Thought Leadership
Interpol hat die Phishing-Plattform Sniper Dz abgeschaltet und 201 Verdächtige verhaftet. Die Gruppe erbeutete Daten von zehntausenden Opfern.
In einer von Interpol geleiteten Operation mit dem Codenamen Operation Ramz haben Strafverfolgungsbehörden die Phishing-Plattform Sniper Dz zerschlagen. Die konzertierte Aktion fand zwischen Oktober 2025 und Februar 2026 statt und führte im vergangenen Monat zu insgesamt 201 Festnahmen in 13 Ländern der Region Naher Osten und Nordafrika (MENA).
Unter den Festgenommenen befindet sich auch der mutmaßliche Hauptentwickler und Administrator des Netzwerks, der unter dem Pseudonym Guedz agierte. Die Verhaftung wurde von der algerischen Nationalpolizei durchgeführt. Im Zuge der Ermittlungen schalteten die Behörden die technische Infrastruktur ab, über die kriminelle Dienstleistungen für andere Akteure bereitgestellt wurden, und beschlagnahmten Hardware sowie Phishing-Skripte. Das IT-Sicherheitsunternehmen Group-IB veröffentlichte Details zu der Struktur. Das Unternehmen erklärte zu der Entwicklung der Plattform:
„Seit mindestens 2015 aktiv, entwickelte sich Sniper Dz zu einer hochentwickelten kriminellen Plattform, die cyberkriminellen Akteuren gebrauchsfertige Phishing-Kits, Hosting-Infrastruktur und operative Unterstützung bot.“
Group-IB
Über die Jahre hinweg nutzte das Netzwerk verschiedene alternative Bezeichnungen wie Joker Dz, Storm Dz und Spam Dz, um seine Aktivitäten zu verschleiern.
Über 20.000 Domains gefunden
Die Plattform hatte es im Laufe ihres Bestehens auf Kundendaten von mehr als 30 großen globalen Unternehmen abgesehen. Zu den primären Zielen gehörten Plattformen wie PayPal, Facebook, Instagram, Yahoo, Netflix und Steam. Die Ermittler identifizierten über 20.000 eindeutige Domains, die mit dem kriminellen Dienst verknüpft waren. Den Angreifern standen rund 80 verschiedene Phishing-Vorlagen zur Verfügung, die in den fünf Sprachen Arabisch, Englisch, Französisch, Spanisch und Hebräisch vorlagen.
Die Phishing-Kampagnen zielten systematisch auf Nutzer von Technologie-Diensten, sozialen Medien und Streaming-Plattformen ab, indem sie vertrauenswürdige Marken und staatliche Institutionen imitierten. Das Ziel war das systematische Abgreifen von Anmeldedaten und persönlichen Informationen. Neben klassischen Methoden nutzte die Gruppe auch Social-Engineering-Taktiken im Nahen Osten und Nordafrika. Die Akteure erstellten gefälschte Profile von bekannten politischen Persönlichkeiten in den sozialen Medien, um darüber schädliche Links zu verbreiten. Diese wurden fälschlicherweise als Werbeangebote oder kostenloser Internetzugang deklariert. Bisher konnten mehr als 45.000 kompromittierte Opferdatensätze dokumentiert werden.
Interpol entdeckt kostenlose Infrastruktur und Monetarisierung
Eine Besonderheit von Sniper Dz im Vergleich zu anderen Akteuren auf dem Markt für Phishing-as-a-Service war das Geschäftsmodell. Die Betreiber stellten ihre gesamte technische Infrastruktur für Partner kostenlos zur Verfügung. Dies senkte die Einstiegshürde für unerfahrene Cyberkriminelle erheblich und ermöglichte Angriffe in großem Maßstab. Die Monetarisierung erfolgte stattdessen über die Aufteilung der Beute und die gezielte Weiterleitung von Internet-Verkehr. Die gestohlenen Zugangsdaten wurden über die Kampagnen gesammelt. Nutzer, die ihre Passwörter nicht eingaben, wurden automatisch auf andere Betrugsseiten umgeleitet. Dort wurden sie mit betrügerischen Abrechnungsmodellen von Mobilfunkanbietern, Premium-SMS-Abonnements oder dem Missbrauch von Browser-Benachrichtigungen konfrontiert.
(red)
