Foto: Freepik Premium
Operacija koju je vodio INTERPOL prošlog je mjeseca rezultirala poremećajem rada Sniper Dz, višegodišnje phishing-as-a-service (PhaaS) platforme, priopćio je Group-IB u četvrtak. Akcija, kodnog naziva Operation Ramz, provedena je između listopada 2025. i veljače 2026. te je obuhvatila tijela iz 13 zemalja regije Bliskog istoka i Sjeverne Afrike (MENA), koja su zajedno izvršila 201 uhićenje.
Među uhićenima je i Guedz, glavni razvojni inženjer i administrator Sniper Dza. Prema Group-IB-ju, riječ je o PhaaS usluzi koja je prikupila više od 45.000 zapisa o žrtvama, a uhićenje je provela alžirska nacionalna policija. Platforma je tijekom godina mijenjala naziv i pojavljuje se i kao Joker Dz, Storm Dz te Spam Dz.
U sklopu Operation Ramz ugašena je i mrežna stranica preko koje su se drugim kibernetičkim kriminalcima nudile PhaaS mogućnosti. Vlasti su zaplijenile i hardver koji je sadržavao phishing softver i skripte. Group-IB navodi da je Sniper Dz bio aktivan najmanje od 2015. i da se razvio u složenu kriminalnu platformu koja je nudila gotove phishing pakete, infrastrukturni hosting i operativnu podršku za kibernetičke kriminalce.
Tijekom godina identificirano je više od 20.000 jedinstvenih domena povezanih s tom PhaaS uslugom. Alat je prvenstveno ciljao 30 velikih globalnih organizacija, među kojima su PayPal, Facebook, Instagram, Yahoo, Netflix i Steam, koristeći 80 phishing predložaka raspoređenih na pet jezika, uključujući arapski, engleski, francuski, španjolski i hebrejski. Kampanje su se usmjeravale na korisnike tehnoloških, društvenih i streaming platformi u više geografskih područja, uz lažno predstavljanje poznatih brendova i državnih institucija te korištenje uvjerljivih imitacija web-stranica radi prikupljanja vjerodajnica, osobnih podataka i drugih osjetljivih podataka.
Group-IB dodaje da je platforma osim klasične krađe vjerodajnica koristila i tehnike socijalnog inženjeringa koje su iskorištavale popularnost i vjerodostojnost javnih osoba na Bliskom istoku i u Sjevernoj Africi. Napadači su stvarali lažne račune na društvenim mrežama, predstavljali se kao poznate političke osobe i na njima objavljivali poveznice maskirane kao promotivne ponude ili besplatan internet. Sniper Dz je u listopadu 2024. analizirao i Palo Alto Networks Unit 42, koji je opisao upotrebu Telegram kanala s više od 7.300 pretplatnika za dijeljenje videouputa te mogućnost hostanja phishing stranica na vlastitoj infrastrukturi iza proxy poslužitelja.
To što je Sniper Dz dio zasićenog PhaaS tržišta izdvajalo je to što je cijelu infrastrukturu nudio besplatno, čime je drugim počiniteljima bilo lakše pokretati phishing kampanje u većem opsegu. Monetizacija se, prema Group-IB-ju, oslanjala na krađu vjerodajnica i promet žrtava. Ukradene vjerodajnice mogle su se prikupiti kroz phishing kampanje, dok su korisnici koji nisu predali podatke mogli biti preusmjereni na prijevaru s naplatom putem operatora, premium SMS pretplate, zloupotrebu obavijesti u pregledniku i druge affiliate prijevarne kampanje.
Vezane vijesti
