I ricercatori di sicurezza informatica David Brunsdon e Darby Wise hanno pubblicato uno studio su infoblox che smaschera una pericolosa truffa con falso CAPTCHA in grado di mettere in pericolo milioni di utenti con un semplicissimo click. “Un modo in cui abbiamo osservato l’utilizzo di pagine CAPTCHA false nelle campagne è legato a una frode nel settore delle telecomunicazioni nota come frode internazionale sulla condivisione dei ricavi (IRSF)“, hanno spiegato.
I CAPTCHA, quei compiti banali in cui dimostriamo la nostra capacità di selezionare biciclette o distinguere i chihuahua dai muffin ai mirtilli, vengono sempre più spesso utilizzati come arma per indurre gli utenti a compiere azioni con conseguenze inaspettate. I CAPTCHA falsi sono comunemente associati agli attacchi ClickFix, ma sono stati sfruttati anche in altri tipi di campagne, comprese quelle sulle notifiche push dannose.
Questa truffa, diffusa tramite falso CAPTCHA, sfrutta le strutture tariffarie complesse di chiamate e messaggi di testo internazionali per generare profitti gonfiando il volume dei messaggi inviati verso destinazioni costose a prezzo elevato. In pratica, questa frode sfrutta il sistema di fatturazione degli operatori telefonici e delle reti di affiliazione, trasformando il traffico web in guadagni derivanti da SMS a pagamento per cybercriminali.
Come funziona la truffa del falso CAPTCHA
Gli esperti di cybersecurity e privacy di Malwarebytes hanno spiegato come funziona la truffa del falso CAPTCHA. Tramite annunci pubblicitari, la vittima arriva su una pagina che sembra un semplice CAPTCHA con selezione di immagini o quiz, per verificare se chi sta per collegarsi è un essere umano e non un bot. Per poter continuare viene richiesto di toccare un pulsante che apre l’app SMS con un messaggio precompilato e un elenco di destinatari.
Non si tratta di un singolo SMS inviato a un singolo numero. Il falso CAPTCHA si articola in più fasi e ogni messaggio è preconfigurato con oltre una dozzina di numeri internazionali in 17 paesi noti per le elevate tariffe di terminazione, tra cui Azerbaigian, Myanmar ed Egitto.
“Per impedirti di tornare indietro, le pagine utilizzano un sistema di dirottamento del pulsante “indietro” appositamente creato. JavaScript riscrive la cronologia del browser e ti reindirizza alla truffa quando tenti di abbandonare la pagina“, hanno aggiunto gli esperti. “I ricercatori hanno anche scoperto che la campagna era collegata a una rete di affiliazione in stile Click2SMS che pubblicizza ‘tutti i tipi di traffico consentiti’ e la fatturazione tramite operatore telefonico, presentando di fatto IRSF come un’ulteriore opzione di monetizzazione per editori poco affidabili“.
