Mastodon Mastodon Mastodon Mastodon

Zerschlagung der kostenlosen Phishing-Plattform Sniper Dz (Operation Ramz)

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Nach Angaben des Unternehmens Group-IB hat eine internationale, von INTERPOL geleitete Operation zur Zerschlagung von Sniper Dz geführt – einer Plattform für „Phishing as a Service“ (PhaaS), die den Berichten zufolge seit 2015 aktiv war und Cyberkriminellen eine kostenlose Infrastruktur für die Durchführung von Phishing-Angriffen bereitstellte. Die unter dem Codenamen Operation Ramz durchgeführte Aktion, die mutmaßlich im Zeitraum von Oktober 2025 bis Februar 2026 von Strafverfolgungsbehörden aus 13 Ländern des Nahen Ostens und Nordafrikas umgesetzt wurde, endete mit 201 Festnahmen und der Beschlagnahme von Ausrüstung mit Phishing-Software. Nutzern von PayPal, Facebook, Instagram, Yahoo, Netflix und Steam, deren Zugangsdaten über diese Plattform kompromittiert worden sein könnten, wird empfohlen, ihre Passwörter zu ändern und die Aktivitäten ihrer Konten zu überprüfen.

Umfang und technische Infrastruktur der Plattform

Dem Pressemitteilung von Group-IB zufolge stellte Sniper Dz ein ausgereiftes kriminelles Ökosystem dar, das fertige Phishing-Kits, Hosting-Infrastruktur und operativen Support anbot. Im Laufe ihrer Existenz wechselte die Plattform mehrfach den Namen und war auch unter den Marken Joker Dz, Storm Dz und Spam Dz aktiv.

Nach Angaben der Forscher wies die Plattform folgende zentrale technische Merkmale auf:

  • Mehr als 20.000 eindeutige Domains, die mit Phishing-Kampagnen in Verbindung standen
  • 80 Phishing-Templates, die in fünf Sprachen bereitgestellt wurden: Arabisch, Englisch, Französisch, Spanisch und Hebräisch
  • Gezielte Angriffe auf Nutzer von 30 großen globalen Organisationen, darunter PayPal, Facebook, Instagram, Yahoo, Netflix und Steam
  • Über 45.000 Datensätze zu Opfern, die über die Plattform gesammelt wurden
  • Möglichkeit, Phishing-Seiten in der eigenen Infrastruktur der Plattform hinter einem Proxy-Server zu hosten

Die Phishing-Kampagnen richteten sich gegen Nutzer von Technologiediensten, sozialen Netzwerken und Streaming-Plattformen in mehreren Regionen. Die Angreifer imitierten populäre Marken und staatliche Organisationen über täuschend echt wirkende gefälschte Websites, um Zugangsdaten und personenbezogene Informationen abzugreifen.

Einzigartiges Geschäftsmodell und Monetarisierungsmethoden

Das zentrale Merkmal, das Sniper Dz von anderen Anbietern im PhaaS-Markt abhob, war eine vollständig kostenlose Infrastruktur für die Nutzer. Dadurch wurde die Einstiegshürde für angehende Cyberkriminelle deutlich gesenkt, sodass sie Phishing-Kampagnen ohne anfängliche Investitionen durchführen konnten.

Wie Group-IB beschreibt, beruhte die Monetarisierung auf zwei Säulen. Erstens dem direkten Abgreifen gestohlener Zugangsdaten über die Phishing-Kampagnen. Zweitens der Weiterleitung von Nutzern, die keine Zugangsdaten eingaben, in Betrugsschemata mit mobilen Zahlungen, Premium-SMS-Abonnements, dem Missbrauch von Browser-Benachrichtigungen und anderen partnerbasierten betrügerischen Kampagnen. De facto generierte die Plattform aus jedem Besucher einer Phishing-Seite Einnahmen – unabhängig davon, ob dieser seine Daten eingab oder nicht.

Social Engineering in der MENA-Region

Neben klassischem Phishing mit Diebstahl von Zugangsdaten setzten die Betreiber von Sniper Dz nach Erkenntnissen der Forscher intensiv auf Social Engineering, bei dem sie die Popularität und das Ansehen von öffentlichen Figuren im Nahen Osten und in Nordafrika ausnutzten. Die Angreifer legten gefälschte Social-Media-Konten an, die bekannte politische Persönlichkeiten imitierten, und verbreiteten darüber Phishing-Links, die als Werbeangebote oder kostenloser Internetzugang getarnt waren. Dieser Ansatz zeigt, wie Phishing-Taktiken an regionale Besonderheiten und den kulturellen Kontext der jeweiligen Zielgruppe angepasst werden.

Bewertung der Auswirkungen und Kontext

Die Zerschlagung von Sniper Dz ist aus mehreren Gründen bedeutsam. Das kostenlose Bereitstellungsmodell der Phishing-Infrastruktur bedeutete, dass die Plattform potenziell Tausende von Akteuren mit minimalen technischen Fähigkeiten unterstützte. Der Umfang von 20.000 Domains und 45.000 erfassten Opfern spiegelt angesichts des rund zehnjährigen Aktivitätszeitraums vermutlich nur einen Teil des tatsächlichen Schadens wider.

Am stärksten gefährdet waren Nutzer großer Consumer-Dienste in der MENA-Region und in frankophon geprägten Ländern – genau auf diese Zielgruppen waren die Sprach-Templates der Plattform ausgerichtet. Allerdings weiteten englisch- und spanischsprachige Templates den geografischen Radius der Angriffe deutlich über die Region hinaus aus.

Wichtiger Hinweis: Alle Angaben zur Operation Ramz, einschließlich der Zahl der Festnahmen und der Beteiligung von 13 Ländern, stützen sich ausschließlich auf die Berichte von Group-IB. Offizielle Stellungnahmen von INTERPOL oder nationalen Strafverfolgungsbehörden liegen in den verfügbaren Quellen nicht vor, weshalb die Vollständigkeit und Genauigkeit der genannten Zahlen mit Vorsicht zu bewerten ist.

Empfehlungen

Für Nutzer der Dienste, auf die sich die Kampagnen von Sniper Dz richteten:

  • Ändern Sie die Passwörter Ihrer Konten bei PayPal, Facebook, Instagram, Yahoo, Netflix und Steam – insbesondere, wenn Sie verdächtige Links in folgenden Sprachen erhalten haben: Arabisch, Französisch, Spanisch, Hebräisch
  • Aktivieren Sie Multi-Faktor-Authentifizierung bei allen genannten Diensten – so werden gestohlene Zugangsdaten wirkungslos
  • Überprüfen Sie die Anmeldehistorie und aktiven Sitzungen in Ihren Konten auf Anzeichen unbefugten Zugriffs
  • Überprüfen Sie Abonnements für mobile Dienste – wenden Sie sich bei unbekannten Premium-SMS-Abos an Ihren Mobilfunkanbieter

Für Organisationen und Sicherheitsteams:

  • Prüfen Sie Logdaten auf Zugriffe auf Domains, die zuvor mit Sniper Dz in Verbindung gebracht wurden (konkrete Indicators of Compromise werden in den öffentlichen Berichten von Group-IB nicht genannt)
  • Stärken Sie die Filterung von Phishing-E-Mails unter Berücksichtigung mehrsprachiger Templates, die große Consumer-Marken imitieren
  • Informieren Sie Mitarbeitende über die Taktik, gefälschte Konten öffentlicher Personen zur Verbreitung von Phishing-Links zu nutzen

Ungeachtet der Zerschlagung der Infrastruktur von Sniper Dz könnten gestohlene Zugangsdaten bereits verkauft oder genutzt worden sein. Vorrangig sollten daher Multi-Faktor-Authentifizierung für alle potenziell betroffenen Konten aktiviert und Passwörter geändert werden – insbesondere dann, wenn dasselbe Passwort bei mehreren der von Sniper Dz angegriffenen Dienste verwendet wurde.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen