За даними компанії Group-IB, міжнародна операція під керівництвом ІНТЕРПОЛ призвела до ліквідації Sniper Dz — платформи «фішинг як послуга» (PhaaS), яка, як повідомляється, функціонувала з 2015 року та надавала кіберзлочинцям безплатну інфраструктуру для проведення фішингових атак. Операція під кодовою назвою Operation Ramz, проведена, ймовірно, у період з жовтня 2025 по лютий 2026 року зусиллями правоохоронних органів 13 країн Близького Сходу та Північної Африки, завершилася 201 арештом і вилученням обладнання з фішинговим програмним забезпеченням. Користувачам PayPal, Facebook, Instagram, Yahoo, Netflix і Steam, чиї облікові дані могли бути скомпрометовані через цю платформу, рекомендується змінити паролі та перевірити активність своїх облікових записів.
Масштаб і технічна інфраструктура платформи
Згідно з пресрелізом Group-IB, Sniper Dz була зрілою кримінальною екосистемою, що пропонувала готові фішингові набори, хостингову інфраструктуру та операційну підтримку. За час існування платформа неодноразово змінювала назву, діючи також під брендами Joker Dz, Storm Dz і Spam Dz.
Ключові технічні характеристики платформи, за даними дослідників:
- Понад 20 000 унікальних доменів, пов’язаних із фішинговими кампаніями
- 80 фішингових шаблонів, розгорнутих п’ятьма мовами: арабською, англійською, французькою, іспанською та івритом
- Цільові атаки на користувачів 30 великих глобальних організацій, включно з PayPal, Facebook, Instagram, Yahoo, Netflix і Steam
- Понад 45 000 записів про жертв, зібраних через платформу
- Можливість розміщення фішингових сторінок на власній інфраструктурі платформи за проксі-сервером
Фішингові кампанії були спрямовані на користувачів технологічних сервісів, соціальних мереж і стримінгових платформ у кількох регіонах. Зловмисники імітували популярні бренди та державні організації за допомогою переконливих фальшивих сайтів для збирання облікових даних і персональної інформації.
Унікальна бізнес-модель і методи монетизації
Ключова особливість Sniper Dz, що вирізняла її серед конкурентів на ринку PhaaS, — повністю безплатна інфраструктура для користувачів. Це суттєво знижувало поріг входу для початківців-кіберзлочинців, дозволяючи їм проводити фішингові кампанії без початкових інвестицій.
Як описує Group-IB, монетизація будувалася за двома напрямами. Перше — безпосереднє збирання викрадених облікових даних через фішингові кампанії. Друге — перенаправлення користувачів, які не надали облікові дані, у схеми шахрайства з мобільними платежами, підписками на преміум-SMS, зловживанням браузерними сповіщеннями та іншими партнерськими шахрайськими кампаніями. Фактично платформа отримувала прибуток з кожного відвідувача фішингової сторінки, незалежно від того, ввів він свої дані чи ні.
Соціальна інженерія в регіоні MENA
Окрім стандартного фішингу з крадіжкою облікових даних, оператори Sniper Dz, за даними дослідників, активно використовували соціальну інженерію, експлуатуючи популярність і авторитет публічних фігур Близького Сходу та Північної Африки. Зловмисники створювали фальшиві облікові записи в соціальних мережах, що імітували відомих політичних діячів, і через них поширювали фішингові посилання, замасковані під рекламні пропозиції або безплатний доступ до інтернету. Цей підхід демонструє адаптацію фішингових тактик до регіональної специфіки та культурного контексту цільової аудиторії.
Оцінка впливу та контекст
Ліквідація Sniper Dz є важливою з кількох причин. Безплатна модель поширення фішингової інфраструктури означала, що платформа обслуговувала потенційно тисячі операторів із мінімальними технічними навичками. Масштаб у 20 000 доменів і 45 000 записів про жертв, імовірно, відображає лише частину реальної шкоди з огляду на десятирічний період активності.
Найбільшому ризику піддавалися користувачі великих масових сервісів у регіоні MENA та франкомовних країнах — саме на ці аудиторії були орієнтовані мовні шаблони платформи. Водночас англомовні та іспаномовні шаблони розширювали географію атак далеко за межі регіону.
Важливе застереження: усі дані про операцію Ramz, включно з кількістю арештів і участю 13 країн, ґрунтуються виключно на звітах Group-IB. Офіційні заяви ІНТЕРПОЛ або національних правоохоронних органів у доступних джерелах відсутні, що потребує обережності в оцінці повноти й точності наведених цифр.
Рекомендації
Для користувачів сервісів, на які були націлені кампанії Sniper Dz:
- Змініть паролі в облікових записах PayPal, Facebook, Instagram, Yahoo, Netflix і Steam, особливо якщо ви отримували підозрілі посилання цими мовами: арабською, французькою, іспанською, івритом
- Увімкніть багатофакторну автентифікацію в усіх перелічених сервісах — це робить викрадені облікові дані непридатними до використання
- Перевірте історію входів та активні сесії у своїх облікових записах на предмет несанкціонованого доступу
- Перевірте підписки на мобільні сервіси — за наявності невідомих преміум-підписок на SMS зверніться до оператора зв’язку
Для організацій і команд безпеки:
- Перевірте журнали подій на наявність звернень до доменів, раніше асоційованих зі Sniper Dz (конкретні індикатори компрометації в публічних звітах Group-IB не розкрито)
- Посильте фільтрацію фішингових листів із урахуванням багатомовних шаблонів, що імітують великі масові бренди
- Проведіть інформування співробітників про тактику використання фальшивих облікових записів публічних фігур для поширення фішингових посилань
Попри ліквідацію інфраструктури Sniper Dz, викрадені облікові дані вже могли бути продані або використані. Пріоритетна дія — активація багатофакторної автентифікації на всіх облікових записах, які могли бути ціллю цієї платформи, та ротація паролів, особливо якщо один і той самий пароль використовувався в кількох сервісах зі списку цілей Sniper Dz.
