Международное телеком‑мошенничество вышло на новый уровень: исследователи кибербезопасности раскрыли масштабную кампанию, в которой злоумышленники используют фальшивую CAPTCHA‑проверку, чтобы скрыто заставить пользователей отправлять дорогостоящие международные SMS. Эти сообщения идут на арендованные мошенниками номера с повышенными тарифами и генерируют для них незаконный доход, а счета за связь жертвы получают лишь спустя недели.
Как устроена схема международного SMS‑мошенничества IRSF
По данным Infoblox, кампания активна как минимум с июня 2020 года и относится к категории International Revenue Share Fraud (IRSF) — мошенничество с разделением доходов от международного трафика. В таких схемах преступники незаконно получают доступ к международным премиальным номерам (IPRN) или целым диапазонам и искусственно наращивают объем звонков и SMS на эти номера.
Механика проста: оператор, инициирующий звонок или SMS, платит терминационный сбор оператору, на сети которого «заканчивается» соединение. Для высокодоходных направлений этот сбор особенно велик. Часть этого дохода по договору разделяется с владельцем диапазона номеров. Злоумышленники либо сами контролируют такие диапазоны, либо действуют в сговоре с локальными операторами и получают свою долю от терминационных платежей.
Исследователи зафиксировали как минимум 35 телефонных номеров в 17 странах, задействованных в текущей IRSF‑кампании. Номера регистрируются преимущественно в странах с высокими терминационными тарифами или слабым регулированием, в частности в Азербайджане, Казахстане и отдельных премиальных диапазонах в Европе.
Фальшивая CAPTCHA как инструмент социальной инженерии
Жертвы попадают на поддельную страницу с CAPTCHA через коммерческие системы распределения трафика (TDS). Вместо привычного ввода символов пользователю предлагают «подтвердить, что он человек», отправив SMS на указанный номер. После первого шага запускается многоступенчатый псевдо‑процесс «верификации», где каждый этап автоматически формирует новое SMS на очередной набор номеров.
На мобильных устройствах (Android и iOS) страница с помощью JavaScript и специальных URL‑схем программно открывает стандартное SMS‑приложение с уже подставленными номерами и текстом сообщения. Пользователь видит «обычное» SMS, нажимает «Отправить» — и, как правило, не замечает, что таким образом отправляет сообщения сразу на множество международных направлений.
По оценке Infoblox, за четыре шага фальшивой CAPTCHA может быть отправлено до 60 SMS на 15 уникальных номеров, что в среднем оборачивается примерно 30 долларами дополнительных расходов для одной жертвы. При этом каждая сформированная «CAPTCHA‑реплика» содержит преднастроенный список из десятков номеров, поэтому пользователь оплачивает не одно SMS, а сразу целый пакет международных сообщений.
Схема усиливается эффектом отложенного биллинга: международные SMS‑услуги нередко появляются в счете только через несколько недель. К этому моменту большинство пользователей уже не связывают неожиданные списания со случайным посещением сомнительного сайта.
Роль трафик‑дистрибуционных систем (TDS)
Ключевая особенность кампании — сочетание классического IRSF и злоупотребления системами распределения трафика (Traffic Distribution System, TDS), которые обычно используются в онлайн‑маркетинге для условной маршрутизации посетителей по разным лендингам. В данном случае TDS выполняет сразу несколько функций: маскировку вредоносного трафика, гибкую фильтрацию жертв и высокомасштабную доставку SMS‑скама.
Технические приёмы: cookies, back button hijacking и блокировка выхода
Для контроля «воронки» мошенники активно используют cookies. В них сохраняются параметры прохождения «проверки» (например, значение successRate), на основе которых скрипты решают, что показывать пользователю дальше: продолжение SMS‑цепочки или перенаправление на другую страницу. Если посетитель кажется «неподходящим» (по геолокации, устройству, поведению), его отправляют на иной CAPTCHA‑лендинг, предположительно относящийся к другой мошеннической кампании или даже к иному оператору.
Дополнительно применяется приём back button hijacking. C помощью JavaScript злоумышленники модифицируют историю браузера так, что при нажатии кнопки «Назад» пользователь вновь попадает на ту же поддельную CAPTCHA. Фактически жертва оказывается «запертой» в навигационной петле и часто предпочитает просто завершить сессию, так и не осознав, что цепочка SMS уже была отправлена.
Кому выгодно: ущерб пользователям и операторам связи
Исследователи Infoblox подчеркивают, что операция одновременно наносит ущерб и абонентам, и телеком‑операторам. Пользователи получают неожиданные счета за премиальные международные SMS, при этом источник мошенничества сложно отследить: всё выглядит как «обычные» исходящие сообщения. Операторы связи выплачивают свою долю дохода по схемам разделения выручки и часто вынуждены компенсировать клиентам спорные начисления или принимать на себя убытки по чарджбэкам.
Злоупотребление Keitaro TDS: от SMS‑фрода к крипто‑и инвестиционным скамам
На фоне SMS‑кампании Infoblox совместно с Confiant представили трёхчастное исследование о том, как Keitaro TDS (Keitaro Tracker) систематически используется злоумышленниками. Keitaro — это легитимный self‑hosted инструмент для отслеживания эффективности рекламы и условной маршрутизации трафика. Однако киберпреступники превращают его в «универсальный комбайн»: TDS, трекер и слой маскировки одновременно.
Отдельные группировки применяют краденые или взломанные лицензии Keitaro (как в случае кластера TA2726) для развертывания кампаний по доставке вредоносного ПО, краже криптовалюты и продвижению инвестиционных схем, якобы основанных на искусственном интеллекте и обещающих «гарантированно высокую доходность».
Для привлечения трафика активно используются Facebook Ads, поддельные новостные статьи и deepfake‑видео с псевдо‑одобрением со стороны знаменитостей. Одного из таких операторов исследователи обозначают как FaiKast. По их данным, за четыре месяца (с октября 2025 по январь 2026 года) было зафиксировано более 120 отдельных кампаний, использующих Keitaro TDS для доставки ссылок, и около 226 000 DNS‑запросов к 13 500 связанным доменам.
Около 96% зафиксированного спам‑трафика Keitaro было связано с криптовалютными схемами «wallet‑drainer», распространяемыми под видом airdrop‑акций и розыгрышей, ориентированных на токены AURA, SOL (Solana), кошелек Phantom и DEX‑агрегатор Jupiter. После ответственного уведомления Keitaro заблокировал более десятка учетных записей, связанных с подобной активностью, однако злоупотребления TDS‑платформами остаются устойчивым трендом.
Раскрытая кампания IRSF ещё раз показывает, насколько опасны сочетания социальной инженерии, злоупотребления рекламными и TDS‑платформами, а также малоочевидных телеком‑механизмов вроде терминационных сборов. Пользователям имеет смысл никогда не отправлять SMS по требованию случайного сайта, регулярно проверять детализацию счетов и при возможности ограничивать премиальные услуги у оператора. Бизнесу и провайдерам связи важно внедрять поведенческий анализ трафика, мониторинг DNS и аномалий по международным направлениям, а также оперативно обмениваться информацией об инцидентах. Осведомленность о подобных схемах и проактивный контроль остаются ключевыми инструментами снижения рисков телеком‑фрода.
