Descoberta e escopo da fraude
Cybercriminals estão utilizando páginas de CAPTCHA falsas para enganar usuários e forçá-los a enviar mensagens de texto SMS pagas para números internacionais. Esta técnica está ligada a um esquema de fraude de telecomunicações conhecido como International Revenue Share Fraud (IRSF), ativo desde pelo menos junho de 2020. A Infoblox Threat Intel identificou e documentou esta operação em detalhes, revelando um mecanismo sofisticado de engenharia social.
O esquema atrai usuários para sites que parecem páginas de verificação legítimas. Em vez de um CAPTCHA normal, essas páginas falsas instruem os usuários a enviar uma mensagem SMS para provar que são humanos. O que as vítimas não sabem é que essas mensagens são enviadas para números de telefone em países com taxas de terminação muito altas, como Azerbaijão, Egito e Myanmar.
Cada texto gera receita para o fraudador, que tem um acordo pré-arranjado de participação nas taxas de telecom com operadoras locais. As vítimas geralmente descobrem o dano semanas depois, quando aparecem cobranças inesperadas em suas contas de telefone. A investigação da Infoblox encontrou que uma única interação com uma página de CAPTCHA falso pode disparar até 60 mensagens SMS internacionais em mais de 50 destinos.
Mecanismo de ataque e infraestrutura
O que torna essa ameaça particularmente séria é como as vítimas chegam a essas páginas. A campanha utiliza um Sistema de Distribuição de Tráfego (TDS), que roteia silenciosamente o tráfego da web através de múltiplas camadas antes de colocar os usuários em uma página de aterrissagem maliciosa. Pesquisadores rastrearam uma cadeia de ataque que começou quando um usuário visitou um domínio semelhante a uma grande operadora de telecomunicações dos EUA.
Isso desencadeou uma série de redirecionamentos através de nós TDS antes de pousar em uma página de CAPTCHA falso. Essa infraestrutura ajuda a operação a permanecer oculta de pesquisadores de segurança e sistemas de detecção automatizados. A fraude prejudica tanto indivíduos quanto operadoras ao mesmo tempo. As provedoras de telecomunicações muitas vezes absorvem as perdas de disputas de clientes enquanto pagam inadvertidamente receita aos fraudadores.
A Infoblox Threat Intel observou 35 números de telefone abrangendo 17 países nesta campanha, e a infraestrutura permaneceu consistente na mesma rede desde junho de 2020. A disseminação em muitos países torna quase impossível para qualquer provedor único detectar o escopo total.
Impacto financeiro e operacional
O impacto financeiro para as vítimas individuais pode parecer pequeno, com custos em torno de trinta dólares por sessão, mas a escala em milhões de vítimas potenciais torna extremamente lucrativo para os autores da ameaça. Para as operadoras de telecomunicações, o prejuízo é significativo, pois elas pagam taxas de terminação para números que não são legítimos.
A operação também utiliza o sequestro do botão voltar. Quando um usuário tenta sair pressionando o botão voltar, um script empurra a URL atual para o histórico do navegador e redireciona a vítima de volta para a página de CAPTCHA. Isso mantém os usuários presos até que fechem o navegador à força. Um aviso no fundo enquadra o processo como uma troca de serviço, mas nunca divulga que dezenas de mensagens internacionais pagas serão enviadas.
Medidas de mitigação recomendadas
Organizações e usuários devem adotar medidas proativas para se proteger contra essa fraude. A conscientização é a primeira linha de defesa, seguida por controles técnicos para bloquear o tráfego malicioso.
- Educação do Usuário: Nunca envie uma mensagem SMS como parte de qualquer processo de CAPTCHA ou verificação online. Nenhum serviço legítimo exige isso.
- Monitoramento de Contas: Verifique a conta de telefone mensalmente e entre em contato com a operadora imediatamente se aparecerem cobranças internacionais inesperadas.
- Segurança de DNS: Organizações devem usar ferramentas de segurança de DNS para detectar e bloquear domínios de redirecionamento maliciosos conhecidos.
- Monitoramento de Tráfego: Operadoras de telecomunicações devem implementar monitoramento em tempo real para identificar e bloquear tráfego SMS artificialmente inflado.
Implicações para CISOs e equipes de SOC
Este tipo de ataque representa um risco de fraude financeira direta que pode impactar a reputação da empresa se os funcionários forem alvos. CISOs devem incluir esse vetor em seus programas de treinamento de conscientização de segurança. Equipes de SOC devem monitorar logs de acesso web para identificar padrões de redirecionamento associados a TDS maliciosos.
A prevenção requer uma abordagem em camadas, combinando filtragem de conteúdo, bloqueio de domínios e educação do usuário. A detecção precoce pode evitar prejuízos financeiros significativos para a organização e seus colaboradores.
O que fazer agora
1. Revise as políticas de uso de internet corporativa para proibir o envio de SMS via navegador. 2. Implemente soluções de segurança web para bloquear domínios de CAPTCHA falsos. 3. Treine usuários para identificar sinais de páginas de verificação suspeitas. 4. Estabeleça canais de denúncia para relatar cobranças SMS inesperadas.
Perguntas frequentes
Como saber se fui vítima? Verifique sua conta de telefone por cobranças de SMS internacionais não reconhecidas. É possível bloquear esses ataques? Sim, usando filtros de DNS e conscientização do usuário. Qual o custo médio? Pode variar, mas uma sessão pode custar até 30 dólares em cobranças acumuladas.