- Infobloxの研究者が、被害者に高額な国際SMSの送信を促す長期間続くCAPTCHA詐欺を暴露
- 被害者は知らず知らずのうちに数十のテキストを送信でき、攻撃者は電気通信の収益分配を通じて利益を得ながら請求が発生する
- 防御は単純である:人間であることを「証明する」ためにテキストメッセージを送信しないこと
偽のCAPTCHAはマルウェアへのリンクをコピー&ペーストするだけではなく、国際番号へのSMSを送信し、その特権に対して多額の料金を請求されることもあります。
Infobloxのセキュリティ研究者は最近、「報告が不十分な」タイプのCAPTCHA詐欺についての詳細なレポートを公開しました。
この特定のキャンペーンは少なくとも2020年6月以来活動しており、ソーシャルエンジニアリングとブラウザの戻るボタンハイジャッキングを通じて人々をSMSメッセージの送信に誘導してきました。彼らの調査中に、17の異なる国の35の電話番号を見つけました。
記事は以下に続きます
複数のSMSメッセージ
「偽のCAPTCHAには複数のステップがあり、サイトによって作成されたメッセージはそれぞれ12以上の電話番号で事前に設定されているため、被害者は単一のメッセージの送信だけで請求されるのではなく、50以上の国際宛先へのSMSの送信で請求されます」と研究者のデビッド・ブランスドンとダービー・ワイズは彼らのレポートに書いています。
この種の詐欺が広くは報告されていない理由の1つは、請求が遅延しているためである可能性があると彼らは付け加えました。国際SMSの料金は数週間後、請求書が到着するときだけに問題になり、その時までに「偽のCAPTCHAの経験は長い間忘れられています」。
取り組みのもう1つの重要な部分は、被害者をこれらのランディングページにリダイレクトする悪意のあるトラフィック配信システム(TDS)です。
仕組みは次のとおりです:商用のTDSは被害者をSMSを送信して「人間であることを確認する」必要がある悪意のあるウェブサイトにリダイレクトします。被害者がボタンをタップすると、ページは組み込みモバイル機能を使用してSMSアプリを開き、番号とメッセージはすでに入力されています。番号は攻撃者によってリースされています。
その後、プロセスが続き、その後の各ステップは別の「確認」を求め、異なる番号への複数のSMSメッセージをトリガーします。このプロセスで、被害者は最大60のSMSメッセージを15の異なる番号に送信することになり、最大$30の費用が発生する可能性があります。それほど多くはないように聞こえるかもしれませんが、これは大数のゲームです。数千のユーザーが被害にあい、数字はすぐに増えます。
このキャンペーンの被害者はエンドユーザーと通信事業者の両方であるとInfobloxは結論付けました。ユーザー、明らかな理由から、および通信事業者-加害者への収益分配の支払い、および払い戻しと顧客払い戻しリクエストの処理によって。
しかし、詐欺から身を守ることは簡単です。「残念ながら言わざるを得ません」とInfobloxは強調しました。「人間であることを確認するためにテキストを送信しないでください。」
