Eine aktuelle Analyse von Infoblox und Confiant zeigt, dass internationales Telekommunikationsbetrug (International Revenue Share Fraud, IRSF) eine neue technische Stufe erreicht hat. Angreifer kombinieren dabei gefälschte CAPTCHA-Abfragen, teure internationale Premium-SMS und professionelle Traffic Distribution Systeme (TDS), um unauffällig Einnahmen aus Terminationsgebühren zu generieren – zulasten von Mobilfunkkunden und Netzbetreibern.
Wie International Revenue Share Fraud (IRSF) funktioniert
IRSF basiert auf einem etablierten Abrechnungsmechanismus im Telefonienetz. Für jedes internationale Gespräch oder jede SMS zahlt der ausgehende Netzbetreiber einen Terminationsentgelt an den Netzbetreiber, in dessen Netz die Verbindung endet. Bei sogenannten Premium- oder Hochentgelt-Nummern ist dieses Entgelt besonders hoch, und der Betreiber teilt die Einnahmen vertraglich mit dem Inhaber des Nummernblocks.
Kriminelle sichern sich Zugriff auf solche internationalen Premium-Rufnummern (International Premium Rate Numbers, IPRN) – entweder indem sie selbst Nummernblöcke kontrollieren oder in Absprache mit lokalen Providern agieren. Anschließend erzeugen sie künstlich großes Verkehrsvolumen (Calls oder SMS) auf diese Nummern. Ein Teil der Terminationsentgelte fließt dann als Revenue Share direkt an die Täter.
Laut Infoblox ist die nun analysierte Kampagne mindestens seit Juni 2020 aktiv. Es wurden mindestens 35 Telefonnummern in 17 Ländern identifiziert, vor allem in Staaten mit hohen Terminationstarifen oder schwacher Regulierung, darunter Aserbaidschan, Kasachstan und spezielle Premium-Bereiche in europäischen Netzen.
Fake-CAPTCHA-SMS als Social-Engineering-Werkzeug
Das Einfallstor für die Opfer ist keine Malware, sondern Social Engineering: Nutzer landen über kommerzielle Traffic Distribution Systeme (TDS) auf einer scheinbar legitimen Webseite mit einer CAPTCHA-Abfrage. Anstatt Buchstaben abzutippen, sollen sie jedoch „bestätigen, dass sie Mensch sind“, indem sie eine SMS an eine eingeblendete Nummer senden.
Nach der ersten SMS startet ein mehrstufiger, pseudo-legitimer „Verifizierungsprozess“. In jedem Schritt wird automatisch ein neues SMS-Template generiert, das an weitere Zielnummern gesendet werden soll. Auf Android- und iOS-Geräten öffnet JavaScript über spezielle URL-Schemata das Standard-SMS-Programm mit vorausgefüllten Empfängern und Texten. Für den Nutzer sieht das wie eine normale Nachricht aus – er bestätigt nur noch mit „Senden“.
In Wirklichkeit werden dabei parallel mehrere internationale Premium-SMS verschickt. Nach Einschätzung von Infoblox können in vier Schritten der gefälschten CAPTCHA-Prozedur bis zu 60 SMS an 15 unterschiedliche Nummern ausgelöst werden. Pro betroffener Person summiert sich das typischerweise zu rund 30 US-Dollar Mehrkosten – ohne dass unmittelbar erkennbar ist, wodurch diese Belastungen entstanden sind.
Hinzu kommt der Effekt des verzögerten Billings: Internationale SMS erscheinen in vielen Tarifen erst Wochen später auf der Rechnung. Bis dahin haben die meisten Nutzer den Besuch der dubiosen Webseite längst vergessen, sodass sich die Betrugsquelle nur schwer nachvollziehen lässt.
Technische Tricks: JavaScript, Cookies und Back-Button-Hijacking
Die Betreiber der Kampagne steuern die „Betrugs-Funnel“ mit mehreren technischen Mitteln. Über Cookies wird etwa ein Parameter wie successRate gespeichert, der angibt, wie weit ein Nutzer im Fake-CAPTCHA-Prozess gelangt ist. Auf Basis dieser Informationen entscheidet der JavaScript-Code, ob weitere SMS-Schritte angezeigt oder ob der Besucher auf andere Landingpages umgeleitet wird.
Gleichzeitig nutzen die Angreifer Geolokation, Gerätetyp und Nutzerverhalten, um „uninteressante“ Besucher herauszufiltern und sie auf alternative, vermutlich andere Betrugskampagnen zu schicken. Das erhöht Effizienz und Profitabilität und erschwert die Analyse, weil verschiedene Opfergruppen unterschiedliche Inhalte sehen.
Ein weiterer Baustein ist das sogenannte Back-Button-Hijacking: Die Browser-Historie wird so manipuliert, dass der Zurück-Button den Nutzer immer wieder auf die Fake-CAPTCHA-Seite führt. Viele Anwender brechen die Sitzung irritiert ab – oft nachdem sie bereits mehrere SMS versendet haben, ohne den Zusammenhang vollständig zu erkennen.
Missbrauch von Keitaro TDS: Vom SMS-Fraud zu Krypto- und Investitionsscams
Die SMS-Kampagne ist Teil eines größeren Musters: Infoblox und Confiant dokumentieren systematischen Missbrauch der legitimen TDS-Lösung Keitaro Tracker (Keitaro TDS). Keitaro ist eigentlich ein selbstgehostetes Tracking- und Routing-Tool für Online-Marketing, wird aber von Cyberkriminellen als kombinierte TDS-, Maskierungs- und Kampagnenplattform zweckentfremdet.
Einige Gruppen setzen nachweislich gestohlene oder kompromittierte Keitaro-Lizenzen (z. B. im Cluster TA2726) ein, um Malware-Kampagnen, Wallet-Drainer für Kryptowährungen und vermeintliche KI-Investmentangebote zu orchestrieren. Letztere locken mit „garantiert hoher Rendite“ und nutzen unter anderem Facebook Ads, gefälschte Nachrichtenartikel und Deepfake-Videos mit angeblichen Promi-Empfehlungen, um Vertrauen zu erschleichen.
Ein von den Forschern als FaiKast bezeichneter Betreiber startete in nur vier Monaten über 120 einzelne Kampagnen, die via Keitaro TDS ausgeliefert wurden. In diesem Zeitraum wurden rund 226.000 DNS-Anfragen zu etwa 13.500 verbundenen Domains registriert. Rund 96 % des beobachteten Spam-Traffics hing mit Krypto-Wallet-Drainer-Schemata zusammen, die als Airdrops und Gewinnspiele unter anderem für AURA- und SOL-Token, die Phantom-Wallet und den DEX-Aggregator Jupiter getarnt waren.
Nach verantwortlicher Meldung sperrte Keitaro mehrere mit diesen Aktivitäten verknüpfte Accounts. Dennoch bleibt der Missbrauch von TDS-Plattformen ein stabiler Trend im Cybercrime-Ökosystem – gerade weil solche Tools auch im seriösen Performance-Marketing stark verbreitet sind und sich schwer pauschal blockieren lassen.
Schaden für Endkunden und Mobilfunkanbieter
Endnutzer stehen vor dem Problem unerklärlich hoher Rechnungen für internationale Premium-SMS. In den Einzelverbindungsnachweisen sieht alles nach legitimen, vom Kunden initiierten SMS aus, was Reklamationen erschwert. Branchenverbände wie die Communications Fraud Control Association (CFCA) schätzen, dass Telekommunikationsbetrug weltweit jedes Jahr Schäden in zweistelliger Milliardenhöhe verursacht, wobei IRSF zu den kostenintensivsten Kategorien gehört.
Telekommunikationsanbieter sind doppelt betroffen: Einerseits zahlen sie ihren vertraglichen Anteil der Terminationsentgelte an die (scheinbar legitimen) Premium-Nummerninhaber aus. Andererseits müssen sie bei Kundenbeschwerden oft Gutschriften oder Kulanzlösungen gewähren und investieren zunehmend in Fraud-Management-Systeme, um regulatorische und Reputationsrisiken zu begrenzen.
Schutzmaßnahmen gegen SMS-Betrug und IRSF
Für Verbraucher gilt eine einfache Grundregel: Keine SMS auf Aufforderung beliebiger Webseiten versenden – insbesondere nicht im Rahmen angeblicher CAPTCHA- oder Altersverifikationen. Seriöse Dienste nutzen hierfür üblicherweise In-Browser-CAPTCHAs oder App-basierte Verfahren und verlangen keine manuell versendeten Premium-SMS.
Nutzer sollten regelmäßig ihre Einzelverbindungsnachweise prüfen, bei Bedarf internationale und Premium-SMS beim Provider sperren lassen und Kostenlimits für Mehrwertdienste aktivieren. Auffällige oder unbekannte Kurz- und Auslandsnummern sollten konsequent hinterfragt und bei Verdacht dem Anbieter gemeldet werden.
Unternehmen und Provider sollten verhaltensbasierte Analysen für SMS- und Sprachverkehr etablieren, um IRSF-Anomalien in Echtzeit zu erkennen – etwa ungewöhnliche Peaks in bestimmte Zielländer oder Nummernblöcke. Ergänzend sind DNS-Monitoring, Threat-Intelligence-Feeds zu TDS-Domains, SMS-Firewalls sowie enger Informationsaustausch zwischen Carriern, CERTs und Sicherheitsforschern zentrale Bausteine eines wirksamen Fraud-Managements.
Die aufgedeckte Kampagne verdeutlicht, wie wirkungsvoll die Kombination aus Social Engineering, missbrauchten Werbe- und TDS-Plattformen sowie wenig bekannten Telekommunikationsmechanismen sein kann. Wer seine digitale und mobile Sicherheit ernst nimmt, sollte Benutzeraufklärung, technische Überwachung und gezielte Beschränkungen von Premium-Diensten verbinden – und neue Betrugsmuster wie Fake-CAPTCHA-SMS aufmerksam verfolgen, bevor sie zur teuren Routine werden.
