INTERPOL rozbił Sniper Dz. Darmowa platforma phishingowa PhaaS wspierała masową kradzież danych - Security Bez Tabu

INTERPOL rozbił Sniper Dz. Darmowa platforma phishingowa PhaaS wspierała masową kradzież danych

Cybersecurity news

Wprowadzenie do problemu / definicja

Sniper Dz to platforma typu phishing-as-a-service (PhaaS), czyli usługa dostarczająca cyberprzestępcom gotową infrastrukturę do prowadzenia kampanii phishingowych. Taki model znacząco obniża barierę wejścia do cyberprzestępczości, ponieważ użytkownik usługi nie musi samodzielnie budować zaplecza technicznego, przygotowywać fałszywych stron ani organizować hostingu.

W praktyce PhaaS działa jak przestępczy model usługowy. Operator platformy zapewnia szablony stron podszywających się pod znane marki, narzędzia do zbierania danych, mechanizmy publikacji i elementy automatyzujące kampanie. Dzięki temu nawet mniej doświadczeni sprawcy mogą szybko uruchamiać wiarygodnie wyglądające ataki wymierzone w użytkowników indywidualnych i organizacje.

W skrócie

INTERPOL poinformował o sukcesie operacji Ramz, przeprowadzonej na terenie Bliskiego Wschodu i Afryki Północnej. W ramach działań zatrzymano 201 osób i zidentyfikowano 382 kolejnych podejrzanych powiązanych z cyberprzestępczością.

Jednym z kluczowych rezultatów operacji było rozbicie infrastruktury Sniper Dz, wieloletniej platformy PhaaS wykorzystywanej do masowego phishingu. Administrator usługi został zatrzymany w Algierii, a służby przejęły serwer, komputer, telefon oraz nośniki danych zawierające skrypty i oprogramowanie wykorzystywane w kampaniach wyłudzających dane.

  • rozbito infrastrukturę darmowej platformy PhaaS,
  • zatrzymano administratora w Algierii,
  • zidentyfikowano dziesiątki tysięcy domen powiązanych z usługą,
  • zabezpieczono artefakty mogące pomóc w dalszych śledztwach i działaniach obronnych.

Kontekst / historia

Operacja Ramz była pierwszą na tak szeroką skalę operacją INTERPOL-u ukierunkowaną na cyberzagrożenia w regionie MENA. Działania trwały od października 2025 roku do 28 lutego 2026 roku i objęły 13 państw. Celem było zakłócenie działalności grup wykorzystujących phishing, malware i inne formy oszustw internetowych.

Sniper Dz funkcjonował co najmniej od 2015 roku i w różnych okresach występował także pod nazwami Joker Dz, Storm Dz oraz Spam Dz. Z perspektywy analitycznej był to przykład ewolucji cyberprzestępczego ekosystemu: od prostszych operacji phishingowych do bardziej dojrzałej, ustandaryzowanej platformy zdolnej do równoczesnej obsługi wielu kampanii i wielu operatorów.

Szczególną uwagę zwracał model biznesowy tej usługi. W odróżnieniu od wielu innych platform PhaaS Sniper Dz oferował dostęp bez opłat początkowych, co zwiększało jego atrakcyjność dla początkujących cyberprzestępców i sprzyjało szybkiemu wzrostowi skali nadużyć.

Analiza techniczna

Z technicznego punktu widzenia Sniper Dz dostarczał kompletny zestaw narzędzi potrzebnych do prowadzenia kampanii phishingowych. Platforma udostępniała gotowe szablony stron podszywających się pod znane marki, zaplecze hostingowe, mechanizmy publikacji oraz obsługę kampanii w wielu językach.

Według dostępnych ustaleń infrastruktura obejmowała około 80 szablonów phishingowych przygotowanych w pięciu językach. Kampanie były kierowane między innymi przeciwko użytkownikom usług technologicznych, mediów społecznościowych i platform streamingowych, co zwiększało zasięg i skuteczność oszustw.

  • gotowe landing pages podszywające się pod rozpoznawalne serwisy,
  • hostowanie i szybkie wdrażanie stron phishingowych,
  • moduły do przechwytywania poświadczeń i danych osobowych,
  • wielojęzyczne szablony zwiększające skuteczność globalnych kampanii,
  • dodatkowe mechanizmy monetyzacji ruchu ofiar.

Istotną rolę odgrywała również socjotechnika. Operatorzy i użytkownicy platformy tworzyli fałszywe profile w mediach społecznościowych, podszywali się pod osoby publiczne oraz wykorzystywali atrakcyjne przynęty, takie jak promocje czy obietnice darmowego dostępu do określonych usług. Celem było nakłonienie ofiary do kliknięcia i przekazania loginu, hasła lub innych wrażliwych danych.

Analizy wskazywały także, że gdy ofiara nie podała danych logowania, ruch mógł być przekierowywany do innych schematów nadużyć. Oznacza to, że Sniper Dz nie pełnił wyłącznie roli klasycznej platformy phishingowej, lecz stanowił element szerszego łańcucha monetyzacji, obejmującego również inne typy oszustw internetowych.

Konsekwencje / ryzyko

Rozbicie Sniper Dz ma duże znaczenie operacyjne, ale nie eliminuje zagrożenia związanego z modelem PhaaS. Najważniejszy problem polega na tym, że tego typu platformy upraszczają phishing do poziomu usługi dostępnej niemal na żądanie, co zwiększa liczbę sprawców i tempo uruchamiania nowych kampanii.

Dla organizacji oznacza to utrzymujące się ryzyko przejęcia kont, nadużyć tożsamości i kompromitacji dostępu do poczty oraz usług chmurowych. Skradzione poświadczenia mogą następnie zostać wykorzystane do dalszych etapów ataku, takich jak eskalacja uprawnień, ruch boczny w środowisku czy wyłudzenia finansowe.

  • wzrost liczby kampanii wymierzonych w pracowników i klientów,
  • większe ryzyko przejęcia tożsamości cyfrowej,
  • kompromitacja dostępów do systemów firmowych i usług SaaS,
  • utrudniona blokada kampanii z powodu szybkiej rotacji domen,
  • wykorzystanie skradzionych danych w kolejnych fazach ataku.

Z punktu widzenia obrońców ważne jest także to, że przejęcie serwerów i nośników danych może dostarczyć cennych wskaźników kompromitacji oraz informacji o taktykach, technikach i procedurach stosowanych przez przestępców. Takie dane mogą zasilić działania threat intelligence i poprawić skuteczność detekcji.

Rekomendacje

Przypadek Sniper Dz pokazuje, że phishing pozostaje jednym z najtańszych i najskuteczniejszych wektorów wejścia do środowisk organizacyjnych. Dlatego firmy powinny łączyć ochronę tożsamości, analitykę behawioralną, monitoring infrastruktury oraz regularną edukację użytkowników.

  • wdrożyć odporne na phishing MFA, najlepiej oparte na FIDO2 lub WebAuthn,
  • monitorować rejestracje domen podobnych do własnej marki i szybko reagować na nadużycia,
  • stosować filtrowanie ruchu HTTP/HTTPS z użyciem reputacji domen i analizy treści,
  • egzekwować polityki DMARC, SPF i DKIM w ochronie poczty,
  • szkolić użytkowników w zakresie nowoczesnych technik socjotechnicznych,
  • analizować logi uwierzytelniania pod kątem anomalii i nietypowych logowań,
  • integrować dane threat intelligence z SIEM, EDR i bramami pocztowymi,
  • ograniczać nadużycia związane z powiadomieniami przeglądarkowymi i podejrzanymi rozszerzeniami.

Zespoły SOC powinny dodatkowo budować reguły detekcyjne wokół wzorców charakterystycznych dla kampanii PhaaS, takich jak krótkotrwałe domeny, powtarzalne ścieżki URL, masowe przekierowania oraz współdzielona infrastruktura wykorzystywana do podszywania się pod wiele marek jednocześnie.

Podsumowanie

Likwidacja Sniper Dz w ramach operacji Ramz to istotny sukces międzynarodowej współpracy przeciwko cyberprzestępczości. Sprawa potwierdza jednak, że phishing coraz mocniej funkcjonuje w modelu usługowym, który upraszcza ataki, zwiększa ich skalę i obniża próg wejścia dla kolejnych sprawców.

Dla organizacji oznacza to konieczność konsekwentnego wzmacniania ochrony tożsamości, monitorowania zagrożeń i rozwijania zdolności do szybkiego wykrywania kampanii opartych na PhaaS. Samo rozbicie jednej platformy nie kończy problemu, ale może istotnie utrudnić działanie przestępców i dostarczyć cennej wiedzy obrońcom.

Źródła

  1. The Hacker News — INTERPOL takes down Sniper Dz phishing platform
  2. INTERPOL — 201 arrests in first-of-its-kind cybercrime operation in MENA region
  3. Palo Alto Networks Unit 42 — Investigating Infrastructure and Tactics of Sniper Dz