ماذا حدث
كشفت شركة Group-IB للأمن السيبراني أن عملية أمنية دولية بقيادة الإنتربول أفضت إلى إسقاط منصة التصيد الاحتيالي كخدمة (Phishing-as-a-Service / PhaaS) المعروفة بـ Sniper Dz، وذلك في إطار ما بات يُعرف بـ «عملية رمز» (Operation Ramz). امتدت العملية من أكتوبر 2025 حتى فبراير 2026، وأسفرت عن اعتقال 201 شخص في 13 دولة بمنطقة الشرق الأوسط وشمال أفريقيا، كان أبرزهم المطوّر والمشغّل الرئيسي للمنصة الملقّب بـ Guedz، الذي أوقفته الشرطة الوطنية الجزائرية. كما جرى الاستيلاء على أجهزة تحتوي برمجيات ونصوص تصيد (Phishing Scripts).
التفاصيل
أسّست Sniper Dz نشاطها منذ عام 2015 على الأقل، ومرّت بعمليات إعادة تسمية متعددة إذ عُرفت في مراحل مختلفة بأسماء Joker Dz وStorm Dz وSpam Dz. خلال مسيرتها، رصد الباحثون أكثر من 20,000 نطاق إنترنت فريد مرتبط بالمنصة، فيما تجاوز عدد سجلات الضحايا التي جُمعت 45,000 سجل.
استهدفت المنصة 30 مؤسسة عالمية كبرى من بينها PayPal وFacebook وInstagram وYahoo وNetflix وSteam، مستخدمةً 80 قالب تصيد احتيالي جاهزاً موزّعاً على خمس لغات: العربية والإنجليزية والفرنسية والإسبانية والعبرية. وقد استغلّ مشغّلو المنصة تقنيات الهندسة الاجتماعية (Social Engineering) بانتحال صفة شخصيات سياسية بارزة في منطقة الشرق الأوسط وشمال أفريقيا عبر حسابات وهمية على منصات التواصل الاجتماعي، لاستدراج الضحايا بعروض ترويجية أو وعود بإنترنت مجاني.
ما ميّز Sniper Dz عن غيرها في سوق خدمات التصيد المزدحمة هو تقديمها بنيتها التحتية الكاملة مجاناً لأي شخص يرغب في شنّ حملات تصيد، ما خفّض عتبة الدخول أمام المجرمين المبتدئين. اعتمدت المنصة في جني أرباحها على مسارات بديلة، أبرزها الاحتفاظ بنسخة من بيانات اعتماد الضحايا المسروقة لصالحها، إضافة إلى إعادة توجيه الزوار الذين لم يُفصحوا عن بياناتهم نحو عمليات احتيال متنوعة كالاشتراكات المدفوعة عبر الرسائل القصيرة (Premium SMS)، واحتيالات الفوترة عبر شركات الاتصالات، وإساءة استخدام إشعارات المتصفح (Browser Notification Abuse).
كانت وحدة Unit 42 التابعة لشركة Palo Alto Networks قد نشرت في أكتوبر 2024 تحليلاً مفصّلاً للمنصة، رصدت فيه استخدامها قناةً على تطبيق Telegram تضمّ أكثر من 7,300 مشترك لنشر مقاطع تعليمية وتقديم الدعم التشغيلي لعملائها.
لماذا يهمّك
يُعدّ إسقاط Sniper Dz نموذجاً لمخاطر منصات الجريمة الإلكترونية المتاحة للجميع، إذ تُحوّل التصيد الاحتيالي من تهديد يستلزم خبرة تقنية إلى خدمة جاهزة يمكن لأي شخص استخدامها. استهداف المنصة لمستخدمي منصات التواصل الاجتماعي وخدمات البثّ والتطبيقات المالية في المنطقة العربية تحديداً يجعل هذا الحادث ذا صلة مباشرة بالمستخدم العربي.
علاوة على ذلك، تكشف العملية عن منهجية تعاون دولي ناجح في التصدي لمنصات الجريمة السيبرانية المنظّمة، وهو نهج بات ضرورة لا خياراً في مواجهة تهديدات تتجاوز حدود الدول.
توصيات
- تحقّق دائماً من عنوان الموقع (URL) قبل إدخال أي بيانات اعتماد، وتجنّب النقر على روابط من مصادر غير موثوقة حتى لو بدت مألوفة.
- فعّل المصادقة الثنائية (Two-Factor Authentication / 2FA) على جميع حساباتك الرئيسية لتقليص أثر أي تسريب محتمل للكلمات السرية.
- كن حذراً من العروض التي تبدو مغرية جداً كالإنترنت المجاني أو الجوائز الترويجية، خاصة تلك الواردة عبر وسائل التواصل الاجتماعي.
