Siber güvenlik firması Group-IB, Interpol liderliğinde yürütülen bir operasyonun, köklü bir phishing-as-a-service (PhaaS) platformu olan SniperDz'yi çökerttiğini ve platformun ana geliştiricisinin tutuklandığını açıkladı. Ekim 2025'ten Şubat 2026'ya kadar süren 'Operasyon Ramz' adlı operasyon, Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 13 ülkede eş zamanlı olarak gerçekleştirildi. Interpol tarafından Mayıs sonunda duyurulan sonuçlara göre, 201 kişi tutuklandı, 53 sunucu ele geçirildi ve 382 şüpheli ile 3.867 kurban tespit edildi. Ayrıca, gelecekteki soruşturmaları başlatmak ve desteklemek amacıyla katılımcı ülkeler arasında yaklaşık 8.000 veri ve istihbarat paylaşıldı.
Group-IB, 11 Haziran'da yaptığı açıklamada, operasyonun SniperDz'nin çökertilmesine ve platformun Cezayir'deki ana geliştiricisinin tutuklanmasına yol açtığını belirtti. SniperDz, en az 2015 yılından beri faaliyet gösteren bir PhaaS platformu olarak küresel bir erişime ulaşmıştı. Platform, hazır phishing kitleri, altyapı barındırma ve siber suçlulara operasyonel destek gibi gelişmiş hizmetler sunuyordu. Palo Alto Networks'ün Unit 42 birimi, 2023-2024 yılları arasında SniperDz ile ilişkili 140.000'den fazla phishing sayfası tespit etti. Araştırmacılar, phishing yapanların bu sayfaları SniperDz'nin kendi altyapısında barındırabildiği gibi, şablonları indirip kendi sunucularında da kullanabildiğini belirtti.
Group-IB, dokuz yıl boyunca SniperDz ile ilişkili 20.000'den fazla benzersiz alan adı tespit etti ve bu alan adlarının PayPal, Facebook, Instagram, Yahoo, Netflix ve Steam dahil en az 30 büyük küresel kuruluşu taklit ettiğini ortaya koydu. Platform, Arapça, İngilizce, Fransızca, İspanyolca ve İbranice olmak üzere beş dilde 80 phishing şablonu kullanıyor ve tüketici, teknoloji ve ödeme platformlarını hedef alıyordu. Kurbanlar, genellikle kimlik bilgilerini, kişisel bilgilerini ve hassas verilerini çalmak için tasarlanmış gerçekçi sahte web sitelerine yönlendiriliyordu. Ayrıca SniperDz, MENA bölgesindeki tanınmış siyasi figürlerin taklit edildiği sahte sosyal medya hesapları aracılığıyla promosyon teklifleri veya ücretsiz internet erişimi gibi tuzaklarla kurbanları cezbediyordu.
Teknik Analiz
Soruşturma, şüphelinin önemli bir operasyonel güvenlik zaafiyeti sergilediğini ortaya koydu. Şüpheli, ortakları eğitmek ve toplamak için yayınladığı video eğitimlerinde yanlışlıkla yönetici bilgilerini ve hesap kimlik bilgilerini ifşa etmişti. Group-IB, bu bilgilerin yanı sıra şüphelinin yıllar boyunca platformun gelişimini, ortak toplama çabalarını ve yeni phishing şablonlarını belgelediği sosyal medya faaliyetlerini kullanarak dijital ayak izini takip etti ve kimliğini tespit etti. Group-IB, bulgularını Interpol ile paylaştıktan sonra Interpol, Cezayir Ulusal Polisi ile koordine olarak SniperDz altyapısını çökertti ve operasyonu yürüttüğü düşünülen kişiyi tutukladı. Group-IB CEO'su Dmitry Volkov, bu vakayı 'düşman merkezli istihbaratın neden önemli olduğuna dair ders kitabı niteliğinde bir örnek' olarak nitelendirdi ve siber suçla mücadelede phishing sayfalarını kaldırmanın ötesine geçilmesi gerektiğini vurguladı.