Siber güvenlik şirketi Group-IB, Interpol liderliğinde yürütülen uluslararası bir siber suç operasyonu sayesinde, yıllardır faaliyet gösteren bir Phishing-as-a-Service (PhaaS) platformu olan SniperDz'in çökertildiğini ve platformun baş geliştiricisinin Cezayir'de tutuklandığını duyurdu. Ekim 2025'ten Şubat 2026'ya kadar süren Ramz Operasyonu, Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 13 ülkede eş zamanlı olarak yürütüldü.
Interpol'ün Mayıs sonunda açıkladığı sonuçlara göre operasyon kapsamında 201 kişi tutuklandı, 53 sunucu ele geçirildi, 382 şüpheli ve 3867 mağdur tespit edildi. Ayrıca, gelecekteki soruşturmalara destek olmak üzere katılımcı ülkeler arasında yaklaşık 8000 veri ve istihbarat paylaşıldı. Group-IB, bu operasyonda Interpol'ün ana ortaklarından biri olarak yer aldı.
Group-IB, 11 Haziran'da yaptığı açıklamada, operasyonun SniperDz platformunun çökertilmesini ve platformun birincil geliştiricisinin Cezayir'de tutuklanmasını sağladığını belirtti. SniperDz, en az 2015 yılından beri faaliyet gösteren bir PhaaS platformudur. Siber suç platformu, küresel bir erişime sahiptir ve hazır oltalama kitleri, altyapı barındırma ve operasyonel destek gibi gelişmiş hizmetler sunmaktadır.
Önemli Gelişmeler
Palo Alto Networks'ün Unit 42 araştırma ekibi, 2024 yılında yayınladığı bir raporda, yalnızca 2023-2024 arasında SniperDz ile ilişkili 140.000'den fazla oltalama sayfası keşfettiğini duyurmuştu. Araştırmacılar, dolandırıcıların bu sayfaları SniperDz'in altyapısında barındırabildiği gibi, kendi sunucularında kullanmak üzere şablonları indirebildiğini de belirtti. İlginç bir şekilde, SniperDz bu hizmetleri ücretsiz sunuyor; ancak platform, kullanıcıların çaldığı kimlik bilgilerini toplayarak maliyetini karşılıyor.
Group-IB, geçtiğimiz dokuz yıl içinde SniperDz ile bağlantılı 20.000'den fazla benzersiz alan adı tespit etti. Bu alan adları, PayPal, Facebook, Instagram, Yahoo, Netflix ve Steam gibi en az 30 büyük küresel organizasyonu taklit ediyordu. Araştırma ekibi, Arapça, İngilizce, Fransızca, İspanyolca ve İbranice olmak üzere beş dilde 80 farklı oltalama şablonu belirledi. Bu şablonlar, tüketici, teknoloji ve ödeme platformlarının kullanıcılarını hedef alıyordu. Mağdurlar, genellikle kimlik bilgilerini, kişisel bilgilerini ve diğer hassas verilerini çalmak için tasarlanmış ikna edici sahte web sitelerine yönlendiriliyordu.
Detaylar ve Etkileri
Geleneksel kimlik avı yöntemlerinin ötesinde, SniperDz platformu MENA bölgesindeki ünlü kişilerin popülerliğini ve güvenilirliğini sömüren sosyal mühendislik teknikleri de kullanıyordu. Group-IB, tehdit aktörlerinin tanınmış siyasi figürleri taklit eden sahte sosyal medya hesapları oluşturduğunu ve bu hesapları promosyon teklifleri veya ücretsiz internet erişimi gibi görünen oltalama bağlantılarını tanıtmak için kullandığını açıkladı.
Soruşturma, zanlının önemli bir operasyonel güvenlik (OpSec) hatası yaptığını ortaya çıkardı. Şüpheli, ortakları işe almak ve eğitmek için video eğitimleri yayınlamış, ancak bu videolar yanlışlıkla yönetici bilgilerini ve hesap kimlik bilgilerini ifşa etmişti. Bu bilgiler, platformun evrimini, ortak işe alım çabalarını ve yeni oltalama şablonlarının piyasaya sürülmesini belgeleyen yıllardır süren sosyal medya etkinliğiyle birleşince, Group-IB araştırmacılarının şüphelinin dijital ayak izini izlemesine ve onu tespit etmesine olanak sağladı. Group-IB'in Interpol ile paylaştığı bulgulara göre, operasyonları koordine etmek için kullanılan 7.300'den fazla aboneye sahip bir Telegram kanalı ve 19.000'den fazla kullanıcı tarafından takip edilen bir Facebook hesabı, şüpheliyi 2015-2025 yılları arasındaki platform faaliyetlerine bağlayan ek kanıtlar sağladı.
Gelecekte Ne Bekleniyor?
Group-IB, topladığı bilgileri Interpol'e teslim ettikten sonra, kolluk kuvvetleri Cezayir Ulusal Polisi ile koordineli olarak SniperDz altyapısını çökertti ve operasyonu yürüttüğü düşünülen kişiyi tutukladı. Group-IB CEO'su Dmitry Volkov, bu vakayı 'rakip merkezli istihbaratın neden önemli olduğunun ders kitabı niteliğinde bir örneği' olarak nitelendirdi. Volkov, 'Siber suçları engellemek, oltalama sayfalarını kaldırmaktan daha fazlasını gerektirir. Bunun arkasındaki insanları, altyapıyı ve suç ekosistemlerini anlamayı gerektirir. Tehdit istihbaratı, ilişkilendirme ve kolluk kuvvetleriyle yakın iş birliğini birleştirerek, neredeyse on yıldır süren oltalama faaliyetlerinden sorumlu kişiyi tespit etmeye ve bu operasyonu sona erdirmeye katkıda bulunabildik.' dedi.
Kaynak: infosecurity-magazine.com