Siber güvenlik firması Group-IB, yakın zamanda Interpol liderliğindeki bir siber suç yasa uygulama operasyonunun, yerleşik bir hizmet olarak kimlik avı (PhaaS) platformunun devre dışı bırakılmasına ve ana operatör geliştiricisinin tutuklanmasına yol açtığını ortaya çıkardı.
Ramz Operasyonu adı verilen baskı, Ekim 2025'ten Şubat 2026'ya kadar Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 13 ülkede gerçekleşti.
Interpol'ün mayıs ayı sonunda açıkladığı sonuçlar arasında 201 tutuklama, ele geçirilen 53 sunucu, 382 şüpheli ve 3867 mağdur yer alıyor.
Nasıl Önlem Alınmalı?
Gelecekteki soruşturmaları başlatmak ve desteklemek için yaklaşık 8000 parçadan oluşan bir dizi veri ve istihbarat da katılımcı ülkeler arasında dağıtıldı.
Interpol'ün bu çabadaki ana ortaklarından biri olan Group-IB, 11 Haziran'da operasyonun SniperDz'in kapatılmasına ve Cezayir'deki ana geliştiricisinin tutuklanmasına yol açtığını açıkladı.
Önemli Gelişmeler
SniperDz: Hizmet Olarak Küresel Kimlik Avı Platformu
SniperDz, en az 2015'ten beri faaliyet gösteren bir PhaaS platformudur. Bugün, siber suç platformu küresel bir erişime sahiptir ve hazır kimlik avı kitleri, altyapı barındırma ve siber suçlulara operasyonel destek dahil olmak üzere gelişmiş tekliflere sahiptir.
Sistem Güvenliği
2024 yılında Palo Alto Networks'ün 42. Birimi, yalnızca 2023 ile 2024 yılları arasında SniperDz ile ilişkili 140.000'den fazla kimlik avı sayfası keşfettiğini söyledi.
Araştırmacılar, kimlik avı yapanların bu kimlik avı sayfalarını SniperDz'e ait altyapıda barındırabileceğini veya SniperDz kimlik avı şablonlarını kendi sunucularında barındırmak üzere indirebileceğini belirtti.
Gelecekte Ne Bekleniyor?
Unit 42 raporunda "Şaşırtıcı bir şekilde, SniperDz PhaaS bu hizmetleri kimlik avcılarına ücretsiz sunuyor; bunun nedeni belki de SniperDz'in hizmet maliyetini telafi etmek için platformu kullanan kimlik avcıları tarafından çalınan kurban kimlik bilgilerini de toplaması olabilir" dedi.
Teknik Analiz
Geçtiğimiz dokuz yılda Group-IB, aralarında PayPal, Facebook, Instagram, Yahoo, Netflix ve Steam'in de bulunduğu en az 30 büyük küresel kuruluşun kimliğine bürünen, SniperDz ile ilişkili 20.000'den fazla benzersiz alan adı tespit etti.
Group-IB'nin araştırma ekibi, Arapça, İngilizce, Fransızca, İspanyolca ve İbranice dahil olmak üzere beş dilde dağıtılan ve birden fazla coğrafyadaki tüketici, teknoloji ve ödeme platformu kullanıcılarını hedefleyen 80 kimlik avı şablonu tespit etti.
Tipik olarak kurbanlar, kimlik bilgilerini, kişisel bilgileri ve diğer hassas verileri toplamak için tasarlanmış ikna edici taklit web sitelerine yönlendiriliyordu.
Detaylar ve Etkileri
SniperDz platformu, geleneksel kimlik bilgileri hırsızlığının ötesinde, MENA genelinde tanınmış kişilerin popülerliğinden ve güvenilirliğinden yararlanan sosyal mühendislik tekniklerinden de yararlandı.
Group-IB, "Tehdit aktörleri, tanınmış siyasi kişilikleri taklit eden sahte sosyal medya hesapları oluşturdu ve bunları, promosyon teklifleri veya ücretsiz internet erişimi gibi görünen kimlik avı bağlantılarını tanıtmak için kullandı" dedi.
Sonuç ve Değerlendirme
SniperDz Önemli OpSec Arızaları Gösterdi
Soruşturma, bağlı kuruluşları işe almak ve eğitmek için video eğitimleri yayınlayan şüphelinin önemli bir operasyonel güvenlik (OpSec) başarısızlığını ortaya çıkardı. Bunlar yanlışlıkla idari bilgileri ve hesap kimlik bilgilerini açığa çıkardı.
Uzmanların Görüşleri
Bunlar, platformun gelişimini belgeleyen yıllar süren sosyal medya faaliyetleri, bağlı kuruluş işe alım çabaları ve yeni kimlik avı şablonlarının yayınlanmasıyla birleştiğinde Grup-IB araştırmacılarının şüphelinin dijital ayak izini takip etmesine ve onu tanımlamasına yardımcı oldu.
Group-IB, "Group-IB, bulgularını Interpol ile paylaştığında 7.300'den fazla abonesi olan ve 19.000'den fazla kullanıcının takip ettiği bir Facebook hesabı olan, operasyonları koordine etmek için kullanılan bir Telegram kanalı, şüphelinin platformun 2015 ile 2025 yılları arasındaki faaliyetleri arasında bağlantı kurduğuna dair ek kanıtlar sağladı." diye ekledi.
Siber güvenlik şirketi toplanan bilgileri Interpol'e teslim ettikten sonra kolluk kuvveti, SniperDz altyapısını bozmak ve operasyonu yürüttüğünden şüphelenilen kişiyi tutuklamak için Cezayir Ulusal Polisi ile koordineli çalıştı.
Group-IB CEO'su Dmitry Volkov'a göre bu vaka, "düşman merkezli istihbaratın neden önemli olduğunun ders kitaplarında yer alan bir örneğiydi."
"Siber suçları engellemek, kimlik avı sayfalarını kaldırmaktan daha fazlasını gerektirir. Arkalarındaki insanları, altyapıyı ve suç ekosistemlerini anlamayı gerektirir" dedi.
"Tehdit istihbaratını, ilişkilendirmeyi ve kolluk kuvvetleriyle yakın işbirliğini birleştirerek, yaklaşık on yıllık kimlik avı faaliyetinden sorumlu olan kişinin belirlenmesine yardımcı olabildik ve bu operasyonun sona erdirilmesine katkıda bulunabildik."
Görsel katkıları: Dr David Sing / Tang Yan Song / Shutterstock.com