Tycoon2FA är en så kallad phishing-as-a-service-plattform som låter även oerfarna brottslingar ta över Microsoft 365-konton, även när tvåfaktorsautentisering är aktiverad. Tjänsten har funnits sedan augusti 2023, hyrs ut via Telegram från cirka 120 dollar, och stod för 62 procent av all phishing som Microsoft blockerade fram till mitten av 2025. Det här är den största enskilda anledningen till att ”MFA räcker” inte längre stämmer.
I november 2025 skickades runt 33 miljoner phishing-meddelanden kopplade till plattformen. Under perioden då den var som mest aktiv nåddes över 500 000 organisationer varje månad, och 55 000 av de 96 000 identifierade offren använde Microsoft-konton. Sjukvård och utbildning drabbades särskilt hårt, sektorer där svenska verksamheter sällan har phishing-resistent inloggning på plats.
Så fungerar attacken i praktiken
Det här är inte traditionell nätfiske där någon lurar dig att skriva in ditt lösenord på en fejksida. Tycoon2FA sitter som en osynlig mellanhand mellan dig och Microsoft i realtid.
Du klickar på en länk i ett mejl, en QR-kod eller en delad fil i en legitim tjänst som Milanote. Sidan ser ut som Microsofts inloggning eftersom den i praktiken visar Microsofts inloggning, fast via en så kallad reverse proxy. När du skriver in ditt lösenord skickas det vidare till den riktiga tjänsten. När du godkänner push-notisen i Microsoft Authenticator, knappar in SMS-koden eller använder TOTP-appen, då fångar plattformen upp sessionstoken som Microsoft genererar.
Sessionstoken är nyckeln. Med den loggar angriparen in som du, från sin egen dator, utan att behöva ditt lösenord eller MFA-kod igen. Du märker ingenting. Du har ”loggat in” och kommer vidare till din inkorg som vanligt.
Attacken kallas adversary-in-the-middle (AiTM) och förklaras tekniskt av eSentire i deras analys av hur Tycoon2FA-operatörerna nu också använder OAuth device code-phishing, en variant där du istället luras att skriva in en kod på Microsofts riktiga sida, vilket kopplar din session till angriparens enhet.
Varför vanlig tvåfaktor inte hjälper
De flesta tror att MFA stoppar kontokapning. Det stämde för fem år sedan. Det stämmer inte längre när proxy-baserade phishing-kit är kommersiellt tillgängliga.
Det här fungerar inte mot Tycoon2FA:
- SMS-koder
- Push-notiser i Microsoft Authenticator eller Google Authenticator
- TOTP-koder (sexsiffriga koder som byts var 30:e sekund)
- Säkerhetsfrågor
Det fungerar för att alla dessa metoder lämnar ifrån sig något du skriver in eller godkänner, och allt du gör på en proxifierad sida vidarebefordras till angriparen. Det spelar ingen roll hur lång eller komplicerad koden är. Den fångas upp i samma sekund som du använder den.
Det enda som faktiskt stoppar attacken är phishing-resistent autentisering: FIDO2-säkerhetsnycklar (som Yubikey) eller passkeys. Dessa fungerar genom att verifiera domännamnet kryptografiskt. En passkey som är registrerad för login.microsoftonline.com vägrar helt enkelt att svara på en proxy-domän som ser likadan ut, oavsett hur övertygande den ser ut för dig.
Vad takedownen i mars visade
Den 4 mars 2026 genomförde Europol och Microsoft en samordnad nedmontering av Tycoon2FA. 330 aktiva domäner togs ned efter ett beslut i federal domstol i New York. Det var första gången Europols Cyber Intelligence Extension Programme samarbetade med ett privat företag i den här skalan.
Tre veckor senare var plattformen tillbaka på samma aktivitetsnivå som innan.
Det säger något viktigt om hur cyberbrottslighet fungerar 2026. Domännedmonteringar slår ut infrastrukturen tillfälligt, men koden, kunderna och affärsmodellen finns kvar. Abnormal Security beskrev återuppbyggnaden och konstaterade att volymerna återhämtade sig snabbare än efter någon tidigare takedown av liknande plattformar.
Slutsatsen är att brottsbekämpning inte kan lösa det här problemet ensam. Skyddet måste finnas hos användarna och organisationerna.
Konkret skydd för dig som privatperson
Om du har ett Microsoft-konto, Gmail eller jobbkonto som du använder för Office 365 , gör det här:
Slå på passkeys där du kan. Microsoft, Google och de flesta större tjänster stöder numera passkeys som ersätter både lösenord och MFA-kod. En passkey lagras i din telefon eller dator och kan inte phishas. Det här är den enskilt viktigaste åtgärden 2026.
Skaffa en hårdvarunyckel om du hanterar känsliga konton. En FIDO2-nyckel kostar runt 500–700 kronor och fungerar för flera tjänster. Skaffa två, en primär och en backup som du förvarar på annan plats.
Misstänk länkar i mejl som leder till inloggningssidor. Även om sidan ser perfekt ut, även om URL:en ser nästan rätt ut. Skriv hellre in microsoft.com manuellt i webbläsaren och logga in därifrån. Det är ett gammalt råd som blivit relevant igen.
Tycoon2FA-mejlen kommer ofta från komprometterade legitima tjänster, alltså inte från uppenbart bluffadresser. Det kan vara en delad fil i Milanote, en notifikation från en SaaS-tjänst du faktiskt använder, eller en QR-kod i ett dokument. Klassisk ”kolla avsändaren”-logik räcker inte längre.
Om du redan blivit drabbad eller misstänker att ditt konto är kapat, vi har skrivit mer om vad som händer när ett konto kapas och hur du tar tillbaka kontrollen, och om hur du skyddar dig mot dataintrång mer generellt.
För dig som ansvarar för IT på ett företag
Om du administrerar Microsoft 365 för en organisation, även en liten, är det här inte längre en framtidsfråga.
Aktivera Conditional Access-policyer som kräver phishing-resistent autentisering för administratörskonton. Distribuera passkeys eller säkerhetsnycklar till alla med tillgång till känslig data. Inaktivera äldre autentiseringsprotokoll som inte stöder modern MFA. Logga och larma på ovanliga inloggningar, Tycoon2FA-sessioner kommer ofta från andra geografiska platser och enhetstyper än användarens normala mönster.
Svenska sektorer som drabbas hårdast brukar vara desamma som internationellt: vård, utbildning, mindre kommuner. Det är organisationer med många användare, varierande teknisk mognad och ofta begränsade IT-budgetar. Det är också där en enskild kapad inkorg snabbt leder till BEC-bedrägerier, fakturabluffar eller utpressning med läckta dokument.
Vad det här säger om phishing 2026
Tycoon2FA är inte en isolerad företeelse. Det är symptomet på att phishing har industrialiserats. Du kan hyra en komplett attackplattform för priset av en månads streaming, få teknisk support på Telegram, och slå mot tiotusentals konton utan att kunna programmera en rad själv.
Det betyder också att ett enda säkerhetsråd som ”ha tvåfaktor” har gått ut på datum. Tvåfaktor är fortfarande bättre än bara lösenord. Men för konton som spelar roll, företagskonton, mejl som används för återställning, banker, räcker det inte längre.
Den intressanta frågan är inte om Tycoon2FA tas ned igen. Den frågan har redan ett svar: ja, och plattformen kommer tillbaka. Den intressanta frågan är hur snabbt passkeys blir standarden för vanliga användare. Tills dess kommer den här typen av attacker bara öka.
