Исследователи в области кибербезопасности раскрыли детали масштабной схемы мошенничества, которая обманывает пользователей с помощью поддельной CAPTCHA‑проверки. Жертвы неосознанно отправляют международные SMS‑сообщения — за них потом списываются деньги со счёта мобильного телефона, а злоумышленники получают доход, арендуя номера телефонов.
По данным нового отчёта компании Infoblox, эта мошенническая схема действует как минимум с июня 2020 года. В её основе — методы социальной инженерии и хитрый приём «перехвата кнопки „Назад“» в браузере. В рамках международной схемы распределения доходов (IRSF) задействованы до 35 телефонных номеров в 17 странах.
Механизм обмана пошагово:
Пользователь попадает на поддельный веб‑сайт через систему распределения трафика (TDS).
На странице отображается фальшивая CAPTCHA с просьбой отправить SMS‑сообщение для «подтверждения, что вы не робот».
Запускается многоэтапная цепочка «верификации»: на каждом шаге автоматически запускается приложение SMS на устройствах Android и iOS — номера телефонов и текст сообщения уже заранее заполнены.
После четырёх этапов CAPTCHA отправляется до 60 SMS на 15 уникальных номеров. В итоге счёт пользователя может увеличиться на 30 долларов.
Для отслеживания прогресса используется система cookies (например, параметр «successRate» определяет дальнейшие действия).
Если пользователь не подходит для участия в схеме, его перенаправляют на другую страницу CAPTCHA — возможно, связанную с другой мошеннической кампанией.
Главная хитрость — отсроченное списание средств: плата за «международные SMS» появляется в счёте спустя несколько недель, когда жертва уже давно забыла о взаимодействии с фальшивой CAPTCHA.
IRSF (International Revenue Share Fraud) — это схема, при которой мошенники:
незаконно получают международные номера премиум‑класса (IPRN) или диапазоны номеров;
искусственно увеличивают количество международных звонков или сообщений на эти номера;
получают долю дохода от платежей за завершение вызовов (терминационных сборов), которые платит оператор‑отправитель оператору‑получателю.
Злоумышленники выбирают страны с высокими терминационными сборами или слабым регулированием — например, Азербайджан, Казахстан, а также некоторые диапазоны премиум‑номеров в Европе. Нередко они вступают в сговор с местными телекоммуникационными провайдерами.
Один из новых приёмов мошенников — перехват кнопки «Назад» в браузере:
с помощью JavaScript изменяется история просмотра;
при попытке уйти со страницы CAPTCHA нажатием кнопки «Назад» пользователь снова попадает на фальшивую страницу;
жертва оказывается в навигационной петле — выйти можно только полностью закрыв браузер.
Компания Infoblox совместно с Confiant опубликовала трёхчастный анализ, показывающий, как злоумышленники злоупотребляют системой Keitaro TDS (Keitaro Tracker). Более 120 кампаний использовали её для вредоносных действий за период с октября 2025 по январь 2026 года:
распространение вредоносного ПО;
кража криптовалют;
инвестиционные аферы с обещанием огромных доходов якобы за счёт ИИ‑автоматизации торговли.
Как это работает:
Keitaro изначально — это трекер для отслеживания эффективности рекламы, который условно маршрутизирует посетителей;
злоумышленники превращают сервер Keitaro в универсальный инструмент: систему распределения трафика, трекер и слой маскировки;
для привлечения жертв используются рекламные объявления в Facebook — они заманивают на мошеннические платформы с «ИИ‑поддержкой»;
иногда применяются фейковые одобрения знаменитостей через поддельные новостные статьи и дипфейк‑видео (за это отвечает группа FaiKast).
За четырёхмесячный период:
зафиксировано около 226 000 DNS‑запросов, связанных с активностью Keitaro;
охвачено 13 500 доменов;
примерно 96 % спам‑трафика, связанного с Keitaro, продвигало схемы «опустошения» криптовалютных кошельков;
основные приманки — фейковые раздачи токенов (airdrop/giveaway) по проектам AURA, SOL (Solana), Phantom (кошелёк) и Jupiter (DEX/агрегатор).
После ответственного раскрытия информации компания Keitaro отменила более десятка учётных записей, связанных с этими действиями.
Infoblox отмечает, что эта схема наносит ущерб сразу двум сторонам:
пользователи получают неожиданные списания за премиум‑SMS и часто не могут вовремя обнаружить мошенничество;
телекоммуникационные операторы выплачивают долю дохода злоумышленникам и несут убытки из‑за споров с клиентами и возвратов платежей.
Будьте бдительны: не отправляйте SMS‑сообщения для «подтверждения» на незнакомых сайтах и проверяйте подозрительные запросы.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Из‑за элементарной оплошности оператора стала известна внутренняя структура опасного DDoS‑сервиса. Владелец xlabs_v1 случайно оставил без пароля папку на сервере в Нидерландах — и этим воспользовались специалисты Hunt.io. Они изучили файлы и восстановили полную картину: от устройства ботнета до его бизнес‑модели.
В 2026 году кибербезопасность столкнулась с мощной угрозой — вымогательским ПО The Gentlemen (также известным как hastalamuerte). К первому кварталу года группировка нанесла урон более чем 320 организациям. Но теперь у жертв появилась надежда: канадская компания Bedrock Safeguard раскрыла способ расшифровки данных без выплаты выкупа.
Исследователи безопасности выявили масштабную атаку на цепочки поставок программного обеспечения. Злоумышленники использовали «спящие» пакеты — внешне безобидные библиотеки, которые позже активируют вредоносную нагрузку. Цель атаки: кража учётных данных, вмешательство в GitHub Actions и закрепление в системе через SSH.