По данным компании Group-IB, международная операция под руководством ИНТЕРПОЛ привела к ликвидации Sniper Dz — платформы «фишинг как услуга» (PhaaS), которая, как сообщается, функционировала с 2015 года и предоставляла киберпреступникам бесплатную инфраструктуру для проведения фишинговых атак. Операция под кодовым названием Operation Ramz, проведённая предположительно в период с октября 2025 по февраль 2026 года силами правоохранительных органов 13 стран Ближнего Востока и Северной Африки, завершилась 201 арестом и изъятием оборудования с фишинговым программным обеспечением. Пользователям PayPal, Facebook, Instagram, Yahoo, Netflix и Steam, чьи учётные данные могли быть скомпрометированы через эту платформу, рекомендуется сменить пароли и проверить активность своих аккаунтов.
Масштаб и техническая инфраструктура платформы
Согласно пресс-релизу Group-IB, Sniper Dz представляла собой зрелую криминальную экосистему, предлагавшую готовые фишинговые наборы, хостинговую инфраструктуру и операционную поддержку. За время существования платформа неоднократно меняла название, действуя также под брендами Joker Dz, Storm Dz и Spam Dz.
Ключевые технические характеристики платформы, по данным исследователей:
- Более 20 000 уникальных доменов, связанных с фишинговыми кампаниями
- 80 фишинговых шаблонов, развёрнутых на пяти языках: арабском, английском, французском, испанском и иврите
- Целевые атаки на пользователей 30 крупных глобальных организаций, включая PayPal, Facebook, Instagram, Yahoo, Netflix и Steam
- Более 45 000 записей о жертвах, собранных через платформу
- Возможность размещения фишинговых страниц на собственной инфраструктуре платформы за прокси-сервером
Фишинговые кампании были направлены на пользователей технологических сервисов, социальных сетей и стриминговых платформ в нескольких регионах. Злоумышленники имитировали популярные бренды и государственные организации с помощью убедительных поддельных сайтов для сбора учётных данных и персональной информации.
Уникальная бизнес-модель и методы монетизации
Ключевая особенность Sniper Dz, выделявшая её среди конкурентов на рынке PhaaS, — полностью бесплатная инфраструктура для пользователей. Это существенно снижало порог входа для начинающих киберпреступников, позволяя им проводить фишинговые кампании без начальных инвестиций.
Как описывает Group-IB, монетизация строилась на двух направлениях. Первое — непосредственный сбор украденных учётных данных через фишинговые кампании. Второе — перенаправление пользователей, не предоставивших учётные данные, в схемы мошенничества с мобильными платежами, подписками на премиум-SMS, злоупотреблением браузерными уведомлениями и другими партнёрскими мошенническими кампаниями. Фактически платформа извлекала прибыль из каждого посетителя фишинговой страницы, независимо от того, ввёл ли он свои данные.
Социальная инженерия в регионе MENA
Помимо стандартного фишинга с кражей учётных данных, операторы Sniper Dz, по данным исследователей, активно использовали социальную инженерию, эксплуатируя популярность и авторитет публичных фигур Ближнего Востока и Северной Африки. Злоумышленники создавали поддельные аккаунты в социальных сетях, имитирующие известных политических деятелей, и через них распространяли фишинговые ссылки, замаскированные под рекламные предложения или бесплатный доступ в интернет. Этот подход демонстрирует адаптацию фишинговых тактик к региональной специфике и культурному контексту целевой аудитории.
Оценка воздействия и контекст
Ликвидация Sniper Dz значима по нескольким причинам. Бесплатная модель распространения фишинговой инфраструктуры означала, что платформа обслуживала потенциально тысячи операторов с минимальными техническими навыками. Масштаб в 20 000 доменов и 45 000 записей жертв, вероятно, отражает лишь часть реального ущерба, учитывая десятилетний период активности.
Наибольшему риску подвергались пользователи крупных потребительских сервисов в регионе MENA и франкоязычных странах — именно на эти аудитории были ориентированы языковые шаблоны платформы. Однако англоязычные и испаноязычные шаблоны расширяли географию атак далеко за пределы региона.
Важная оговорка: все данные об операции Ramz, включая число арестов и участие 13 стран, основаны исключительно на отчётах Group-IB. Официальные заявления ИНТЕРПОЛ или национальных правоохранительных органов в доступных источниках отсутствуют, что требует осторожности в оценке полноты и точности приведённых цифр.
Рекомендации
Для пользователей сервисов, на которые были нацелены кампании Sniper Dz:
- Смените пароли на аккаунтах PayPal, Facebook, Instagram, Yahoo, Netflix и Steam, особенно если вы получали подозрительные ссылки на этих языках: арабском, французском, испанском, иврите
- Включите многофакторную аутентификацию на всех перечисленных сервисах — это нейтрализует украденные учётные данные
- Проверьте историю входов и активных сессий в аккаунтах на предмет несанкционированного доступа
- Проверьте подписки на мобильные сервисы — при наличии неизвестных премиум-подписок на SMS обратитесь к оператору связи
Для организаций и команд безопасности:
- Проверьте логи на наличие обращений к доменам, ранее ассоциированным со Sniper Dz (конкретные индикаторы компрометации в публичных отчётах Group-IB не раскрыты)
- Усильте фильтрацию фишинговых писем с учётом многоязычных шаблонов, имитирующих крупные потребительские бренды
- Проведите информирование сотрудников о тактике использования поддельных аккаунтов публичных фигур для распространения фишинговых ссылок
Несмотря на ликвидацию инфраструктуры Sniper Dz, украденные учётные данные уже могли быть проданы или использованы. Приоритетное действие — активация многофакторной аутентификации на всех аккаунтах, которые могли быть целью этой платформы, и ротация паролей, особенно если один и тот же пароль использовался на нескольких сервисах из списка целей Sniper Dz.
