sra2332@yandex.ru
+7 906-7566161
Программы для Windows
новости ит, программы для windows

Мошенничество с фальшивой CAPTCHA: глобальный обман через SMS

27.04.2026
Мошенничество с фальшивой CAPTCHA

Мошенничество с фальшивой CAPTCHA и кампании Keitaro

Исследователи в области кибербезопасности раскрыли детали масштабной схемы мошенничества, которая обманывает пользователей с помощью поддельной CAPTCHA‑проверки. Жертвы неосознанно отправляют международные SMS‑сообщения — за них потом списываются деньги со счёта мобильного телефона, а злоумышленники получают доход, арендуя номера телефонов.

Как работает схема IRSF?

По данным нового отчёта компании Infoblox, эта мошенническая схема действует как минимум с июня 2020 года. В её основе — методы социальной инженерии и хитрый приём «перехвата кнопки „Назад“» в браузере. В рамках международной схемы распределения доходов (IRSF) задействованы до 35 телефонных номеров в 17 странах.

Механизм обмана пошагово:

  1. Пользователь попадает на поддельный веб‑сайт через систему распределения трафика (TDS).

  2. На странице отображается фальшивая CAPTCHA с просьбой отправить SMS‑сообщение для «подтверждения, что вы не робот».

  3. Запускается многоэтапная цепочка «верификации»: на каждом шаге автоматически запускается приложение SMS на устройствах Android и iOS — номера телефонов и текст сообщения уже заранее заполнены.

  4. После четырёх этапов CAPTCHA отправляется до 60 SMS на 15 уникальных номеров. В итоге счёт пользователя может увеличиться на 30 долларов.

  5. Для отслеживания прогресса используется система cookies (например, параметр «successRate» определяет дальнейшие действия).

  6. Если пользователь не подходит для участия в схеме, его перенаправляют на другую страницу CAPTCHA — возможно, связанную с другой мошеннической кампанией.

Почему это сложно заметить?

Главная хитрость — отсроченное списание средств: плата за «международные SMS» появляется в счёте спустя несколько недель, когда жертва уже давно забыла о взаимодействии с фальшивой CAPTCHA.

Особенности схемы IRSF

IRSF (International Revenue Share Fraud) — это схема, при которой мошенники:

  • незаконно получают международные номера премиум‑класса (IPRN) или диапазоны номеров;

  • искусственно увеличивают количество международных звонков или сообщений на эти номера;

  • получают долю дохода от платежей за завершение вызовов (терминационных сборов), которые платит оператор‑отправитель оператору‑получателю.

Злоумышленники выбирают страны с высокими терминационными сборами или слабым регулированием — например, Азербайджан, Казахстан, а также некоторые диапазоны премиум‑номеров в Европе. Нередко они вступают в сговор с местными телекоммуникационными провайдерами.

Перехват кнопки «Назад»

Один из новых приёмов мошенников — перехват кнопки «Назад» в браузере:

  • с помощью JavaScript изменяется история просмотра;

  • при попытке уйти со страницы CAPTCHA нажатием кнопки «Назад» пользователь снова попадает на фальшивую страницу;

  • жертва оказывается в навигационной петле — выйти можно только полностью закрыв браузер.

Угроза от Keitaro TDS

Компания Infoblox совместно с Confiant опубликовала трёхчастный анализ, показывающий, как злоумышленники злоупотребляют системой Keitaro TDS (Keitaro Tracker). Более 120 кампаний использовали её для вредоносных действий за период с октября 2025 по январь 2026 года:

  • распространение вредоносного ПО;

  • кража криптовалют;

  • инвестиционные аферы с обещанием огромных доходов якобы за счёт ИИ‑автоматизации торговли.

Как это работает:

  • Keitaro изначально — это трекер для отслеживания эффективности рекламы, который условно маршрутизирует посетителей;

  • злоумышленники превращают сервер Keitaro в универсальный инструмент: систему распределения трафика, трекер и слой маскировки;

  • для привлечения жертв используются рекламные объявления в Facebook — они заманивают на мошеннические платформы с «ИИ‑поддержкой»;

  • иногда применяются фейковые одобрения знаменитостей через поддельные новостные статьи и дипфейк‑видео (за это отвечает группа FaiKast).

Масштаб проблемы

За четырёхмесячный период:

  • зафиксировано около 226 000 DNS‑запросов, связанных с активностью Keitaro;

  • охвачено 13 500 доменов;

  • примерно 96 % спам‑трафика, связанного с Keitaro, продвигало схемы «опустошения» криптовалютных кошельков;

  • основные приманки — фейковые раздачи токенов (airdrop/giveaway) по проектам AURA, SOL (Solana), Phantom (кошелёк) и Jupiter (DEX/агрегатор).

После ответственного раскрытия информации компания Keitaro отменила более десятка учётных записей, связанных с этими действиями.

Последствия для жертв и операторов

Infoblox отмечает, что эта схема наносит ущерб сразу двум сторонам:

  • пользователи получают неожиданные списания за премиум‑SMS и часто не могут вовремя обнаружить мошенничество;

  • телекоммуникационные операторы выплачивают долю дохода злоумышленникам и несут убытки из‑за споров с клиентами и возвратов платежей.

Будьте бдительны: не отправляйте SMS‑сообщения для «подтверждения» на незнакомых сайтах и проверяйте подозрительные запросы.

Просмотров: 20
фальшивая CAPTCHA, кампания Keitaro, глобальный обман через SMS, мошенничество CAPTCHA, IRSF схема, SMS мошенничество, Keitaro TDS, фальшивые инвестиции, кража криптовалюты, дипфейк реклама, перехват кнопки Назад
Рейтинг
SparkCat 2.0: кража сид-фраз криптокошельков из фото на iOS и Android
Вернуться к списку

Чтобы комментировать, зарегистрируйтесь или авторизуйтесь

Читайте еще
Axios и атака на npm
UNC1069: социнженерия против автора Axios и атака на npm

Как хакеры из Северной Кореи обманули разработчика популярной npm-библиотеки Axios

Представьте, что вы поддерживаете программный пакет, который каждую неделю скачивают почти сто миллионов раз. А потом однажды вам пишет основатель известной компании с предложением сотрудничества. Вы проверяете информацию — всё выглядит абсолютно реально. Но на самом деле это ловушка, подготовленная профессиональными злоумышленниками. Именно так произошло с Джейсоном Саайманом — мейнтейнером библиотеки Axios для экосистемы JavaScript.

03.04.2026
UNC1069, социнженерия, Axios, атака на npm, атака на цепочку поставок npm, социальная инженерия Axios, взлом мейнтейнера npm, BlueNoroff, компрометация JavaScript библиотеки, удаленный троян RAT, GhostCall кампания
Vertex AI vulnerability
Уязвимость Vertex AI: риски для данных в Google Cloud

Уязвимость Vertex AI

В платформе Google Cloud Vertex AI обнаружена серьезная уязвимость, которая может превратить искусственный интеллект из полезного помощника в инструмент злоумышленника. Исследователи из подразделения Unit 42 компании Palo Alto Networks выявили проблему в модели разграничения доступа, способную привести к утечке конфиденциальных данных и компрометации облачной инфраструктуры организации.

31.03.2026
Google Cloud, Vertex AI, уязвимость Vertex AI, Google Cloud утечка данных, безопасность AI агентов, Artifact Registry доступ, BYOSA настройка, Unit 42 исследование, разграничение доступа Vertex AI
CTRL Toolkit
CTRL Toolkit: как LNK-файлы крадут данные через RDP и FRP-туннели

CTRL Toolkit: как LNK-файлы

Исследователи в области кибербезопасности обнаружили новый инструмент удаленного доступа, созданный русскоязычными разработчиками. Распространение этого набора утилит, получившего название CTRL Toolkit, происходит через замаскированные ярлыки Windows — LNK-файлы, которые внешне выглядят как папки с приватными ключами. Пользователь, не подозревая об угрозе, дважды кликает по такому файлу и запускает цепочку заражения.

30.03.2026
CTRL Toolkit, LNK-файлы, FRP-туннели, LNK файл вирус, угон RDP сессии, FRP туннель, кейлоггер Windows Hello, фишинг PIN кода, вредоносный LNK ярлык, удаленный доступ через FRP, хакерские инструменты .NET
Подписаться на рассылку
Программы для Windows
новости ит, программы для windows
На этом сайте используются файлы cookie. Продолжая просмотр сайта, вы разрешаете их использование. Подробнее. Закрыть