INTERPOL zerschlägt Phishing-Plattform Sniper Dz und nimmt Administrator fest

Zusammenfassung

Eine von INTERPOL geführte Aktion hat im vergangenen Monat die Phishing-as-a-Service-Plattform Sniper Dz zerschlagen, die laut Group-IB über rund ein Jahrzehnt aktiv war. Die unter dem Namen Operation Ramz geführte Maßnahme lief zwischen Oktober 2025 und Februar 2026 und führte in 13 Ländern der Region Naher Osten und Nordafrika zu 201 Festnahmen. Unter den Festgenommenen war auch Guedz, der Hauptentwickler und Administrator von Sniper Dz, wie Group-IB am Donnerstag mitteilte. Die Festnahme erfolgte durch die algerische Nationalpolizei. Nach Angaben des Unternehmens sammelte der Dienst mehr als 45.000 Datensätze von Opfern und trat im Lauf der Jahre auch unter den Namen Joker Dz, Storm Dz und Spam Dz auf. Im Zuge der Operation wurde zudem die Website abgeschaltet, über die die Plattform ihre Phishing-Dienste anderen Cyberkriminellen anbot. Behörden beschlagnahmten außerdem Hardware mit Phishing-Software und Skripten.

Nach Darstellung von Group-IB war Sniper Dz seit mindestens 2015 aktiv und entwickelte sich zu einer ausgereiften kriminellen Plattform. Angeboten wurden vorgefertigte Phishing-Kits, Hosting-Infrastruktur und operative Unterstützung für andere Cyberkriminelle. Genau diese Kombination machte den Dienst zu einem langjährig genutzten Werkzeug für Phishing-Kampagnen.

Im Verlauf der Jahre wurden mehr als 20.000 eindeutige Domains identifiziert, die mit dem Dienst in Verbindung standen. Das Toolkit zielte laut Group-IB vor allem auf 30 große globale Organisationen, darunter PayPal, Facebook, Instagram, Yahoo, Netflix und Steam. Dafür standen 80 Phishing-Vorlagen in fünf Sprachen bereit: Arabisch, Englisch, Französisch, Spanisch und Hebräisch.

Die mit Sniper Dz durchgeführten Kampagnen richteten sich gegen Nutzer von Technologie-, Social-Media- und Streaming-Plattformen in mehreren Regionen. Die Täter gaben sich dabei als bekannte Marken und staatliche Stellen aus und setzten auf täuschend echt nachgebaute Webseiten, um Zugangsdaten, persönliche Informationen und andere sensible Daten abzugreifen.

Group-IB zufolge ging die Plattform über klassischen Diebstahl von Zugangsdaten hinaus. Die Betreiber und ihre Nutzer setzten auch Social-Engineering-Techniken ein, die die Popularität und Glaubwürdigkeit öffentlicher Personen im Nahen Osten und in Nordafrika ausnutzten. Dafür wurden gefälschte Konten in sozialen Netzwerken angelegt, die sich als bekannte politische Persönlichkeiten ausgaben und Phishing-Links als angebliche Werbeangebote oder als kostenlosen Internetzugang tarnten.

Bereits im Oktober 2024 hatte Palo Alto Networks Unit 42 Sniper Dz umfassend analysiert. Die Forscher beschrieben unter anderem einen Telegram-Kanal mit mehr als 7.300 Abonnenten, über den Anleitungsvideos verbreitet wurden. Zudem bot der Dienst die Möglichkeit, Phishing-Seiten auf eigener Infrastruktur hinter einem Proxy-Server zu hosten.

Auffällig war nach Einschätzung von Group-IB auch das Geschäftsmodell. Anders als viele andere PhaaS-Angebote stellte Sniper Dz seine gesamte Infrastruktur kostenlos bereit. Das senkte die Hürde für angehende Cyberkriminelle, Phishing-Kampagnen in großem Maßstab umzusetzen. Einnahmen wurden stattdessen über gestohlene Zugangsdaten und den Datenverkehr der Opfer erzielt.

Group-IB erläuterte, dass gestohlene Zugangsdaten direkt aus Phishing-Kampagnen gewonnen werden konnten. Nutzer, die keine Zugangsdaten preisgaben, wurden demnach teils auf andere Betrugsmodelle umgeleitet, darunter Abrechnungsbetrug über Mobilfunkanbieter, Premium-SMS-Abonnements, Missbrauch von Browser-Benachrichtigungen und weitere affiliate-getriebene Betrugskampagnen.

INTERPOL zerschlägt Phishing-Plattform Sniper Dz und nimmt Administrator fest

Ähnliche Artikel

Neueste Artikel