Phishing kampanje, malware infrastruktura i online prijevare bile su glavna meta velike međunarodne operacije Ramz koju je koordinirao INTERPOL u regiji Bliskog istoka i sjeverne Afrike (MENA).
Akcija je bila usmjerena na razbijanje cyber kriminalnih mreža odgovornih za značajne financijske gubitke građana i organizacija diljem regije.
Tijekom operacije uhićena je 201 osoba povezana s cyber kriminalom, dok su istražitelji identificirali dodatnih 382 osumnjičenika.
Vlasti su pritom evidentirale 3.867 žrtava te zaplijenile 53 servera korištena za phishing napade i druge zlonamjerne aktivnosti.
Operacija se provodila između listopada 2025. i 28. veljače 2026. godine, a sudjelovalo je 13 država iz MENA regije.
Kako bi istrage bile učinkovitije, tijekom akcije razmijenjeno je gotovo 8.000 obavještajnih i istražnih podataka povezanih s phishing infrastrukturom, malware kampanjama i organiziranim online prijevarama.
Operacija Ramz
Provedena operacija najveća je INTERPOL-ova cyber akcija u MENA regiji.
Lažne investicijske platforme, krađa bankovnih podataka, kompromitirani uređaji i sofisticirane phishing kampanje svakodnevno uzrokuju milijunske štete građanima i tvrtkama širom svijeta.
Stoga međunarodne policijske organizacije i sigurnosne tvrtke sve češće provode koordinirane operacije protiv cyber kriminalnih mreža.
Operacija Ramz odvijala se između listopada 2025. i veljače 2026. godine te je uključivala 13 država iz regije Bliskog istoka i sjeverne Afrike.
Cilj operacije bio je identificirati i neutralizirati phishing infrastrukturu, malware kampanje i organizirane online prijevare koje su uzrokovale velike financijske gubitke građanima i organizacijama.
Prema podacima INTERPOL-a, tijekom akcije:
- uhićena je 201 osoba,
- identificirano je još 382 osumnjičenika,
- identificirano je 3.867 žrtava,
- zaplijenjena su 53 servera,
- razmijenjeno je gotovo 8.000 obavještajnih i forenzičkih podataka između država sudionica.
Riječ je o jednoj od najvećih koordiniranih cyber sigurnosnih operacija provedenih u toj regiji. Velik broj uključenih institucija pokazuje koliko je phishing danas ozbiljan globalni problem koji nadilazi granice pojedinačnih država.
Stručnjaci upozoravaju da upravo međunarodna koordinacija postaje ključna u borbi protiv organiziranog cyber kriminala.
INTERPOL je operaciju opisao kao prvu cyber operaciju takvog opsega koordiniranu u MENA regiji.
Akcija je uključivala blisku suradnju nacionalnih policija i privatnih sigurnosnih kompanija poput Group-IB-a, Kasperskyja i Team Cymrua, koje su pružale threat intelligence podatke i tehničku podršku. (group-ib.com)
Phishing nije “obična lažna poruka”
Kada se govori o phishingu, mnogi još uvijek zamišljaju jednostavne lažne e-mailove s lošim prijevodima i sumnjivim linkovima.
Međutim, moderni phishing napadi postali su izuzetno sofisticirani.
Današnji napadači koriste:
- lažne investicijske platforme,
- deepfake tehnologiju,
- kompromitirane korisničke račune,
- malware za krađu podataka,
- phishing-as-a-service infrastrukturu,
- lažne korisničke podrške,
- SMS phishing i QR phishing kampanje.
Takvi napadi danas izgledaju znatno uvjerljivije nego prije nekoliko godina. Kriminalci koriste profesionalno dizajnirane stranice, automatizirane sustave i psihološke tehnike manipulacije kako bi povećali uspješnost prijevara.
Mnogi korisnici teško mogu razlikovati legitimnu komunikaciju od sofisticiranih phishing kampanja, posebno kada napadači koriste brendove poznatih kompanija i financijskih institucija.
Phishing-as-a-service jedan je od najopasnijih trendova koje je otkrila operacija Ramz.
U Alžiru je tijekom operacije identificirana i ugašena platforma koja je nudila phishing alate i skripte drugim kriminalnim skupinama. Policija je pritom zaplijenila servere, računala i uređaje koji su sadržavali phishing software i ukradene podatke.
Takvi servisi omogućuju čak i manje tehnički educiranim kriminalcima pokretanje sofisticiranih phishing kampanja, što dodatno povećava broj napada diljem svijeta.
Lažne investicijske platforme
Jedan od najzanimljivijih slučajeva tijekom operacije zabilježen je u Jordanu. Istražitelji su locirali računalo korišteno za online financijske prijevare putem lažne investicijske platforme.
Žrtve su ulagale novac vjerujući da koriste legitimnu trading platformu, no stranica bi nestala čim bi sredstva bila uplaćena.
Policija je tijekom racije pronašla 15 osoba koje su provodile prijevare, no istraga je pokazala da su i oni sami bili žrtve trgovine ljudima.
Prema podacima INTERPOL-a, osobe su vrbovane u azijskim državama pod lažnim obećanjima zaposlenja, nakon čega su im po dolasku oduzeti dokumenti te su bili prisiljeni sudjelovati u online prijevarama.
Dvoje organizatora operacije je uhićeno. Ovaj slučaj pokazuje koliko su moderne cyber kriminalne mreže postale kompleksne i povezane s drugim oblicima organiziranog kriminala.
Kompromitirani uređaji
Tijekom operacije u Kataru istražitelji su identificirali kompromitirane uređaje čiji vlasnici nisu ni znali da se njihova računala koriste za širenje malwarea i phishing napada.
Nakon identifikacije uređaji su osigurani, a vlasnici obaviješteni. Radi se o važnom aspektu modernih napada.
Napadači u svojim aktivnostima koriste zaražena kućna računala, IoT uređaje, slabo zaštićene servere, kompromitirane rutere i botnet mreže.
Takva infrastruktura omogućuje kriminalcima skrivanje identiteta i otežava praćenje njihovih aktivnosti. Velik broj korisnika uopće nije svjestan da su njihovi uređaji kompromitirani i iskorišteni za distribuciju phishing sadržaja ili malwarea.
Sve su to razlozi zbog koji sigurnosni stručnjaci sve više upozoravaju na važnost redovitih ažuriranja sustava i osnovne cyber higijene.
Drugim riječima, korisnici mogu nesvjesno postati dio cyber kriminalne infrastrukture bez ikakvih vidljivih znakova kompromitacije.
Group-IB: problemi s računima
Tvrtka Group-IB tijekom operacije dostavila je podatke o više od 5.000 kompromitiranih korisničkih računa, uključujući i račune povezane s državnom infrastrukturom.
Tvrtka je također identificirala phishing infrastrukturu i mapirala aktivnosti različitih kriminalnih skupina koje su sudjelovale u distribuciji phishing sadržaja i prodaji ukradenih podataka.
Prema njihovim podacima, phishing kampanje u MENA regiji posebno su ciljale:
- financijske platforme,
- državne servise,
- korisnike online bankarstva,
- investicijske servise,
- poslovne korisnike.
Napadači danas pažljivo biraju mete koje mogu donijeti najveću financijsku korist ili pristup osjetljivim podacima. Posebno su ugrožene organizacije koje koriste velik broj online servisa i imaju mnogo zaposlenika.
Sve navedeno ukazuje zašto phishing ostaje jedna od najčešćih metoda početne kompromitacije poslovnih sustava.
Napadači koriste kombinaciju socijalnog inženjeringa, malwarea i ukradenih podataka kako bi povećali uspješnost prijevara.
Zašto phishing i dalje funkcionira?
Unatoč sve većem broju sigurnosnih alata i edukacija, phishing ostaje jedan od najuspješnijih oblika cyber napada. Ukratko rečeno, phishing cilja ljude, a ne samo tehnologiju.
Napadači koriste:
- osjećaj hitnosti,
- strah,
- financijsku paniku,
- lažne sigurnosne obavijesti,
- lažne dostave paketa,
- lažne poruke od banke,
- psihološku manipulaciju.
Cilj phishing kampanja je navesti korisnika da reagira impulzivno i bez dodatne provjere informacija. Napadači koriste poruke koje stvaraju osjećaj panike ili hitnosti kako bi žrtva što prije kliknula na zlonamjerni link.
Takve tehnike socijalnog inženjeringa pokazale su se izuzetno učinkovitima čak i kod korisnika koji imaju osnovno sigurnosno znanje.
Moderni phishing napadi izgledaju gotovo identično legitimnim stranicama i komunikaciji.
Uz pomoć umjetne inteligencije i automatizacije kriminalci danas mogu kreirati mnoštvo personaliziranih phishing kampanja.
Sigurnosni stručnjaci već godinama upozoravaju da će upravo AI dodatno povećati sofisticiranost phishing napada kroz automatizirani socijalni inženjering, generiranje uvjerljivih poruka i deepfake sadržaja.
