INTERPOL rozbił SniperDz – cios w phishing-as-a-service i lekcja dla obrony organizacji - Security Bez Tabu

INTERPOL rozbił SniperDz – cios w phishing-as-a-service i lekcja dla obrony organizacji

Cybersecurity news

Wprowadzenie do problemu / definicja

SniperDz to platforma typu phishing-as-a-service, czyli usługa umożliwiająca prowadzenie kampanii phishingowych bez konieczności samodzielnego budowania pełnej infrastruktury technicznej. Tego rodzaju rozwiązania dostarczają przestępcom gotowe strony podszywające się pod znane marki, panele administracyjne, mechanizmy przechwytywania danych oraz narzędzia wspierające zarządzanie atakami.

Rozbicie takiej platformy ma znaczenie znacznie wykraczające poza pojedynczy incydent. Uderzenie w zaplecze usługowe cyberprzestępczości ogranicza skalę nadużyć, podnosi koszty działalności przestępców i pokazuje, że organy ścigania coraz częściej koncentrują się na infrastrukturze umożliwiającej seryjne prowadzenie oszustw.

W skrócie

11 czerwca 2026 r. ujawniono informacje o operacji skoordynowanej przez INTERPOL, która doprowadziła do przejęcia infrastruktury SniperDz oraz zatrzymania głównego developera platformy w Algierii. W działaniach ważną rolę odegrała współpraca sektora prywatnego z organami ścigania, co podkreśla rosnące znaczenie wymiany danych wywiadowczych w walce z cyberprzestępczością.

  • przejęto infrastrukturę platformy phishing-as-a-service,
  • zatrzymano osobę odpowiedzialną za rozwój usługi,
  • operacja była efektem współpracy międzynarodowej i wsparcia prywatnych partnerów,
  • działanie uderzyło w model, który uprzemysławia phishing i obniża próg wejścia dla przestępców.

Kontekst / historia

Model phishing-as-a-service od kilku lat należy do kluczowych trendów w krajobrazie zagrożeń. Zamiast samodzielnie projektować fałszywe witryny, konfigurować domeny czy tworzyć backend do zbierania danych, sprawcy mogą kupić lub wynająć gotowe środowisko operacyjne. Taki model sprzyja specjalizacji ról i zwiększa efektywność ataków.

SniperDz wpisuje się w ten schemat jako centralne zaplecze dla kampanii phishingowych prowadzonych na szeroką skalę. Znaczenie tej sprawy polega na tym, że działania nie były wymierzone wyłącznie w pojedyncze strony czy jednorazową kampanię, lecz w platformę, która mogła obsługiwać wiele niezależnych operacji oszustwa.

W szerszym kontekście rozbicie SniperDz potwierdza rosnący trend ofensywnych działań przeciwko infrastrukturze cyberprzestępczej. Coraz częściej celem stają się nie tylko wykonawcy ataków, ale też dostawcy usług, operatorzy zaplecza oraz osoby rozwijające narzędzia wykorzystywane przez innych przestępców.

Analiza techniczna

Platformy PhaaS działają jak gotowe środowiska dla operatorów phishingu. Oferują zestawy stron podszywających się pod znane marki, panele do zarządzania kampaniami, mechanizmy zbierania loginów i haseł, a często także funkcje wspierające przechwytywanie sesji, tokenów oraz obchodzenie zabezpieczeń wieloskładnikowych.

Ich siłą jest centralizacja i powtarzalność. Nawet jeśli pojedyncze domeny czy strony żyją krótko, analitycy mogą łączyć kampanie dzięki wspólnym artefaktom technicznym, takim jak podobny kod, struktura paneli, schematy adresów URL, metody eksfiltracji danych czy błędy operacyjne administratorów.

W praktyce takie operacje śledcze zwykle opierają się na korelacji danych z wielu źródeł. Znaczenie mają między innymi telemetria sieciowa, analiza próbek kodu, informacje o rejestracji domen, dane hostingowe oraz ślady pozostawiane przez operatorów w interfejsach administracyjnych. Zatrzymanie głównego developera jest szczególnie istotne, ponieważ uderza w warstwę odpowiedzialną za utrzymanie, rozwój i potencjalne odtwarzanie platformy po incydencie.

Z perspektywy obrony trzeba podkreślić, że nowoczesny phishing nie ogranicza się do prostych formularzy logowania. Coraz częściej obejmuje przechwytywanie sesji, dynamiczne przekierowania i mechanizmy dostosowujące przebieg oszustwa do typu ofiary, lokalizacji lub urządzenia. To powoduje, że samo blokowanie znanych domen przestaje być wystarczającą strategią.

Konsekwencje / ryzyko

Likwidacja SniperDz to ważne zakłócenie, ale nie koniec modelu phishing-as-a-service. Rynek cyberprzestępczy szybko się adaptuje, a podobne usługi mogą zostać odtworzone, sklonowane lub zastąpione przez konkurencyjne platformy. Dlatego sukces operacyjny należy traktować jako ograniczenie skali zagrożenia, a nie jego całkowite wyeliminowanie.

Dla organizacji ryzyko pozostaje wysokie. Gotowe platformy skracają czas przygotowania kampanii, zwiększają dostępność narzędzi dla mniej zaawansowanych sprawców i wspierają masowe wyłudzanie danych. Przejęte poświadczenia mogą następnie posłużyć do przejęcia skrzynek pocztowych, oszustw BEC, kradzieży danych czy uzyskania dostępu początkowego do środowiska firmowego.

Istnieje również zagrożenie wtórne związane z reutilizacją kodu i infrastruktury. Nawet po przejęciu zaplecza część komponentów może nadal krążyć w podziemnym ekosystemie i zostać wykorzystana w kolejnych kampaniach po niewielkich modyfikacjach.

Rekomendacje

Incydent związany ze SniperDz powinien być dla organizacji przypomnieniem, że phishing jest dziś wspierany przez dojrzałe, skalowalne zaplecze usługowe. Obronę należy projektować warstwowo, koncentrując się nie tylko na wiadomości e-mail, ale również na tożsamości, sesji i zachowaniu użytkownika.

  • wdrożyć odporne na phishing mechanizmy MFA, najlepiej oparte na kluczach sprzętowych lub standardach o podwyższonej odporności,
  • monitorować nowe domeny i zasoby podszywające się pod markę organizacji,
  • analizować ryzyko logowań oraz egzekwować zasady dostępu warunkowego,
  • wykrywać anomalie sesyjne, w tym nietypowe lokalizacje, urządzenia i wzorce dostępu,
  • blokować świeżo zarejestrowane domeny oraz infrastrukturę o niskiej reputacji,
  • regularnie prowadzić szkolenia awareness obejmujące nowoczesne scenariusze phishingowe,
  • integrować dane z poczty, DNS, proxy, endpointów i systemów IAM w celu szybszej korelacji zdarzeń,
  • utrzymywać procedury szybkiego resetu poświadczeń, unieważniania sesji i rotacji tokenów po wykryciu incydentu.

Dla zespołów SOC i IR szczególnie ważne jest skupienie się na skutku biznesowym incydentu. Jeśli dochodzi do przejęcia tożsamości, analiza powinna objąć również tworzenie reguł pocztowych, próby eskalacji uprawnień, dostęp do aplikacji SaaS, rejestrację nowych metod MFA i możliwy transfer danych.

Podsumowanie

Operacja przeciwko SniperDz stanowi istotny przykład skutecznego uderzenia w infrastrukturę phishing-as-a-service oraz osoby odpowiedzialne za jej rozwój. Zatrzymanie głównego developera i przejęcie zaplecza technicznego pokazują, że współpraca między sektorem prywatnym a międzynarodowymi organami ścigania może realnie zakłócać działalność cyberprzestępczą.

Jednocześnie sprawa potwierdza, że phishing pozostaje zagrożeniem zindustrializowanym, elastycznym i zdolnym do szybkiej odbudowy. Dla organizacji najważniejszy wniosek jest praktyczny: skuteczna obrona musi obejmować ochronę tożsamości, monitorowanie sesji, analizę infrastruktury oraz stałe wzmacnianie odporności użytkowników.

Źródła

  1. Infosecurity Magazine – Interpol Dismantles SniperDz Phishing-as-a-Service Platform – https://www.infosecurity-magazine.com/news/interpol-dismantles-sniperdz/
  2. INTERPOL – 20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown – https://www.interpol.int/News-and-Events/News/2025/20-000-malicious-IPs-and-domains-taken-down-in-INTERPOL-infostealer-crackdown
  3. Group-IB – Group-IB contributes to international “Operation Kaerb” – https://www.group-ib.com/media-center/press-releases/operation-kaerb/
  4. Unit 42 – Investigating Infrastructure and Tactics of Sniper Dz – https://unit42.paloaltonetworks.com/phishing-platform-sniper-dz-unique-tactics/?_wpnonce=8e1d3eeeba&lg=en&pdf=print