Eine von INTERPOL geführte Operation hat im letzten Monat **Sniper Dz**, eine hochentwickelte Phishing-as-a-Service (PhaaS)-Plattform, die fast ein Jahrzehnt lang in Betrieb war, erfolgreich zerschlagen, so das Cybersicherheitsunternehmen **Group-IB**. ### Operation Ramz: Eine koordinierte Zerschlagung Die koordinierte Aktion, die den Namen **Operation Ramz** trug, erstreckte sich von Oktober 2025 bis Februar 2026. Sie umfasste Strafverfolgungsbehörden aus 13 Ländern des Nahen Ostens und Nordafrikas (MENA) und führte zu bemerkenswerten 201 Festnahmen. Unter den Festgenommenen befand sich **Guedz**, der als Hauptentwickler und Administrator von **Sniper Dz** identifiziert wurde. Seine Festnahme wurde von der algerischen Nationalpolizei durchgeführt. Die Plattform, die auch unter den Aliasnamen **Joker Dz**, **Storm Dz** und **Spam Dz** firmierte, soll die Sammlung von über 45.000 Opferdatensätzen ermöglicht haben. Im Rahmen der Operation Ramz wurde die von Cyberkriminellen genutzte Website für den Zugriff auf die PhaaS-Funktionen abgeschaltet, und die Behörden beschlagnahmten Hardware mit kritischer Phishing-Software und Skripten. ### Entwicklung eines PhaaS-Giganten **Group-IB**, ein in Singapur ansässiges Cybersicherheitsunternehmen, stellte fest, dass **Sniper Dz** seit mindestens 2015 aktiv war. Im Laufe der Jahre entwickelte es sich zu einer umfassenden kriminellen Plattform, die fertige Phishing-Kits, Hosting-Infrastruktur und operative Unterstützung für angehende Cyberkriminelle anbot. Die Ermittler identifizierten mehr als 20.000 eindeutige Domains, die mit dem PhaaS-Dienst in Verbindung stehen. Das Toolkit richtete sich hauptsächlich an Nutzer von 30 großen globalen Organisationen, darunter **PayPal**, **Facebook**, **Instagram**, **Yahoo**, **Netflix** und **Steam**. Es wurden 80 Phishing-Vorlagen in fünf Sprachen eingesetzt, darunter Arabisch, Englisch, Französisch, Spanisch und Hebräisch. ### Mehr als nur das Stehlen von Anmeldedaten Phishing-Kampagnen, die **Sniper Dz** nutzten, gaben sich als beliebte Marken und staatliche Stellen aus und setzten überzeugende Nachbildungen von Websites ein, um Anmeldedaten, persönliche Informationen und andere sensible Daten von Nutzern von Technologie-, Social-Media- und Streaming-Plattformen in verschiedenen Regionen zu stehlen. **Group-IB** hob hervor, dass die Plattform auch fortschrittliche Social-Engineering-Techniken einsetzte. „Über den traditionellen Diebstahl von Anmeldedaten hinaus nutzte die Plattform auch Social-Engineering-Techniken, die die Popularität und Glaubwürdigkeit von Persönlichkeiten des öffentlichen Lebens im Nahen Osten und Nordafrika ausnutzten“, erklärte das Unternehmen. „Bedrohungsakteure erstellten gefälschte Social-Media-Konten, die bekannte politische Persönlichkeiten nachahmten, und nutzten diese, um Phishing-Links zu bewerben, die als Werbeangebote oder kostenloser Internetzugang getarnt waren.“ ### Das kostenlose Modell und die Monetarisierung **Palo Alto Networks Unit 42** führte im Oktober 2024 eine umfassende Analyse von **Sniper Dz** durch. Ihr Bericht beschrieb die Nutzung eines Telegram-Kanals mit über 7.300 Abonnenten durch den Bedrohungsakteur zum Teilen von Tutorial-Videos und hob das einzigartige Angebot der Plattform hervor, Phishing-Seiten auf eigener Infrastruktur hinter einem Proxy-Server zu hosten. Was **Sniper Dz** im überfüllten PhaaS-Markt auszeichnete, war die Entscheidung, seine gesamte Infrastruktur kostenlos anzubieten. Dies senkte die Eintrittsbarriere für Cyberkriminelle erheblich und ermöglichte es ihnen, mit Leichtigkeit groß angelegte Phishing-Kampagnen zu starten. Die Monetarisierungsstrategie der Plattform basierte auf dem Diebstahl von Anmeldedaten und dem Opferverkehr. „Gestohlene Anmeldedaten konnten durch Phishing-Kampagnen geerntet werden, während Nutzer, die keine Anmeldedaten preisgaben, dennoch in Carrier-Billing-Betrug, Premium-SMS-Abonnements, Browser-Benachrichtigungsmissbrauch und andere Affiliate-gesteuerte Betrugskampagnen umgeleitet werden konnten“, erläuterte **Group-IB**.