Interpol'den Büyük Vurgun: SniperDz Phishing Platformu Çökertildi, Ana Geliştirici Tutuklandı Windows

Interpol'den Büyük Vurgun: SniperDz Phishing Platformu Çökertildi, Ana Geliştirici Tutuklandı

Interpol'ün 13 ülkede yürüttüğü Ramz Operasyonu kapsamında, 9 yıldır faaliyette olan SniperDz PhaaS platformu çökertildi ve Cezayirli ana geliştirici

Siber güvenlik alanında önemli bir gelişme yaşandı: Interpol liderliğinde yürütülen uluslararası bir operasyon, yıllardır faaliyette olan bir 'Phishing-as-a-Service' (PhaaS) platformunun çökertilmesiyle sonuçlandı. Group-IB tarafından yapılan açıklamaya göre, 'Ramz Operasyonu' adı verilen bu geniş çaplı müdahale, Ekim 2025 ile Şubat 2026 tarihleri arasında Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 13 ülkede eş zamanlı olarak gerçekleştirildi. Operasyon kapsamında 201 kişi tutuklanırken, 53 sunucu ele geçirildi ve 382 şüpheli ile 3867 mağdur tespit edildi. Ayrıca, gelecekteki soruşturmalara temel oluşturmak üzere katılımcı ülkeler arasında yaklaşık 8000 veri ve istihbarat paylaşıldı.

Interpol'ün bu operasyondaki ana ortaklarından biri olan Group-IB, 11 Haziran'da yaptığı detaylı açıklamada, operasyonun SniperDz platformunun çökertilmesi ve platformun Cezayir'deki ana geliştiricisinin tutuklanmasıyla sonuçlandığını duyurdu. SniperDz, en az 2015 yılından bu yana faaliyet gösteren ve siber suçlulara hazır phishing kitleri, altyapı barındırma ve operasyonel destek sunan sofistike bir PhaaS platformuydu. Palo Alto Networks'ün Unit 42 ekibinin 2024 raporuna göre, yalnızca 2023-2024 döneminde SniperDz ile ilişkili 140.000'den fazla phishing sayfası tespit edilmişti. Platform, kullanıcılarına ücretsiz hizmet sunuyor, ancak karşılığında çalınan kimlik bilgilerini topluyordu.

Group-IB'nin dokuz yıllık araştırması, SniperDz ile bağlantılı 20.000'den fazla benzersiz alan adı belirledi. Bu alan adları, PayPal, Facebook, Instagram, Yahoo, Netflix ve Steam gibi en az 30 büyük küresel organizasyonu taklit ediyordu. Platform, Arapça, İngilizce, Fransızca, İspanyolca ve İbranice olmak üzere beş dilde 80 farklı phishing şablonu sunuyordu. Mağdurlar, gerçeğine benzer sahte web sitelerine yönlendirilerek kimlik bilgileri, kişisel veriler ve hassas bilgilerini çaldırıyordu. SniperDz, geleneksel kimlik avı yöntemlerinin ötesinde, MENA bölgesindeki tanınmış siyasi figürlerin popülaritesini ve güvenilirliğini sömüren sosyal mühendislik taktikleri de kullanıyordu. Bu kapsamda, sahte sosyal medya hesapları oluşturuluyor ve bu hesaplar üzerinden promosyon teklifleri veya ücretsiz internet erişimi gibi vaatlerle phishing bağlantıları yayılıyordu.

Sistem Güvenliği

Soruşturma, şüphelinin önemli bir operasyonel güvenlik (OpSec) hatası yaptığını ortaya çıkardı. Şüpheli, işbirlikçilerini eğitmek ve toplamak için video eğitimleri yayınlamış, ancak bu videolarda yanlışlıkla yönetici bilgilerini ve hesap kimlik bilgilerini ifşa etmişti. Ayrıca, platformun evrimini, işbirlikçi toplama çabalarını ve yeni phishing şablonlarının yayınlanmasını belgeleyen yıllar süren sosyal medya faaliyetleri, Group-IB araştırmacılarının şüphelinin dijital ayak izini izlemesine ve onu tespit etmesine yardımcı oldu. Operasyonları koordine etmek için kullanılan ve 7.300'den fazla aboneye sahip bir Telegram kanalı ile 19.000'den fazla kullanıcı tarafından takip edilen bir Facebook hesabı, şüpheliyi 2015-2025 yılları arasındaki platform faaliyetlerine bağlayan ek kanıtlar sağladı.

Sonuç ve Değerlendirme

Group-IB, topladığı bilgileri Interpol'e aktardıktan sonra, Interpol Cezayir Ulusal Polisi ile koordine olarak SniperDz altyapısını çökertti ve operasyonu yürüttüğü düşünülen kişiyi tutukladı. Group-IB CEO'su Dmitry Volkov, bu durumu 'düşman odaklı istihbaratın neden önemli olduğuna dair ders kitabı niteliğinde bir örnek' olarak nitelendirdi. Volkov, 'Siber suçları engellemek, sadece phishing sayfalarını kaldırmaktan daha fazlasını gerektirir. Bunun arkasındaki insanları, altyapıyı ve suç ekosistemlerini anlamak gerekir' dedi. 'Tehdit istihbaratı, atıf ve kolluk kuvvetleriyle yakın iş birliğini birleştirerek, yaklaşık on yıldır süren phishing faaliyetlerinden sorumlu kişiyi tespit etmeye ve bu operasyonu sona erdirmeye katkıda bulunduk.'

Nasıl Önlem Alınmalı?

Bu operasyon, phishing-as-a-service platformlarının küresel çapta oluşturduğu tehdidin boyutunu ve uluslararası iş birliğinin bu tehditle mücadeledeki kritik rolünü bir kez daha gözler önüne serdi. SniperDz gibi platformlar, teknik bilgisi sınırlı siber suçlulara bile karmaşık saldırılar düzenleme imkanı vererek siber güvenlik tehditlerini demokratikleştiriyor. Kullanıcıların, özellikle tanımadıkları kaynaklardan gelen bağlantılara tıklarken dikkatli olmaları, iki faktörlü kimlik doğrulama kullanmaları ve şüpheli e-posta veya mesajları bildirmeleri büyük önem taşıyor. İşletmelerin ise çalışanlarını düzenli olarak phishing saldırıları konusunda eğitmeleri ve güçlü güvenlik önlemleri almaları gerekiyor.

Kaynak: infosecurity-magazine.com

Paylaş: