ハッカーは偽CAPTCHAページを悪用して、静かだが利益の大きい国際SMS詐欺スキームを実行し、日常的な「人間であることを証明」チェックを国際収益分配詐欺(IRSF)に基づいた収益エンジンに変えています。
攻撃者は、そっくりなドメインと詐欺ドメインを設定し、最終的に被害者をトラフィック配信システム(TDS)を通じて偽CAPTCHAページにリダイレクトします。
通常のパズルを解く代わりに、ユーザーは自分の電話からSMSメッセージを送信することで「人間であることを確認」するよう繰り返し指示されます。各CAPTCHAステップでは、デバイスのSMSアプリが事前入力されたメッセージと大量の国際電話番号リストで起動し、被害者がしなければならないことは送信をタップするだけです。
レポートによると、詐欺はチャレンジの難易度ではなくボリュームに依存しています。観測されたフローでは、4つのCAPTCHAステップで1回の「検証」で60件の発信SMSメッセージが生成されました。
番号は最低でも17か国にわたり、アゼルバイジャン、エジプト、ミャンマー、オランダ、カザフスタンなど、SMSターミネーション料金が高い国が多く、被害者セッションごとの支払いを最大化しています。
国際SMS料金は数週間後に請求書に表示される可能性があるため、多くのユーザーは数日前に完了した忘れられたCAPTCHAに予期しない料金を接続することはありません。
IRSFと、なぜこれらのSMSが重要なのか
このスキャムはIRSFによって動作しており、犯人は高額料金またはほとんど規制されていない目的地で電話番号を登録またはリースし、地域の通信事業者と収益分配契約を締結します。
被害者がこれらの番号に国際SMSを送信すると、その通信事業者は外国のオペレーターに終了料金を支払い、その後、番号を制御する詐欺師と分け前を共有します。
個別には、1人の被害者は約30米ドルのSMS料金を失う可能性がありますが、数千のデバイス全体で拡大すると、操作は非常に有益になります。
業界データは、これがはるかに大きな問題の一部であることを示しています。IRSF生成メッセージングトラフィックを含む人工的に膨らまされたトラフィック(AIT)は、現在世界中で最も財政的に損害を与えるメッセージング詐欺の形として位置付けられており、テレコム通信事業者の約半分が高い財政的損失と高い不正なトラフィック量を報告しています。
テレコムでは、影響は二重です。悪意のある行為者に収益分配を支払い、顧客が料金に異議を唱えた後、返金のコストを吸収することがよくあります。
スキャムを隠し、コンバージョンを最大化するために、キャンペーンはスケアウェア、広告詐欺、マルウェアをプッシュするために一般的に使用される商業用TDSインフラストラクチャに大きく依存しています。
観測されたチェーンの1つでは、タイプスクワット化されたテレコムドメインが複数のTDSノードを通じてリダイレクトされ、偽CAPTCHAと最終的に、クリックするたびにSMSメッセージをトリガーし続ける詐欺「ゲーム」または成人向けコンテンツサイトに到達しました。
URLとクッキー内のキャンペーンおよびアフィリエイトパラメータ(製品IDとアフィリエイトコードなど)は、このSMS詐欺がより大きなClick2SMSアフィリエイトエコシステム内の単なる1つの製品であることを示しています。
その行為者はまた、バックボタンハイジャック用に専用JavaScriptを配置し、ブラウザ履歴を操作して、ユーザーが偽CAPTCHAから簡単にナビゲートできないようにしています。
被害者が戻るを押すと、スクリプトは新しい履歴エントリをプッシュし、別の詐欺ページを静かにリロードし、ユーザーがブラウザを完全に閉じない限り、ユーザーをループにトラップしています。
Googleは現在、バックボタンハイジャックをスパムポリシーで「悪意のある行為」として明確に分類し、2026年中旬から通常のバックナビゲーションに干渉するサイトにペナルティを与える計画があります。
トラッキング、ターゲティング、および回避
インフラストラクチャはクッキーとURLパラメータを使用して、国、言語、ISP、デバイスタイプ、キャンペーン識別子などのユーザー属性を追跡します。
クッキー値には「有効な製品」の長いリストとsuccessRateフラグが含まれており、クライアント側のコードがユーザーをSMSファネルに保つか、別の行為者によって制御される別の偽CAPTCHAにリダイレクトするかを決定するために使用します。
DNSパターンは、数十のドメインとサブドメインが繰り返し可能な命名テーマ(「chat」、「vids」、「tips」、疑似ランダムワードペアなど)に従い、一般的なレジストラとDNSプロバイダーを備えたAS15699(Adam EcoTech)の小さなIPセットにクラスター化されていることを示しており、少なくとも2020年中旬にさかのぼる安定した長期運営を示しています。
もっともらしい否定を保つために、ページの下部に誤解を招く「利用規約」を追加し、各ステップが数十の外国の番号にメッセージを送信することを開示せずに、ユーザーに国際SMSの価格を確認するように指示しています。
多くの国と通信事業者全体のTDS駆動配信と組み合わせると、この断片化により、単一のオペレーターまたは規制当局が完全な詐欺の全体像を見ることが難しくなり、スキームが何年も大部分が検出されずに実行されることができます。
テレコムと企業では、異常な国際SMSスパイクの緊密な監視、IRSF指標の通信事業者間での共有、およびTDS駆動トラフィックチェーンの検出は、偽CAPTCHA、SMS詐欺、およびadtechの虐待のこの新しいブレンドを中断させるために重要です。
翻訳元: https://gbhackers.com/fake-captcha-scam/
