Дослідники кібербезпеки розкрили масштабну шахрайську кампанію, яка використовує фейкові CAPTCHA для обману користувачів і змушує їх надсилати дорогі міжнародні SMS. Схема діє роками, охоплює десятки країн і приносить прибуток через телеком-шахрайство та криптовалютні операції.
Дослідники з кібербезпеки розкрили масштабну шахрайську схему в телеком-сфері, яка маскується під звичайну перевірку CAPTCHA. Насправді ж користувачів змушують відправляти міжнародні SMS, за які потім списуються гроші з мобільного рахунку, а прибуток отримують зловмисники.
Ця операція працює щонайменше з червня 2020 року. Вона поєднує соціальну інженерію з технічними трюками, зокрема підміною поведінки кнопки “Назад” у браузері, щоб утримати жертву на сторінці. У рамках кампанії міжнародного шахрайства з розподілом доходів було зафіксовано 35 телефонних номерів із 17 країн.
Схема виглядає простою, але працює дуже ефективно. Людину через систему розподілу трафіку (TDS) перекидає на фейкову сторінку з перевіркою “я не робот”. Далі йде кілька кроків “верифікації”, і на кожному з них запускається відправка SMS. Причому все відбувається майже непомітно, через автоматичне відкриття стандартного SMS-додатку на смартфоні з уже заповненими номерами та текстом.
Дослідники описують це так:
“Підроблена CAPTCHA має кілька кроків… жертва платить не за одне повідомлення, а за відправку SMS на понад 50 міжнародних напрямків”
У результаті після проходження кількох етапів може відправлятися до 60 повідомлень на 15 різних номерів. У середньому це коштує близько 30 доларів для однієї жертви. Сума наче невелика, але при масштабуванні приносить зловмисникам стабільний дохід.
Ще одна проблема у тому, що користувач не одразу розуміє, що сталося. Плата за міжнародні SMS часто з’являється у рахунку через кілька тижнів, коли про сам сайт вже давно забули.
Схема базується на так званому IRSF. У ній зловмисники отримують контроль над дорогими міжнародними або преміум-номерами і штучно генерують трафік. Оператори зв’язку змушені платити за завершення таких з’єднань, а частина цих грошей потрапляє до шахраїв.
Особливо активно номери реєструються у країнах із високими тарифами або слабким контролем. Серед них – Азербайджан, Казахстан, а також окремі преміум-діапазони в Європі. У деяких випадках, як зазначають дослідники, шахраї можуть діяти у змові з локальними телеком-провайдерами.
Кампанія також використовує cookies, щоб відстежувати поведінку користувача. Наприклад, спеціальні значення визначають, чи підходить жертва для атаки. Якщо ні – її просто перекидають на іншу CAPTCHA, яка може належати зовсім іншій шахрайській схемі.
Окремо варто відзначити техніку “back button hijacking”. Через JavaScript сторінка змінює історію браузера так, що при натисканні “Назад” користувач знову повертається на фейкову CAPTCHA. Вийти з цього циклу можна лише закривши вкладку або браузер.
У підсумку схема б’є одразу по двох сторонах. Користувачі отримують несподівані рахунки за SMS, а оператори зв’язку фактично діляться доходом із шахраями, часто навіть не помічаючи цього одразу.
Паралельно дослідники разом із Confiant виявили ще одну проблему – масове зловживання системою Keitaro. Це легальний інструмент для маршрутизації трафіку, який активно використовують маркетологи, але його дедалі частіше застосовують у шкідливих кампаніях.
Зловмисники або купують зламані ліцензії, або використовують викрадені доступи, перетворюючи Keitaro на універсальний інструмент для атак. Через нього запускають:
розповсюдження шкідливого ПЗ
криптокрадіжки
інвестиційні шахрайства з “штучним інтелектом”
фейкові розіграші та giveaway
Часто жертв заманюють через рекламу в соцмережах, зокрема у Facebook. Для більшої довіри використовують фейкові новини, підроблені рекомендації знаменитостей і навіть діпфейк-відео. Одна з таких кампаній пов’язується з актором під назвою FaiKast.
За чотири місяці, з жовтня 2025 по січень 2026 року, дослідники зафіксували понад 120 кампаній, що використовували Keitaro. Було виявлено близько 226 тисяч DNS-запитів і понад 13,5 тисяч доменів, пов’язаних із цією активністю.
Після розкриття частину інфраструктури вдалося відключити – Keitaro заблокувала понад десяток акаунтів, пов’язаних зі зловживанням.
При цьому аналітики зазначають, що близько 96% такого трафіку спрямовано на криптошахрайство. Основна мета – змусити користувачів підключити або “підтвердити” свої криптогаманці через фейкові розіграші. Найчастіше використовуються теми, пов’язані з AURA, Solana, Phantom та Jupiter.
У підсумку ця історія добре показує, як звичайні інтернет-елементи на кшталт CAPTCHA можуть перетворюватися на інструмент масового шахрайства. І чим більш звично виглядає сторінка, тим легше користувача втягнути у пастку.
