INTERPOL desmantela plataforma Sniper Dz de phishing-as-a-service e prende seu principal operador
Uma ação coordenada internacionalmente pela INTERPOL desmontou um dos serviços de phishing-as-a-service (PhaaS) mais longevos e influentes em operação: a plataforma Sniper Dz. O serviço era usado há cerca de dez anos por cibercriminosos para organizar campanhas massivas de roubo de credenciais e dados sensíveis, oferecendo toda a infraestrutura necessária para que até iniciantes pudessem aplicar golpes em larga escala.
A investigação, detalhada por especialistas em cibersegurança, recebeu o nome de Operation Ramz e foi conduzida entre outubro de 2025 e fevereiro de 2026. Participaram forças de segurança de 13 países da região do Oriente Médio e Norte da África (MENA), o que evidencia o alcance transnacional do esquema. No total, as autoridades efetuaram 201 prisões relacionadas ao caso, atingindo desde operadores técnicos até intermediários responsáveis pela disseminação das campanhas fraudulentas.
Entre os detidos está o indivíduo conhecido como Guedz, apontado como o principal desenvolvedor e administrador da Sniper Dz. Ele foi capturado pela Polícia Nacional da Argélia, país que teria servido de base para parte da infraestrutura criminosa. Ao longo de sua existência, a plataforma operou também sob outros nomes – Joker Dz, Storm Dz e Spam Dz – em uma tentativa de driblar monitoramento e bloqueios, mas as investigações indicam que se tratava de um mesmo núcleo de serviço.
As autoridades apreenderam servidores, computadores e diversos equipamentos usados para operar o esquema, incluindo scripts de phishing, painéis de controle, modelos de páginas falsas e ferramentas automáticas de gestão de campanhas. O site que servia como vitrine do serviço PhaaS – por meio do qual outros criminosos contratavam kits prontos de phishing e recursos complementares – foi tirado do ar, interrompendo a oferta pública da plataforma.
Segundo especialistas, a Sniper Dz estava ativa, pelo menos, desde 2015 e passou por uma evolução significativa ao longo dos anos, deixando de ser um conjunto simples de páginas falsas para se transformar em uma infraestrutura criminosa completa. O serviço oferecia kits de phishing pré-configurados, hospedagem, suporte técnico, atualizações constantes e até orientações operacionais para que qualquer interessado pudesse entrar rapidamente no “negócio” de roubo de credenciais.
As investigações apontam que foram identificados mais de 20 mil domínios únicos associados ao ecossistema da Sniper Dz. Esses domínios eram usados para hospedar páginas fraudulentas que imitavam sites legítimos de grandes empresas. Ao menos 30 organizações globais conhecidas foram alvo dos modelos da plataforma, entre elas serviços de pagamentos digitais, redes sociais, provedores de e-mail, plataformas de streaming e lojas de jogos online. A Sniper Dz oferecia cerca de 80 modelos de páginas de phishing, em cinco idiomas: árabe, inglês, francês, espanhol e hebraico, o que permitia atingir usuários em diferentes países e contextos culturais.
As campanhas alimentadas pela Sniper Dz tinham como foco usuários de serviços digitais amplamente populares, como plataformas de tecnologia, redes sociais e streaming. Criminosos copiavam minuciosamente logotipos, layout, mensagens e elementos de design de marcas conhecidas e até órgãos públicos. O objetivo era criar páginas falsas visualmente idênticas às originais, induzindo vítimas a inserirem logins, senhas, códigos de autenticação, dados pessoais e, em muitos casos, informações financeiras.
Além do roubo direto de credenciais, a Sniper Dz explorava estratégias sofisticadas de engenharia social, recorrendo à imagem de figuras públicas da região MENA. Relatos indicam que golpistas criavam perfis falsos em redes sociais se passando por políticos, influenciadores e outras personalidades locais, difundindo links maliciosos disfarçados de promoções exclusivas, benefícios governamentais, recargas gratuitas de internet ou acesso privilegiado a serviços. Esse tipo de abordagem aumentava a taxa de cliques e a confiança das vítimas, que muitas vezes não desconfiavam por verem nomes ou fotos de pessoas reconhecidas.
Antes mesmo da operação da INTERPOL, a Sniper Dz já havia sido objeto de análises técnicas detalhadas por equipes de inteligência de ameaças. Pesquisadores descreveram como o grupo mantinha um canal em aplicativo de mensagens com milhares de inscritos, utilizado para divulgar vídeos tutoriais, novidades da plataforma, passo a passo de configuração dos kits e dicas para contornar mecanismos de detecção. Em paralelo, a Sniper Dz disponibilizava hospedagem própria, protegida por servidores proxy, o que dificultava a identificação da verdadeira origem dos ataques.
Um dos pontos que tornava a Sniper Dz particularmente perigosa, e relativamente única dentro do mercado de phishing-as-a-service, era seu modelo de acesso gratuito à infraestrutura. Em vez de cobrar taxas elevadas de assinatura ou venda direta de kits, a plataforma reduzia ao mínimo a barreira de entrada para novos criminosos. Na prática, qualquer indivíduo com pouco conhecimento técnico podia começar a rodar campanhas de phishing em larga escala, apoiando-se em tutoriais, modelos prontos e uma infraestrutura já preparada.
A monetização do serviço não estava centrada na venda da tecnologia em si, mas no aproveitamento do fluxo de vítimas e dos dados coletados. Credenciais roubadas podiam ser usadas diretamente pelos próprios operadores da plataforma ou revendidas em outros círculos criminosos, alimentando esquemas de fraudes financeiras, invasão de contas, extorsões e outras atividades ilícitas. Mesmo nos casos em que a vítima não inseria dados sensíveis, o simples clique nos links de phishing já tinha valor.
Isso porque o ecossistema da Sniper Dz era conectado a diversos outros esquemas de monetização de tráfego. Usuários que desistiam de fornecer login e senha eram, muitas vezes, redirecionados para golpes de cobrança via operadora, inscrições em serviços de SMS premium, páginas abusivas que exploravam notificações de navegador ou campanhas fraudulentas baseadas em programas de afiliados. Assim, cada visita gerada por uma campanha de phishing representava uma oportunidade de retorno financeiro, mesmo sem o roubo direto de credenciais.
O desmantelamento da Sniper Dz evidencia como os serviços de phishing-as-a-service seguem como uma das principais engrenagens do crime digital contemporâneo. Ao reunir em uma mesma oferta modelos prontos, hospedagem, suporte, tutoriais em vídeo e canais de comunicação diretos com os operadores, essas plataformas transformam o phishing em um “negócio” escalável, profissionalizado e de fácil acesso. Para autoridades, provedores de internet e empresas de segurança, isso torna o combate mais complexo, já que não basta bloquear um único domínio ou prender um ator isolado.
A Operation Ramz demonstra a importância de ações coordenadas internacionalmente para atingir a espinha dorsal de infraestruturas criminosas, e não apenas seus executores de ponta. Ao combinar inteligência de diferentes países, cooperação técnica e ações simultâneas, a operação conseguiu não só derrubar um serviço consolidado, mas também mapear redes de afiliados e parceiros que se beneficiavam da Sniper Dz. Esse tipo de abordagem tende a criar um impacto mais duradouro no ecossistema do cibercrime, ao dificultar a simples migração dos golpistas para outra plataforma equivalente.
Por outro lado, a experiência acumulada em casos como o da Sniper Dz mostra que a derrubada de uma grande plataforma raramente significa o fim da ameaça. Historicamente, cada grande golpe desferido contra serviços PhaaS abre espaço para que novos grupos tentem ocupar a lacuna deixada no “mercado”. Muitas dessas plataformas emergentes aprendem com os erros de seus antecessores, tornando-se ainda mais resilientes, com estruturas mais descentralizadas, uso intensivo de criptomoedas e comunicação exclusiva por canais privados e criptografados.
Esse cenário reforça o papel crucial da conscientização dos usuários finais. Medidas de segurança técnica – como autenticação multifator, detecção de anomalias e filtros avançados de e-mail – são fundamentais, mas não substituem a necessidade de comportamento prudente. Desconfiar de mensagens que pedem “urgência” no fornecimento de dados, conferir cuidadosamente o endereço (URL) do site acessado, evitar clicar em links recebidos por mensageiros instantâneos e, sempre que possível, digitar manualmente o endereço de serviços sensíveis no navegador são práticas que reduzem significativamente o risco de cair em golpes de phishing.
Organizações, por sua vez, precisam adotar uma abordagem contínua e estratégica. Campanhas pontuais de treinamento de segurança não são suficientes para acompanhar a evolução de plataformas como a Sniper Dz. Programas recorrentes de conscientização, testes de phishing interno, políticas claras de comunicação com clientes e investimentos em tecnologias de detecção e resposta a incidentes ajudam a criar camadas adicionais de proteção. Empresas que lidam com alto volume de dados sensíveis podem ainda considerar o uso de autenticação sem senha e mecanismos avançados de verificação de identidade para minimizar o impacto de credenciais comprometidas.
Outra lição relevante do caso é a necessidade de cooperação entre setor privado, órgãos reguladores e forças de segurança. Plataformas de pagamento, provedores de serviços digitais, empresas de telecomunicações e de hospedagem na nuvem têm papel importante na detecção de padrões suspeitos, derrubada rápida de domínios maliciosos e bloqueio de fluxos de pagamento associados a atividades ilícitas. Quanto mais rápido um domínio de phishing ou uma campanha fraudulenta é interrompida, menor é a quantidade de vítimas e o lucro dos operadores.
Para os especialistas em segurança, o caso Sniper Dz também serve como um estudo de caso sobre a profissionalização do phishing. O fato de o serviço oferecer tutorias em vídeo, suporte contínuo, atualizações frequentes dos kits e até modelos em múltiplos idiomas mostra como o crime digital segue uma lógica muito parecida com a de empresas de software legítimas: foco na experiência do “cliente” (no caso, o criminoso), facilidade de uso, escala e diversificação de fontes de receita.
A longo prazo, a tendência é que campanhas de phishing se tornem ainda mais personalizadas, combinando dados vazados de diferentes fontes, técnicas de inteligência artificial para geração de textos e páginas mais convincentes e uso de canais menos monitorados para disseminação dos golpes. Nesse contexto, operações como a Ramz não apenas interrompem um serviço específico, mas também enviam um recado importante ao submundo digital: mesmo plataformas consolidadas, com anos de operação e múltiplos disfarces, podem ser rastreadas, infiltradas e desmontadas.
Assim, a queda da Sniper Dz marca um ponto relevante na luta contra o phishing-as-a-service, mas está longe de significar o fim desse tipo de ameaça. Ela reforça a necessidade de vigilância constante, atualização contínua de tecnologias de defesa e, principalmente, da construção de uma cultura digital mais crítica, em que usuários e organizações reconheçam que qualquer mensagem, site ou oferta pode ser falsificada com extrema fidelidade – e que a melhor defesa continua sendo uma combinação de tecnologia, cooperação e desconfiança saudável.