Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
CAPTCHA Falso, Bolletta Shock: la truffa IRSF ti fa inviare fino a 60 SMS premium internazionali
Una nuova ondata di frodi nelle telecomunicazioni sta sfruttando falsi CAPTCHA per indurre gli utenti a inviare SMS internazionali a numeri premium, con addebiti che finiscono direttamente in bolletta. Questo schema rientra nella cosiddetta International Revenue Share Fraud (IRSF), un modello criminale basato sulla condivisione dei ricavi generati dalle tariffe di terminazione tra operatori e soggetti che controllano i numeri di destinazione.
La truffa si avvia quando la vittima viene reindirizzata verso una pagina web ingannevole tramite sistemi di distribuzione del traffico malevolo, spesso usati anche per malware e phishing. Qui compare un CAPTCHA fasullo che chiede di confermare di essere umani inviando un SMS. Il passaggio chiave è che il messaggio non è singolo: la procedura è a più step e ogni step apre l’app SMS su Android o iOS con numero e testo già compilati. In pochi passaggi possono partire fino a 60 SMS verso più numeri internazionali, con un costo stimato intorno ai 30 dollari per singolo episodio. Il danno economico cresce rapidamente se l’attacco viene replicato su larga scala.
Le infrastrutture osservate includono decine di numeri distribuiti su 17 paesi, con preferenza per destinazioni note per tariffe di terminazione elevate o regolamentazione più permissiva, come Azerbaijan e Kazakhstan, oltre ad alcune fasce premium in Europa. Il meccanismo IRSF funziona proprio grazie alle fee inter-carrier: l’operatore di origine paga la terminazione a quello di destinazione e una parte del ricavo viene poi condivisa con chi ha orchestrato il traffico verso quei numeri.
Per aumentare la probabilità di conversione, i truffatori usano cookie per tracciare la progressione della vittima e decidere se farla proseguire o reindirizzarla a un altro flusso. In più viene impiegato il back button hijacking, una tecnica JavaScript che manipola la cronologia del browser e intrappola l’utente in un loop se prova a tornare indietro.
In parallelo è stato evidenziato l’abuso di piattaforme di tracciamento e instradamento come Keitaro, riutilizzate come TDS con funzioni di cloaking e redirezione. In pochi mesi sono state attribuite oltre 120 campagne distinte, con migliaia di domini e centinaia di migliaia di query DNS, spesso legate anche a frodi crypto come wallet drainer e finti airdrop.