Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Лажна CAPTCHA IRSF измама и 120 Keitaro кампањи поттикнуваат глобална SMS и крипто измама

Објавено: 27.04.2026

Истражувачи за сајбер-безбедност открија детали за телекомуникациска измама која користи лажни CAPTCHA верификации за да ги измами корисниците да испраќаат меѓународни SMS пораки што им создаваат трошоци на мобилните сметки, генерирајќи нелегален приход за напаѓачите кои ги изнајмуваат телефонските броеви.

Според нов извештај објавен од Infoblox, операцијата се смета дека е активна најмалку од јуни 2020 година, користејќи методи како социјален инженеринг и манипулација со „back“ копчето во веб-прелистувачи. Забележани се дури 35 телефонски броеви од 17 земји како дел од кампањата за меѓународна измама со делење приходи (IRSF).

„Лажната CAPTCHA има повеќе чекори, а секоја порака креирана од сајтот е однапред конфигурирана со повеќе од десетина телефонски броеви, што значи дека жртвата не се наплаќа за една порака – туку за испраќање SMS до повеќе од 50 меѓународни дестинации“, изјавија истражувачите Дејвид Брансдон и Дарби Вајз во анализата.

„Овој тип измама исто така има корист од одложено фактурирање, бидејќи трошоците за ‘меѓународни SMS’ често се појавуваат на сметката на жртвата недели подоцна, кога искуството со лажната CAPTCHA веќе е заборавено.“

Она што ја прави заканата значајна е комбинирањето на измамата со делење приходи и злонамерни системи за дистрибуција на сообраќај (TDS), при што активноста користи инфраструктура која традиционално служи за пренасочување кон малвер или фишинг страници, за да спроведува SMS измами на голема скала.

IRSF шемите вклучуваат измамници кои нелегално добиваат меѓународни премиум броеви (IPRN) или опсези на броеви и вештачки го зголемуваат обемот на повици или пораки кон тие броеви, со цел да добијат дел од приходот што се генерира од тие повици преку такси за завршување (termination charges) што ги добива сопственикот на бројот за влезниот сообраќај.

Во овој контекст, таксата за завршување е надомест што го плаќа телекомуникациски оператор кој го иницира повикот на операторот што го завршува повикот на својата мрежа. Искористувањето на овие договори за „делење приходи“ го поттикнува IRSF, бидејќи операторот што го иницира повикот плаќа такси за високотарифни дестинации, а дел од тие средства се делат со измамниците.

Infoblox наведува дека кампањата регистрира телефонски броеви во земји со високи такси за завршување или лабави регулативи, како Азербејџан, Казахстан или одредени премиум опсези во Европа, и соработува со локални телекомуникациски провајдери за да ја спроведе измамата.

Целата кампања функционира вака: корисникот се пренасочува кон лажна веб-страница преку комерцијален TDS, која прикажува CAPTCHA што бара од него да испрати SMS за „да потврди дека е човек“. Ова активира повеќестепен процес на „верификација“, при што секој чекор иницира испраќање нова SMS порака кон броеви одредени од серверот, преку автоматско отворање на SMS апликацијата на Android и iOS уреди со веќе пополнети број и текст.

Во текот на процесот, може да се испратат до 60 SMS пораки кон 15 различни броеви по четири чекори на CAPTCHA, што може да чини околу 30 долари. Иако сумата изгледа мала, компанијата предупредува дека на голема скала тоа брзо создава значителен профит за напаѓачите. Листата на броеви опфаќа 17 земји, меѓу кои Азербејџан, Холандија, Белгија, Полска, Шпанија и Турција.

Кампањата силно се потпира на колачиња (cookies) за следење на напредокот во лажниот процес на верификација, користејќи вредности зачувани во нив (на пр. „successRate“) за да одреди што ќе се случи понатаму. Ако корисникот не е погоден за кампањата, страницата го пренасочува кон друга CAPTCHA страница, веројатно дел од друга кампања или управувана од друг напаѓач.

Дополнителна тактика што ја користат измамниците е манипулација со „back“ копчето, каде преку JavaScript се менува историјата на прелистувачот, така што секој обид за враќање назад го враќа корисникот повторно на лажната страница, ефективно го заробува во циклус на навигација сè додека не го затвори целосно прелистувачот.

Синџир на пренасочување што води до лажна CAPTCHA страница

„Оваа операција истовремено ги измамува и поединците и телекомуникациските оператори. Индивидуалните жртви се соочуваат со неочекувани трошоци за премиум SMS на нивните сметки и тешко можат да ја идентификуваат и пријават измамата кога таа доаѓа од толку неочекуван извор,“ заклучува Infoblox. „Телекомуникациските оператори им исплаќаат дел од приходите на сторителите, додека најверојатно ги покриваат загубите од поплаки на корисници или поврат на средства.“

Како напаѓачите го злоупотребуваат Keitaro TDS

Ова откритие доаѓа во време кога компанијата, во соработка со Confiant, објави триделен извештај во кој се опишува како Keitaro TDS (познат и како Keitaro Tracker) се злоупотребува — во некои случаи преку користење украдени или „креширани“ лиценци (како во случајот со TA2726) — од широк спектар на напаѓачи за злонамерни активности, вклучувајќи дистрибуција на малвер, кражба на криптовалути и инвестициски измами кои тврдат дека користат вештачка интелигенција (AI) за автоматизирано тргување и ветуваат огромни добивки.

Измамата користи Facebook реклами за да ги намами жртвите кон лажни платформи наводно базирани на AI. Во некои случаи се користат и лажни препораки од познати личности, пласирани преку фалсификувани новинарски статии и deepfake видеа за промоција на инвестициската шема. Употребата на вакви синтетички видеа се поврзува со напаѓач познат под името FaiKast.

„Keitaro првенствено е self-hosted алатка за следење на перформансите на реклами, дизајнирана условно да ги насочува посетителите преку различни ‘flow’ патеки,“ наведуваат компаниите. „Напаѓачите го пренаменуваат овој механизам, претворајќи го Keitaro серверот во сеопфатна алатка што функционира како систем за дистрибуција на сообраќај, тракер и слој за прикривање (cloaking).“

Дистрибуција на забележани спам кампањи што го користат Keitaro

Вкупно, повеќе од 120 различни кампањи го злоупотребиле Keitaro TDS за испорака на линкови во период од четири месеци, помеѓу октомври 2025 и јануари 2026 година. Infoblox забележа дека неговите клиенти регистрирале околу 226.000 DNS барања поврзани со 13.500 домени асоцирани со активности поврзани со Keitaro во овој период. По одговорното пријавување, Keitaro презеде мерки и укина повеќе од десетина кориснички сметки поврзани со овие активности.

„Со комбинирање на постара, но сè уште многу ефикасна тема на инвестициска измама со модерни AI технологии, напаѓачите успеаја да лансираат големи и многу убедливи сајбер кампањи,“ велат Infoblox и Confiant. „Приближно 96% од спам сообраќајот поврзан со Keitaro промовираше шеми за празнење крипто-паричници, главно преку лажни ‘airdrop’ или ‘giveaway’ мамки фокусирани на AURA, SOL (токен на Solana), Phantom (паричник) и Jupiter (DEX/агрегатор).“

Извори:

  • The Hacker News – Fake CAPTCHA IRSF Scam and 120 Keitaro Campaigns Drive Global SMS, Crypto Fraud The Hacker News