Міжнародне телеком‑шахрайство за схемою International Revenue Share Fraud (IRSF) вийшло на якісно новий рівень. Дослідники кібербезпеки Infoblox виявили масштабну кампанію, де фальшива CAPTCHA‑перевірка використовується як інструмент прихованого примусу користувача до відправлення дорогих міжнародних SMS на преміальні номери.
Як працює міжнародне SMS‑шахрайство IRSF
IRSF базується на зловживанні міжнародними преміальними номерами (IPRN) і механізмом розподілу доходів від міжнародного трафіку. Коли абонент надсилає SMS або здійснює дзвінок за кордон, його оператор сплачує термінаційний збір оператору в країні призначення. Для окремих напрямків цей тариф штучно завищений, а дохід ділиться між оператором і власником пулу номерів.
У описаній кампанії зловмисники або напряму контролюють такі діапазони номерів, або співпрацюють з локальними провайдерами. Кампанія, за даними Infoblox, активна щонайменше з червня 2020 року; зафіксовано щонайменше 35 номерів у 17 країнах, переважно в юрисдикціях з високими термінаційними тарифами або слабким регулюванням — зокрема в Азербайджані, Казахстані та окремих європейських преміальних діапазонах.
Фальшива CAPTCHA: соціальна інженерія замість вірусів
Користувачі потрапляють на підроблену сторінку з фальшивою CAPTCHA через комерційні Traffic Distribution System (TDS), які зазвичай застосовуються в онлайн‑маркетингу для розподілу трафіку між різними лендингами. Замість класичного введення символів жертві пропонують «підтвердити, що ви людина», відправивши SMS на вказаний номер.
Далі запускається багатокроковий псевдо‑процес верифікації. На кожному етапі скрипти формують нове SMS на черговий набір міжнародних номерів. На смартфонах JavaScript та спеціальні URL‑схеми автоматично відкривають стандартний SMS‑клієнт з уже заповненими отримувачами та текстом. Користувач, вважаючи це звичайним повідомленням, лише натискає «Надіслати» — і, як правило, не помічає, що воно спрямоване одразу на десятки закордонних напрямків.
За оцінкою Infoblox, за чотири кроки фальшивої CAPTCHA може бути відправлено до 60 SMS на 15 унікальних номерів, що в середньому означає близько 30 доларів додаткових витрат для одного абонента. При цьому кожна «репліка CAPTCHA» містить попередньо визначений список номерів, тож користувач фактично оплачує не одне повідомлення, а пакет міжнародних SMS.
Ситуацію ускладнює ефект відкладеного білінгу: у багатьох операторів міжнародні послуги відображаються в рахунку через кілька тижнів. До моменту, коли абонент помічає списання, він уже не пов’язує їх із випадковим відвідуванням сумнівного сайту.
Роль TDS, cookies та back button hijacking у телеком‑фроді
Зловживання трафік‑дистрибуційними системами (TDS)
У цій кампанії TDS‑платформи виконують одразу кілька критичних функцій: маскування шкідливого трафіку, тонку фільтрацію потенційних жертв і масштабну доставку SMS‑скаму. Системи аналізують геолокацію, тип пристрою, джерело переходу і вже на цій основі вирішують, кому показувати фальшиву CAPTCHA, а кого перенаправити на інші шахрайські лендинги.
Cookies і back button hijacking: повний контроль над сесією
Статус проходження «перевірки» зберігається у cookies (зокрема параметри на кшталт successRate). На їх основі скрипти визначають, показувати наступний крок SMS‑ланцюжка чи перенаправляти користувача на інший сценарій. Якщо відвідувач виглядає «нецільовим», його відводять убік — наприклад, на іншу фішингову сторінку.
Додатково застосовується техніка back button hijacking: зловмисники маніпулюють історією браузера так, що натискання кнопки «Назад» знову повертає користувача на ту ж сторінку з CAPTCHA. Фактично людина опиняється в навігаційній «пастці» і часто просто закриває вкладку, не усвідомлюючи, що частина SMS уже була відправлена.
Хто втрачає: користувачі та оператори зв’язку
Для абонентів наслідки міжнародного SMS‑шахрайства IRSF виглядають як необґрунтовані нарахування за звичайні вихідні повідомлення. Відстежити справжнє джерело проблеми складно, адже в деталізації відображаються стандартні SMS на легітимні міжнародні номери.
Оператори зв’язку також зазнають втрат. З одного боку, вони зобов’язані перераховувати свою частку за схемами розподілу доходу, з іншого — змушені йти назустріч клієнтам, списуючи спірні нарахування або приймаючи на себе збитки за чарджбеками. Додаткове навантаження створює й необхідність розслідувати інциденти та посилювати фрод‑моніторинг.
Keitaro TDS: від SMS‑шахрайства до крипто‑ та інвестиційних скамів
Паралельно Infoblox і Confiant проаналізували, як Keitaro TDS (Keitaro Tracker) перетворився на популярний інструмент кіберзлочинців. Спочатку це був легітимний self‑hosted сервіс для трекінгу реклами та умовної маршрутизації трафіку, однак у злочинних руках він став поєднанням TDS, трекера та маскувального шару.
Окремі групи використовують вкрадені або зламані ліцензії Keitaro (як у випадку кластера TA2726) для розгортання кампаній з доставлення шкідливого ПЗ, крадіжки криптовалют і просування псевдо‑інвестиційних продуктів, «заснованих на штучному інтелекті» та гарантованій високій дохідності.
Для залучення трафіку активно застосовуються Facebook Ads, фейкові новинні статті та deepfake‑відео з нібито схвальними відгуками від відомих осіб. Дослідники виділяють одного з таких операторів під назвою FaiKast: за чотири місяці (з жовтня 2025 по січень 2026 року) було виявлено понад 120 окремих кампаній, що використовували Keitaro TDS, і близько 226 000 DNS‑запитів до 13 500 пов’язаних доменів.
Близько 96% зафіксованого спам‑трафіку Keitaro стосувалося криптовалютних схем типу «wallet‑drainer», замаскованих під airdrop‑акції та розіграші токенів AURA, SOL (Solana), гаманця Phantom і DEX‑агрегатора Jupiter. Після повідомлення з боку дослідників Keitaro заблокував понад десяток облікових записів, але зловживання TDS‑платформами залишаються стійким трендом на ринку телеком‑ та ad‑фроду.
Розкрита кампанія міжнародного SMS‑шахрайства IRSF демонструє, наскільки небезпечним є поєднання соціальної інженерії, зловживання рекламною інфраструктурою і малозрозумілих користувачам телеком‑механізмів. Щоб знизити ризики, користувачам варто ніколи не надсилати SMS за вимогою випадкового сайту, регулярно переглядати деталізацію рахунків і, за можливості, обмежувати преміальні послуги в налаштуваннях у оператора. Бізнесу та провайдерам доцільно впроваджувати поведінковий аналіз трафіку, моніторинг DNS і аномальної міжнародної активності, а також оперативно обмінюватися інформацією про інциденти. Підвищення обізнаності та проактивний контроль залишаються ключовими інструментами протидії сучасному телеком‑фроду.
