SniperDz PhaaS felszámolása
A Group-IB, az INTERPOL és az algériai rendőrség közös műveletének eredményeként felszámolták a SniperDz nevű, közel tíz éve működő Phishing-as-a-Service (PhaaS) platformot, és letartóztatták annak fő fejlesztőjét és üzemeltetőjét, akit a kutatók Guedz néven azonosítottak. A művelet az INTERPOL által koordinált Operation Ramz részeként zajlott.
A SniperDz 2015 óta működött, és az évek során JokerDz, StormDz és SpamDz néven is ismert volt. A platform különlegessége az volt, hogy a legtöbb PhaaS-szolgáltatással ellentétben gyakorlatilag ingyenesen biztosított phishing infrastruktúrát, jelentősen csökkentve a belépési küszöböt a kezdő kiberbűnözők számára. A szolgáltatás több mint 80 adathalász sablont kínált öt nyelven (arab, angol, francia, spanyol és héber), és legalább 30 ismert márkát utánzott, köztük a PayPal, Meta Facebook, Instagram, Yahoo, Netflix és Steam szolgáltatásait. A kutatók több mint 20 000 kapcsolódó domaint azonosítottak, míg a platform saját statisztikái szerint már 2016-ban több mint 45 000 ellopott rekordot kezeltek.
A platform nemcsak hitelesítő adatok ellopására szolgált. A MENA-régióban (Közel-Kelet és Észak-Afrika) gyakran alkalmaztak olyan közösségi médiás csalásokat, amelyek ismert politikusokat, közszereplőket vagy telekommunikációs szolgáltatókat utánoztak. A felhasználókat ingyenes mobilinternet, támogatások vagy promóciók ígéretével csalták hamis oldalakra, ahol adatlopás vagy böngészőértesítés-alapú visszaélések történtek.
A Group-IB attribúciós munkája különösen érdekes volt. A kutatók nem kizárólag a phishing infrastruktúrát vizsgálták, hanem OSINT-, közösségimédia- és digitális lábnyomelemzést alkalmaztak. A döntő áttörést az jelentette, hogy az üzemeltető saját oktatóvideóiban véletlenül adminisztrációs felületeket, hitelesítési adatokat és egyéb azonosító információkat tett láthatóvá. A Telegram-csatornája több mint 7300 követővel, Facebook-oldala pedig mintegy 19 000 követővel rendelkezett, ami jelentősen megkönnyítette a személyazonosság összekapcsolását a platformmal.
Az Operation Ramz során 13 ország vett részt. Az akció eredményeként 201 személyt tartóztattak le, 53 szervert foglaltak le, 382 gyanúsítottat azonosítottak, és közel 3900 áldozatot sikerült beazonosítani.
