A Infoblox hálózatbiztonsági cég egy régóta működő csalási módszerre hívta fel a figyelmet, amely legalább 2020 júniusa óta észrevétlenül terheli meg az áldozatok bankszámláit. A támadók hamis CAPTCHA-oldalakat használnak, és az úgynevezett International Revenue Share Fraud (IRSF) modellt alkalmazzák, amely során a felhasználókat nemzetközi emelt díjas számokra irányítják, amelyből a csalók bevételhez jutnak.

A CAPTCHA egy olyan ellenőrzési lépés, amelynek célja az automatizált hozzáférések kiszűrése. A vizsgált kampány során a csalók ezt a folyamatothasználják a megtévesztésre. A felhasználókat arra veszik rá, hogy akaratlanul nemzetközi emelt díjas SMS-eket küldjenek.

A támadási lánc

A Infoblox Threat Intelligence kutatói szerint a támadás úgy indul, hogy a felhasználó véletlenül egy megtévesztő domainre kerül. Ezek az oldalak megjelenésükben és elnevezésükben is ismert telekommunikációs szolgáltatók webcímeire hasonlítanak. Amikor a felhasználó ilyen oldalra jut, a támadók egy többlépcsős átirányítási rendszeren (Traffic Distribution Systemen, TDS) keresztül vezetik tovább.

Egy 2026 márciusban végzett elemzés során a kutatók nyomon követték ezt az útvonalat: több köztes állomást azonosítottak, köztük egy németországi reklámhálózatot is, mielőtt végül a forgalom egy csalók által irányított oldalra érkezett.

A megtévesztés technikai módszerei

Amikor a felhasználó egy hamis CAPTCHA-oldalra jut, az nem a megszokott képes vagy szöveges ellenőrzést mutatja, hanem a készülékre és a hálózatra vonatkozó egyszerű kérdéseket jelenít meg. Ezeket a kérdéseket úgy állítják be, mintha egy legitim „ellenőrzési folyamat” része lenne, és azt a benyomást keltik, hogy a hitelesítéshez egy SMS küldése szükséges, amivel a felhasználó igazolja, hogy valódi ember. Azonban a háttérben minden válasznál lefut egy rejtett JavaScript, amely megnyitja az eszköz SMS-alkalmazását, és előre kitöltött üzeneteket generál, több nemzetközi telefonszámra.

A négylépéses folyamat végére az áldozat észrevétlenül akár 60 SMS üzenetet is elküldhet több mint 50 különböző címzettnek. Ezek az üzenetek végül 35 telefonszám között oszlanak meg, 17 országban, gyakran olyan helyekre irányítva, ahol magas a díjazás, mint például Azerbajdzsán, Kazahsztán vagy Mianmar.

Annak érdekében, hogy az áldozat ne hagyja el az oldalt a folyamat befejezése előtt, a támadók egy úgynevezett back button hijacking technikát alkalmaznak, amelyet a Google nemrég betiltott.

Ennél a módszernél a támadók egy speciális kóddal módosítják a böngésző előzménykezelését, így, ha a felhasználó megpróbál visszalépni egy biztonságos oldalra, a szkript egyszerűen újratölti a csaló weboldalt.

Védekezési lehetőségek

A hasonló támadások elleni védekezés kulcsa a felhasználói tudatosság növelése és a gyanús jelek felismerése. Kiemelten fontos mindig ellenőrizni a webcímeket, és kerülni azokat az oldalakat, amelyek furcsa vagy elgépelt domainneveket használnak. Ha egy CAPTCHA a megszokottól eltérő műveleteket kér (például SMS küldését vagy alkalmazások megnyitását), akkor a folyamatot érdemes azonnal megszakítani, mert a legitim ellenőrzések nem igényelnek ilyen lépéseket.