar blijven voor accountovername, waardoor incidentrespons verder moet gaan dan een wachtwoordreset en ook het intrekken van sessies/tokens en strengere authenticatiecontroles vereist.

Hulp nodig met Security?Praat met een expert

Introductie: waarom dit belangrijk is

AiTM-phishingkits zoals Tycoon2FA veranderen het risicomodel voor Microsoft 365 en andere SaaS-aanmeldingen: zelfs wanneer gebruikers MFA hebben ingeschakeld, kunnen aanvallers nog steeds accounts overnemen door sessiecookies/tokens tijdens het aanmelden te onderscheppen. Voor IT-beheerders betekent dat dat “het wachtwoord resetten” vaak niet genoeg is—incidentrespons moet ook het intrekken van sessies/tokens en het aanscherpen van authenticatiecontroles omvatten.

Wat nieuw is / belangrijkste bevindingen uit Microsofts analyse

Tycoon2FA maakte MFA-omzeiling op enorme schaal mogelijk

  • Actief sinds augustus 2023, groeide Tycoon2FA uit tot een van de meest voorkomende PhaaS-ecosystemen.
  • Microsoft observeerde campagnes die tientallen miljoenen phishingberichten afleverden en 500.000+ organisaties per maand bereikten in vrijwel alle sectoren.
  • De kit bood AiTM-proxying: deze legde referenties vast en onderschepte sessiecookies terwijl MFA-prompts/codes in real time naar de echte dienst werden doorgestuurd.

Een kant-en-klare operatorervaring verlaagde de instapdrempel

Tycoon2FA werd verkocht via kanalen zoals Telegram/Signal en bood een webgebaseerd beheerpaneel om:

  • Brand-impersonation templates te selecteren (Microsoft 365, Outlook, OneDrive, SharePoint, Gmail)
  • Redirect chains, lokmiddelen en routeringslogica te configureren
  • Kwaadaardige lokbestanden te genereren (bijvoorbeeld leveringen op basis van PDF/HTML/EML/QR code)
  • Interactie van slachtoffers te volgen en buitgemaakte artefacten te exfiltreren (onder meer via Telegram bots)

Ontwijking en snel roterende infrastructuur

Microsoft benadrukt intensief gebruik van anti-analyse- en ontwijkingstechnieken, waaronder:

  • Anti-botcontroles, browser fingerprinting, self-hosted CAPTCHA en code-obfuscatie
  • Kortlevende domeinen (vaak 24–72 uur) met diverse laagdrempelige TLD’s
  • Uitgebreid gebruik van Cloudflare-hosted infrastructuur en snelle rotatie om blokkades voor te blijven

Verstoring van de operatie

Microsofts DCU faciliteerde, samen met Europol en partners, een verstoring van Tycoon2FA-infrastructuur en -operaties—een belangrijke stap, al moeten verdedigers rekening houden met copycats en herbewapening.

Impact op IT-beheerders en eindgebruikers

  • MFA alleen is niet voldoende tegen AiTM wanneer dit berust op herbruikbare sessietokens.
  • Accountherstel moet ook intrekking van sessies/tokens omvatten; anders kunnen aanvallers aanwezig blijven, zelfs na wachtwoordresets.
  • E-mail- en samenwerkingsworkloads (Exchange Online, SharePoint/OneDrive) blijven primaire doelwitten vanwege waardevolle data en mogelijkheden voor laterale beweging.

Actiepunten / volgende stappen

  1. Geef prioriteit aan phishing-resistant authentication (eerst voor gebruikers met een hoog risico): ga waar mogelijk over op FIDO2/passkeys, certificaatgebaseerde authenticatie of andere phishingbestendige methoden.
  2. Versterk Conditional Access: verlaag de waarde van token replay (aanmeldingsrisicocontroles, vereisten voor apparaatscompliance, locatiebeperkingen en strengere sessiecontroles voor bevoorrechte rollen).
  3. Herzie incident-runbooks: zorg ervoor dat respons ook revoke sign-in sessions, het uitschakelen van gecompromitteerde accounts en het roteren van referenties/sleutels waar nodig omvat.
  4. Versterk e-mailingangscontroles: dwing spoofbescherming af, gebruik waar passend mail flow rules en controleer attachment-based lures (SVG/HTML/PDF/QR) extra kritisch.
  5. Gebruik Microsoft Defender-detecties en hunting guidance: operationaliseer de detectie- en huntingaanbevelingen uit Microsofts publicatie om AiTM-patronen, tokendiefstal en verdachte redirect-infrastructuur te identificeren.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Threat Intelligence and Microsoft Defender Security Research Team
phishingAiTMMicrosoft DefenderMicrosoft 365Conditional Access

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.