Dentro la fabbrica del phishing: perché un singolo smantellamento raramente pone fine al business
Un'operazione guidata da INTERPOL ha interrotto Sniper Dz, una piattaforma di phishing-as-a-service, e il caso mostra come il phishing moderno sia costruito come un'infrastruttura, non solo come spam.
Il phishing non è più soltanto una pagina di accesso contraffatta e una password rubata. Nel caso Sniper Dz, gli investigatori avevano a che fare con qualcosa di più simile a una piattaforma criminale: modelli riutilizzabili, pagine ospitate e controllo centralizzato che possono trasformare la frode in un servizio. Ecco perché la risposta contava tanto quanto il bersaglio.
Fatti rapidi
- L'operazione Ramz ha interrotto la piattaforma di phishing-as-a-service Sniper Dz.
- L'operazione si è svolta da ottobre 2025 a febbraio 2026 e ha coinvolto autorità di 13 paesi del Medio Oriente e del Nord Africa.
- INTERPOL ha affermato che l'operazione ha portato a 201 arresti, 3.867 vittime identificate e 53 server sequestrati.
- Sniper Dz era stato descritto come un servizio di phishing di lunga durata, piuttosto che come una campagna isolata.
- PhaaS abbassa la barriera tecnica per la frode confezionando infrastrutture di phishing riutilizzabili.
Cosa lo rende più di un semplice smantellamento
Il dettaglio importante non è solo che una piattaforma di phishing sia stata interrotta, ma che il bersaglio fosse un'infrastruttura. Un modello phishing-as-a-service può centralizzare l'hosting delle pagine, la raccolta delle credenziali e i flussi di lavoro degli operatori, il che significa che una sola piattaforma può supportare molte campagne contemporaneamente. Per i difensori, questo sposta il problema dal rincorrere singole pagine all'identificare i servizi che le generano.
Quel modello aiuta a spiegare perché il coordinamento transfrontaliero sia importante. Se l'infrastruttura è distribuita tra più giurisdizioni, le forze dell'ordine devono agire in parallelo contro server, operatori e reti di utenti. Il sequestro dei server può rallentare un servizio, ma non cancella automaticamente le tattiche, i flussi di lavoro o gli operatori imitatori che potrebbero essere pronti a riapparire altrove.
Da un punto di vista difensivo, il caso ricorda che il phishing è un problema di filiera. Il valore criminale non risiede solo in un singolo link malevolo, ma negli strumenti che consentono agli attaccanti di creare rapidamente nuovi esche, ruotare i domini e raccogliere credenziali su larga scala.
Cosa dovrebbero trarne le organizzazioni
La lezione pratica è ridurre il guadagno del furto di credenziali. L'autenticazione resistente al phishing, come i metodi basati su FIDO, può attenuare l'impatto delle password rubate perché un sito falso non può facilmente riutilizzare un accesso protetto da hardware. I team di sicurezza dovrebbero anche monitorare accessi insoliti, accessi da nuovi dispositivi e ondate rapide di domini simili.
Allo stesso tempo, le organizzazioni non dovrebbero considerare l'interruzione di una piattaforma come un motivo per abbassare la guardia. Gli operatori criminali spesso ricostruiscono, rinominano o spostano l'hosting quando la pressione aumenta. Questo rende ancora più importanti i controlli a più livelli: filtraggio degli URL, blocco DNS, procedure per il blocco degli account e revoca rapida delle sessioni quando gli utenti segnalano richieste sospette.
Le informazioni disponibili supportano un'analisi del rischio, non la tesi che il phishing come business sia stato eliminato. Ciò che mostra è che la risposta più efficace è sempre più rivolta alla macchina dietro la truffa, non solo alla truffa stessa.
Conclusione
Sniper Dz è un esempio utile di come il cybercrime si scala: prima la piattaforma, poi il payload. Quando i difensori capiscono che il phishing viene industrializzato, possono concentrarsi meno su una singola pagina malevola e più sui sistemi, sulle identità e sui flussi di fiducia che rendono la frode ripetibile. Questa è la lezione da tenere a mente - nel cybercrime, la fabbrica conta tanto quanto il prodotto.
TECHCROOK
Chiave di sicurezza: Una chiave di sicurezza hardware è un modo pratico per rafforzare gli accessi agli account con un'autenticazione resistente al phishing. Aggiunge un fattore fisico che le pagine di accesso false non possono facilmente catturare o riutilizzare, rendendola utile per la posta elettronica, i portali amministrativi e altri account di alto valore.
WIKICROOK
- Phishing-as-a-Service (PhaaS): Un modello di servizio criminale che confeziona strumenti di phishing, hosting e funzioni di gestione per il riutilizzo.
- Interruzione dell'infrastruttura: Un'azione difensiva o di contrasto alle forze dell'ordine che riduce la disponibilità o l'affidabilità di sistemi malevoli.
- Raccolta di credenziali: La sottrazione di nomi utente, password o dati di sessione tramite pagine di accesso false o altri metodi ingannevoli.
- MFA resistente al phishing: Metodi di autenticazione progettati per resistere agli attacchi su siti falsi, spesso utilizzando controlli basati su hardware o vincolati all'origine.
- Blocco DNS: Un controllo di sicurezza che impedisce ai dispositivi di risolvere domini malevoli noti in indirizzi raggiungibili.




