Em comunicado, a PJ explicou que a plataforma Tycoon 2FA estava em funcionamento desde agosto de 2023 e permitia “ultrapassar mecanismos de autenticação multifator e garantir o acesso ilegítimo a caixas de correio eletrónico”.

Os utilizadores da plataforma pagavam uma subscrição para conseguirem “intercetar sessões com autenticação em tempo real”, contornando os obstáculos de segurança existentes e, segundo a PJ, permitia o acesso até aos cibercriminosos “menos habilitados tecnicamente”.

“A Tycoon 2FA permitiu a milhares de cibercriminosos aceder de forma dissimulada a contas de email e de serviços cloud associadas a mais de 100 mil organizações espalhadas pelo mundo”, referiu ainda a PJ, acrescentando que os alvos eram, sobretudo, infraestruturas críticas e serviços essenciais, como escolas e hospitais.

Por mês, esta plataforma permitiu o envio de dezenas de milhões de mensagens de phishing e, só em Portugal, foram identificadas “mais de 160 organizações diretamente afetadas pela atividade da Tycoon 2FA, com um impacto financeiro elevado, mas ainda não completamente determinado”, lê-se no comunicado.

No total, as autoridades de Portugal, Letónia, Lituânia, Polónia, Espanha e Reino Unido, em colaboração com a Microsoft, conseguiram desativar 330 domínios, que incluíam páginas fraudulentas e painéis de gestão.

Só em 2025, a plataforma Tycoon 2FA, que deu nome à operação coordenada pela Europol, era responsável por cerca de 62% das tentativas de phishing bloqueadas pela Microsoft.

A operação agora divulgada foi coordenada pelo Centro Europeu de Cibercrime da Europol e, do lado da PJ, contou com a colaboração da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica.