Orta Doğu ve Kuzey Afrika (MENA) bölgesinde faaliyet gösteren ve yaklaşık on yıldır kimlik avı hizmeti sunan Sniper Dz platformu, uluslararası bir operasyonla kapatıldı. Operasyon kapsamında 13 ülkeden güvenlik birimleri iş birliği yaptı ve 201 şüpheli gözaltına alındı. Bu kişiler arasında platformun ana geliştiricisi ve yöneticisi olan Guedz de bulunuyor.
Saldırının Genel Çerçevesi
2015’ten beri aktif olan Sniper Dz, kimlik avı saldırılarını kolaylaştıran hazır araçlar, barındırma altyapısı ve operasyonel destek sağlayan gelişmiş bir platform olarak biliniyor. Zaman içinde Joker Dz, Storm Dz ve Spam Dz isimleriyle de faaliyet göstermiş. Yaklaşık 45 binden fazla kurban verisi topladığı tahmin edilen platform, özellikle PayPal, Facebook, Instagram, Yahoo, Netflix ve Steam gibi 30’dan fazla küresel markayı hedef alan 20 binden fazla benzersiz alan adıyla bağlantılıydı.
Platformda kullanılan kimlik avı şablonları Arapça, İngilizce, Fransızca, İspanyolca ve İbranice dillerinde hazırlanmış ve kullanıcıların kişisel bilgilerini, giriş bilgilerini çalmak amacıyla hazırlanmıştı. Ayrıca, sosyal mühendislik yöntemleriyle, bölgedeki ünlü siyasi figürlerin sahte sosyal medya hesapları üzerinden promosyon veya ücretsiz internet gibi cazip tekliflerle kimlik avı bağlantıları yaygınlaştırıldı.
Operasyon Ramz: Platformun Kapatılması ve Ekipmanlara El Konulması
Operasyon Ramz adı verilen çalışma, 2025 Ekim ile 2026 Şubat ayları arasında sürdü. Ciddi miktarda phishing yazılımı ve scriptlerin bulunduğu donanımlar ele geçirildi. Operasyonun önemli bir başarısı da, Sniper Dz’nin sunduğu phishing hizmetlerini sağlayan web sitesinin tamamen devre dışı bırakılması oldu.
Bu platformun öne çıkan özelliği, altyapısını ücretsiz sunarak özellikle deneyimsiz siber suçluların büyük çaplı kimlik avı saldırıları düzenlemesini kolaylaştırmasıydı. Kazanç ise doğrudan kimlik bilgisi hırsızlığı ve mağdurların trafik yönlendirilmesiyle sağlanıyordu. Kullanıcılar kimlik bilgilerini vermediğinde dahi, taşıyıcı faturalandırma dolandırıcılığı, premium SMS abonelikleri ve tarayıcı bildirim kötüye kullanımı gibi yöntemlerle gelir elde ediliyordu.
Saldırı Zinciri ve Teknik Detaylar
Sniper Dz saldırılarında Telegram kanalı üzerinden 7.300’den fazla aboneye eğitim videoları ve phishing sayfalarını proxy arkasında barındırma seçenekleri sunuluyordu. Bu, saldırganların kendi altyapılarını gizleyerek operasyon yapmasını sağlıyordu. Kurumsal ağlarda etkin olay müdahale ekipleri, bu tür platformların altyapılarını takip ederek kötü amaçlı alan adlarını engellemek ve phishing kampanyalarını önlemek için SIEM ve EDR araçlarını optimize etmeli.
Siber Güvenlik Ekipleri İçin Öneriler
- Phishing kampanyalarına karşı çok faktörlü kimlik doğrulama (MFA) kullanın.
- E-posta güvenliği için gelişmiş spam filtreleri ve URL analiz araçlarını devreye alın.
- EDR çözümlerinde şüpheli davranışları tespit edecek kural setleri oluşturun.
- Firewall ve proxy loglarını düzenli olarak inceleyerek anormal trafik aktivitelerini takip edin.
- Kullanıcıları sosyal mühendislik saldırılarına karşı bilinçlendirin.
- Özellikle carrier billing ve premium SMS tabanlı dolandırıcılıkları engellemek için telekomünikasyon iş ortaklarıyla koordinasyonu sağlayın.
Sniper Dz’nin kapatılması, bölgedeki siber suç ekosistemine ağır bir darbe vurdu ancak benzer tehditlerin önüne geçmek için kurumların proaktif davranması şart. Kimlik avı, halen en yaygın ve etkili siber saldırı tekniklerinden biri olmaya devam ediyor. Bu nedenle, kurumsal altyapılarda ağ segmentasyonu ve olaya müdahale (incident response) süreçlerinin güçlü tutulması kritik.