新たに詳細が明かされた詐欺スキームは、偽のCAPTCHAページを悪用して、人々に国際テキストメッセージを送信するよう騙し、携帯電話の請求書に静かに料金を追加しています。
Infobloxの研究者によると、このキャンペーンはソーシャルエンジニアリング、テレコム詐欺、およびトラフィック配信システムを組み合わせて、被害者が送信する各SMSから利益を得ています。
偽のCAPTCHAページはマルウェアやフィッシングキャンペーンでは既によく見られています。しかし、この操作では異なる目的に使用され、テキストメッセージが人間であることを証明するために必要であるという偽りの主張の下で、被害者にプレミアム国際SMSメッセージを送信させます。
Infobloxによると、このスキームは少なくとも2020年6月から活動しており、実行者はプロセスを日常的で無害に見えるように構築しました。
Infobloxによると、被害者はトラフィック配信システム(TDS)を通じてルーティングされた後、偽のCAPTCHAページにたどり着きます。しばしば欺瞞的なまたはそっくりのウェブサイト経由です。
TDSは、オペレーターがユーザーをターゲットにし、インフラストラクチャをローテーションし、最終的な詐欺ページを防御者と自動分析システムから隠すのを助けます。
ページ上では、ユーザーに基本的な画像またはテキスト質問など、いくつかの単純なCAPTCHAスタイルのプロンプトが表示されます。
しかし、各ステップは、あらかじめ記入されたメッセージと国際電話番号のリストで携帯電話のSMSアプリをトリガーするように設計されています。Infobloxによると、被害者は難しいテストを解くよう求められていません。実際の目的は、できるだけ多くの請求可能なメッセージを生成することです。
研究者は、各ステップに10以上の宛先番号が含まれ、完全なプロセスが60のSMSメッセージを生成したケースを観察しました。
そのテストでは、料金は約30ドルに達する可能性があり、コストはしばしば数週間後に携帯電話の請求書に表示され、ユーザーがCAPTCHAページを忘れた後です。
このキャンペーンは、テレコム詐欺を、マルウェア配信、スケアウェア、およびその他のウェブベースの詐欺でよく使用される同じアドテクノロジーおよびリダイレクトインフラストラクチャと組み合わせるため、際立っています。
Infobloxは、TDSレイヤーがトラフィックブローカーとシールドの両方として機能し、オペレーターが詐欺をスケールアップしながら悪意のあるランディングページを検出しにくくすることができると述べています。
詐欺はまた、被害者がページを離れるのを防ぐために戻るボタンのハイジャックを使用しています。Infobloxが発見したJavaScriptはブラウザの履歴を操作し、戻るボタンを押すと同じ偽のCAPTCHAがリロードされるか、ユーザーが別の詐欺ページに送られ、ループに閉じ込められます。
その戦術はセキュリティ研究を超えた広い注目を集めています。Googleは2026年4月に戻るボタンのハイジャックを対象とした新しいスパムポリシーを発表し、2026年6月15日から実行を開始すると述べており、この動作は通常のナビゲーションを妨害する悪意のある慣行であると呼んでいます。
翻訳元: https://cyberpress.org/captcha-pages-drive-sms/