Vuosikymmenen toiminut kalastelutehdas kaatui – näin 'phishing-as-a-service' tekee huijaamisesta valmispaketin
Yksi alusta tuotti yli 20 000 huijaussivustoa, joilla esiinnyttiin muun muassa PayPalina ja Netflixinä. Operaatio Ramz kaatoi sen, mutta paljasti samalla, miksi kalastelu leviää nopeammin kuin koskaan.
Tiivistelma
INTERPOLin koordinoima Operaatio Ramz pysäytti lähes vuosikymmenen toimineen SniperDz-kalastelualustan ja johti 201 pidätykseen 13 maassa. Alustalta vuokrattiin valmiita huijaussivuja, jotka jäljittelivät PayPalia, Netflixiä ja Steamia. Suomalaisuhreja ei julkisuudessa vahvistettu, mutta juuri tällainen palvelumalli tuo kalastelun Suomeen riippumatta siitä, missä tekijät istuvat.
Huijaussivun pystyttäminen ei enää vaadi koodaustaitoa. Se vaatii käyttäjätunnuksen kalastelualustalle ja muutaman klikkauksen.
Juuri tähän perustui SniperDz, joka kaatui kesäkuussa INTERPOLin koordinoiman Operaatio Ramzin myötä. Alusta oli pyörinyt arviolta kymmenen vuotta. Se aloitti noin vuonna 2015 ja vaihtoi nimeään matkan varrella Joker Dz:ksi, Storm Dz:ksi ja Spam Dz:ksi.
Operaatio kesti lokakuusta 2025 helmikuun 28. päivään 2026. Kyseessä oli INTERPOLin ensimmäinen erityisesti Lähi-itään ja Pohjois-Afrikkaan keskittynyt kyberrikosoperaatio, ja mukana oli 13 maata. Algerian kansallinen poliisi pidätti alustan pääkehittäjän ja ylläpitäjän, joka tunnettiin nimimerkillä "Guedz". Tiedustelutiedot tulivat tietoturvayhtiö Group-IB:ltä.
Loppusumma on iso. INTERPOL kertoo, että operaatiossa tehtiin 201 pidätystä, tunnistettiin 382 epäiltyä ja 3 867 uhria, takavarikoitiin 53 palvelinta ja jaettiin noin 8 000 tiedustelutietoa maiden välillä.
– Yksittäinen alusta voi mahdollistaa tuhansien rikosten teon yli rajojen, INTERPOL toteaa tiedotteessaan.
Miten valmispaketti toimi
SniperDz oli pohjimmiltaan verkossa toimiva hallintapaneeli. Sieltä löytyi 80 valmista sivupohjaa viidellä kielellä, arabiaksi, englanniksi, ranskaksi, espanjaksi ja hepreaksi. Pohjat jäljittelivät noin 30:tä suurta brändiä, muun muassa PayPalia, Facebookia, Instagramia, Yahoota, Netflixiä ja Steamia.
Kumppani saattoi joko isännöidä väärennetyt kirjautumissivut SniperDz:n omalla infrastruktuurilla tai pystyttää ne itse. Palvelu oli ilmainen. Raha tuli toista kautta.
Alusta kopioi salaa jokaisen kumppaniensa varastaman tunnuksen myös itselleen. Toisin sanoen huijari huijasi huijareita.
Kalastelu palveluna (phishing-as-a-service, PhaaS)
Rikolliset vuokraavat tai käyttävät valmiita kalastelupaketteja ja hallintapaneeleita. Omaa koodaustaitoa ei tarvita.
Malli madaltaa kynnystä niin, että käytännössä kuka tahansa voi pyörittää tunnusten varastamiseen tähtäävää huijausta.
Mittakaava kertoo, miksi tällainen malli on vaarallinen. Group-IB kartoitti yli 20 000 eri verkko-osoitetta. Palo Alto Networksin Unit 42 oli laskenut jo aiemmin yli 140 000 kalastelusivua vuosina 2023–2024. Kumppaneita värvättiin Telegramissa, jossa kanavalla oli noin 7 300 tilaajaa, ja Facebookissa noin 19 000 seuraajan voimin. Ylläpitäjä paljastui osin ihan omien värväysvideoidensa kautta, joissa hän opetti palvelun käyttöä.
Miksi tämä koskee suomalaisia
Julkisessa raportoinnissa ei tullut esiin yhtään vahvistettua suomalaisbrändin jäljitelmää eikä varastettuja suomalaisia tunnuksia. Tämä on hyvä pitää mielessä, jottei uhka paisu todellista suuremmaksi.
Mutta katso, mitä brändejä listalla oli. PayPal, Netflix, Steam, Facebook, Instagram. Niitä käyttävät miljoonat suomalaiset päivittäin.
Juuri tästä PhaaS-mallissa on kyse. Kun kalastelusivun saa valmiina vuokralle, sillä ei ole väliä, missä tekijä istuu. Suomalainen Netflix-tili kelpaa yhtä lailla kuin espanjalainen.
Eikö kaatunut alusta sitten poista uhkaa? Valitettavasti ei. Tekijät vaihtavat nimeä ja pystyttävät uuden paneelin, ja itse työkalut elävät verkossa pidempään kuin yksittäinen brändi. Operaatio Ramz on lovi laidassa, ei loppu.
Tunnistusmerkit
Kalastelusivun tunnistaa muutamasta piirteestä. Tarkista aina osoiterivin tarkka verkkotunnus. Väärennetty PayPal-sivu voi näyttää aidolta, mutta osoite paljastaa usein eron.
Ole varuillasi kiireen kanssa. Huijaussivulle ohjataan tyypillisesti viestillä, joka vaatii toimimaan heti. Samoin "ilmainen" tai "voitit" -tyyppiset houkuttimet ovat klassinen merkki.
Älä koskaan kirjaudu palveluun tekstiviestin, sähköpostin tai mainoksen linkin kautta. Mene sen sijaan palveluun itse kirjoittamalla osoite tai käyttämällä omaa kirjanmerkkiä.
Mitä tehdä
Ota kaksivaiheinen tunnistautuminen käyttöön kaikkialla, missä se on tarjolla. Silloin pelkkä varastettu salasana ei riitä tilin kaappaamiseen.
Jos törmäät kalasteluun, ilmoita siitä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos ehdit jo syöttää tunnuksesi väärennetylle sivulle, vaihda salasana heti ja tee rikosilmoitus poliisille osoitteessa poliisi.fi.
Kuinka monta uutta SniperDz:n perillistä on jo pystyssä tätä artikkelia kirjoitettaessa? Se jää nähtäväksi. Varma on vain se, että itse malli ei katoa yhdellä pidätyksellä.