Мошенники используют поддельные CAPTCHA для принудительной отправки платных SMS: раскрыта схема международного обмана с разделом доходов

Механика атаки проста, но эффективна. Пользователь попадает на поддельную страницу, которая имитирует легитимные проверки - выбор картинок с велосипедами или распознавание текста. Однако единственным способом "пройти проверку" оказывается отправка SMS на указанные номера. С точки зрения кода процесс выглядит так: после любого ответа на ложный вопрос JavaScript (язык сценариев, работающий в браузере) обращается к серверному API, получает список телефонных номеров и текст сообщения, а затем автоматически открывает приложение для отправки сообщений с предзаполненными данными. Пользователю остаётся лишь нажать кнопку отправки - и так четыре раза подряд. Каждый раз формируется новое сообщение, адресованное сразу десятку номеров. В одном из протестированных случаев жертва отправила 60 SMS, что обошлось примерно в 30 долларов США. При масштабировании на тысячи пользователей даже такая скромная сумма превращается в серьёзный доход для мошенников.

Важно понимать, что эта афера не могла бы работать без сложной инфраструктуры распределения трафика. В марте 2026 года исследователи компании Infoblox отследили путь жертвы, начавшийся с домена, опечатывающего название крупного американского телекоммуникационного оператора. С этого сайта пользователя перенаправляли через несколько узлов TDS (система распределения трафика), которые отбирают наиболее перспективные цели и скрывают конечную мошенническую страницу от автоматического анализа. Один из промежуточных узлов, по всей видимости, принадлежит коммерческой рекламной сети, предлагающей модель Click2SMS - получение дохода за каждый клик по SMS-ссылке. Именно в рамках этой сети мошенник, арендующий телефонные номера, выступает в роли партнёра, получающего долю от платы за международные сообщения.

В ходе расследования удалось выявить 35 телефонных номеров, задействованных в схеме, которые относятся к 17 странам мира. Особое внимание злоумышленники уделяют государствам с высокими тарифами на завершение международного вызова: Азербайджан, Египет, Мьянма, Нидерланды, Великобритания, Бельгия и другие. Список номеров поделён на два уровня: первый используется непосредственно на странице ложной CAPTCHA, второй передаётся дальше на сайт с игровым контентом megaplaylive[.]com, где каждый клик по видеоролику также инициирует отправку SMS. Исследование Infoblox показало, что код этих страниц содержит динамические параметры управления, позволяющие операторам менять текст сообщений, перенаправлять пользователей на другие мошеннические ресурсы или даже "выключать" кампанию по команде с сервера.

Особого внимания заслуживает приём с перехватом кнопки "Назад" в браузере. Специальный скрипт манипулирует историей посещений с помощью метода pushState, не давая пользователю покинуть страницу обычным способом. При попытке вернуться на предыдущий сайт жертва вновь оказывается на поддельной CAPTCHA или перенаправляется на аналогичную страницу другого мошеннического домена. Google недавно объявил такую практику вредоносной и запретил её использование, однако на момент обнаружения схемы перехват активно применялся.

Последствия этой атаки затрагивают обе стороны. Для обычных пользователей сюрпризом становится счёт за международный роуминг, который приходит спустя несколько недель, когда опыт с "проверкой человека" уже забыт. Доказать мошенничество и добиться возврата средств крайне сложно, особенно если номеров было много и они относятся к разным странам. Для телекоммуникационных операторов IRSF - одна из самых финансово ёмких форм мошенничества. По данным консалтинговой компании FTI Consulting, искусственно созданный трафик, порождаемый такими схемами, является наиболее убыточным видом SMS-мошенничества: 50% операторов сообщают о высоких финансовых потерях, а 54% - о значительных объёмах такого трафика. Глобальные потери исчисляются миллиардами долларов ежегодно.

Примечательно, что мошенники не ограничиваются одной лишь SMS-схемой. На финальных страницах, куда попадает жертва после прохождения всех этапов, предлагается разрешить push-уведомления. Если пользователь соглашается, злоумышленники получают канал для повторного привлечения жертвы на сайт или перенаправления на другие вредоносные ресурсы. Таким образом, одна и та же инфраструктура используется для нескольких видов обмана: от вымогательства через push-уведомления до классического фишинга.

Вывод, который делают эксперты, неутешителен: даже осторожное поведение в интернете - избегание подозрительных всплывающих окон и поддельных страниц - не гарантирует защиту от этой угрозы. Единственный надёжный способ предотвратить финансовые потери - помнить, что ни одна настоящая проверка "я не робот" никогда не требует отправки платных SMS-сообщений. Если сайт просит отправить текст на международный номер для подтверждения личности, перед вами почти наверняка мошенничество.

Domains

• 4lifetips.com
• chat.matchnewtoday.com
• claimandwins.com
• colnsdital.com
• d.fufecarrol.top
• d.herbosfinx.com
• d.marraheltin.com
• d.panzozerrot.com
• d.remotesbuffalo.top
• d.ruelomamuy.com
• d.santafebuno.top
• d.vistertransit.com
• d.zerrotmamil.com
• hotnow.sweeffg.online
• megaplaylive.com
• r.buffalosolpe.top
• r.carrolvassin.top
• r.transitcaxip.com
• verifysuper.com
• vids.chatorizon.com
• zawsterris.com