أعلنت شركة الأمن السيبراني Group-IB أن عملية بقيادة الإنتربول أدت إلى تعطيل منصة Sniper Dz، وهي خدمة تصيّد كخدمة (PhaaS) نشطت لأكثر من عقد. العملية التي حملت الاسم الرمزي Ramz جرت بين أكتوبر 2025 وفبراير 2026 بمشاركة سلطات من 13 دولة في الشرق الأوسط وشمال أفريقيا، وأسفرت عن اعتقال 201 شخص، بينهم المطوّر والمدير الأساسي المعروف باسم Guedz. المنصة أعادت تسمية نفسها عدة مرات عبر السنوات مثل Joker Dz وStorm Dz وSpam Dz، وجمعت أكثر من 45 ألف سجل ضحايا.
أدوات التصيّد والبنية التحتية
منذ عام 2015، تطورت Sniper Dz إلى منصة إجرامية متكاملة تقدم مجموعات تصيّد جاهزة، بنية استضافة، ودعم تشغيلي للمجرمين السيبرانيين. تم ربطها بأكثر من 20 ألف نطاق فريد، واستهدفت 30 مؤسسة عالمية كبرى بينها PayPal وFacebook وInstagram وYahoo وNetflix وSteam، مستخدمةً 80 قالب تصيّد بخمس لغات منها العربية والإنجليزية والفرنسية والإسبانية والعبرية.
الحملات اعتمدت على تقليد مواقع رسمية وشركات معروفة لخداع المستخدمين وسرقة بيانات الدخول والمعلومات الشخصية، كما استغلت شخصيات عامة في المنطقة عبر حسابات مزيفة على شبكات التواصل للترويج لروابط تصيّد تحت غطاء عروض مجانية أو خدمات إنترنت.
قنوات التوزيع والتأثير
تحقيق سابق من Palo Alto Networks Unit 42 في أكتوبر 2024 كشف أن Sniper Dz استخدمت قناة على تيليغرام تضم أكثر من 7,300 مشترك لنشر مقاطع تعليمية وتقديم خيارات استضافة الصفحات خلف خوادم بروكسي. ما جعل المنصة مميزة في سوق التصيّد هو أنها وفرت بنيتها التحتية مجاناً، مما سهّل على المبتدئين إطلاق حملات واسعة النطاق.
طرق الربح لم تعتمد على رسوم مباشرة، بل على سرقة بيانات الاعتماد وتحويل حركة المرور إلى حملات احتيالية أخرى مثل الاحتيال عبر الفواتير الهاتفية، الاشتراكات في رسائل SMS مدفوعة، إساءة استخدام إشعارات المتصفح، وحملات تسويق احتيالية قائمة على الشركاء.
دلالات أمنية إقليمية
تفكيك Sniper Dz يعكس خطورة منصات التصيّد كخدمة في المنطقة العربية، حيث توفر أدوات جاهزة للمهاجمين وتستغل السياقات الاجتماعية والسياسية لزيادة مصداقيتها. العملية الأمنية التي قادها الإنتربول بالتعاون مع أجهزة الشرطة الإقليمية تمثل خطوة مهمة في مواجهة البنية التحتية الإجرامية العابرة للحدود، لكنها تكشف أيضاً عن مدى انتشار هذه الخدمات وقدرتها على استهداف ملايين المستخدمين عبر الإنترنت.
