Wprowadzenie do problemu / definicja
Cyberprzestępcy coraz częściej łączą socjotechnikę z infrastrukturą reklamową oraz mechanizmami przekierowań, aby monetyzować ruch ofiar na dużą skalę. Najnowsze analizy pokazują dwa istotne zjawiska: fałszywe strony CAPTCHA, które nakłaniają użytkowników do wysyłania kosztownych wiadomości SMS, oraz nadużywanie platformy Keitaro TDS do kierowania ofiar do oszustw inwestycyjnych, kampanii kryptowalutowych i innych szkodliwych treści.
To wyraźny przykład ewolucji współczesnej cyberprzestępczości, w której kluczową rolę odgrywa już nie tylko sam złośliwy kod, ale również precyzyjne zarządzanie ruchem, profilowanie użytkowników i ukrywanie właściwego celu ataku.
W skrócie
Badacze opisali kampanię typu International Revenue Share Fraud, w której ofiara trafia na fałszywą stronę CAPTCHA i otrzymuje polecenie wysłania SMS-a w celu rzekomego potwierdzenia, że jest człowiekiem. W praktyce mechanizm może prowadzić do wygenerowania wielu wiadomości do numerów premium lub numerów międzynarodowych, co skutkuje dodatkowymi kosztami dla użytkownika i zyskiem dla operatorów oszustwa.
Równolegle ujawniono szeroką skalę nadużyć platformy Keitaro TDS. Narzędzie to było wykorzystywane do warunkowego przekierowywania ofiar do phishingu, fałszywych inwestycji opartych rzekomo na AI oraz kampanii typu wallet drainer wymierzonych w użytkowników kryptowalut. W analizowanym okresie zidentyfikowano ponad 120 odrębnych kampanii wykorzystujących taką infrastrukturę.
Kontekst / historia
Schemat IRSF od lat jest znany w branży telekomunikacyjnej. Tradycyjnie polegał na sztucznym generowaniu połączeń lub wiadomości do numerów, z których część opłat wracała do organizatorów nadużycia w modelu revenue sharing. Obecnie technika ta przeszła istotną transformację i coraz częściej wykorzystuje przeglądarkę internetową, urządzenia mobilne oraz interfejsy systemowe do wywoływania płatnych działań po stronie użytkownika.
W analizowanej kampanii aktywność miała trwać co najmniej od czerwca 2020 roku. Badacze powiązali ją z numerami telefonicznymi z wielu państw, w tym z regionów charakteryzujących się wysokimi opłatami za zakańczanie ruchu lub słabszym nadzorem regulacyjnym. Atak wymierzony był jednocześnie w użytkowników końcowych oraz operatorów telekomunikacyjnych.
Drugi istotny wątek dotyczy platform typu Traffic Distribution System. Takie rozwiązania powstały z myślą o legalnym marketingu, analityce kampanii i segmentacji ruchu. Jednak ich funkcje, takie jak filtrowanie użytkowników, reguły warunkowe i cloaking, są wyjątkowo atrakcyjne również dla cyberprzestępców, ponieważ pozwalają skutecznie ukrywać właściwy cel kampanii i utrudniać jej analizę.
Analiza techniczna
Atak z użyciem fałszywego CAPTCHA zwykle rozpoczyna się od przekierowania użytkownika do spreparowanej strony za pośrednictwem komercyjnego lub nadużywanego systemu TDS. Ofiara widzi komunikat sugerujący konieczność wykonania prostego testu weryfikacyjnego, ale zamiast standardowego pola wyboru otrzymuje instrukcję wysłania wiadomości SMS.
Kluczowym elementem oszustwa jest automatyzacja. Strona może otwierać aplikację SMS na urządzeniu mobilnym z predefiniowanym numerem i treścią wiadomości. Proces bywa powtarzany wieloetapowo, dzięki czemu pojedyncza sesja może skutkować nie jedną, lecz wieloma wiadomościami wysłanymi do różnych numerów. Według ustaleń badaczy cztery etapy fałszywej weryfikacji mogły prowadzić do wysłania nawet kilkudziesięciu SMS-ów do kilkunastu unikalnych numerów.
Kampania wykorzystywała również ciasteczka do śledzenia postępu użytkownika i sterowania kolejnymi krokami scenariusza. Parametry zapisane po stronie przeglądarki decydowały o tym, czy ofiara pozostanie w danym łańcuchu weryfikacyjnym, czy zostanie przekierowana do innej wersji strony. To znacząco utrudnia analizę incydentu, ponieważ przebieg zdarzeń może się różnić pomiędzy użytkownikami.
Dodatkowym mechanizmem była manipulacja historią przeglądarki, określana jako back button hijacking. Kod JavaScript modyfikował zachowanie nawigacji tak, aby próba opuszczenia strony przyciskiem wstecz prowadziła ponownie do fałszywego CAPTCHA. W efekcie ofiara mogła utknąć w pętli, która zwiększała prawdopodobieństwo wykonania sugerowanych działań.
W przypadku Keitaro TDS problem nie wynika z jednej konkretnej podatności, lecz z funkcjonalności samej platformy. System umożliwia tworzenie warunkowych reguł przekierowań, śledzenie parametrów kampanii, filtrowanie użytkowników oraz ukrywanie właściwej treści przed moderatorami reklam, analitykami i systemami bezpieczeństwa. W rękach przestępców taki zestaw cech staje się wydajnym narzędziem dystrybucji oszustw na dużą skalę.
Z analiz wynika, że od października 2025 do stycznia 2026 zidentyfikowano ponad 120 kampanii nadużywających Keitaro do dostarczania złośliwych lub oszukańczych treści. Telemetria DNS obejmowała setki tysięcy zapytań związanych z tysiącami domen. Szczególnie aktywne były kampanie promujące oszustwa kryptowalutowe, w tym fałszywe airdropy, giveawaye i strony wyłudzające dostęp do portfeli.
Konsekwencje / ryzyko
Najbardziej bezpośrednią konsekwencją kampanii IRSF są nieautoryzowane koszty po stronie użytkownika. Problem jest szczególnie groźny, ponieważ opłaty za międzynarodowe SMS-y mogą pojawić się z opóźnieniem, a sama interakcja z fałszywą stroną bywa postrzegana jako zwykła procedura weryfikacyjna.
Ryzyko obejmuje również operatorów telekomunikacyjnych uczestniczących w modelach rozliczeń międzyoperatorskich. W przypadku reklamacji klientów, sporów rozliczeniowych i nadużyć część strat może zostać przeniesiona na podmioty infrastrukturalne. Oznacza to, że kampania obciąża jednocześnie użytkownika końcowego i cały ekosystem telekomunikacyjny.
Nadużycia TDS generują z kolei szersze ryzyko dla cyberbezpieczeństwa. Tego rodzaju infrastruktura zwiększa skuteczność phishingu, oszustw inwestycyjnych i kampanii kryptowalutowych, ponieważ pozwala dynamicznie dobierać ofiarę na podstawie lokalizacji, urządzenia, źródła ruchu czy pory dnia. To utrudnia wykrywanie przez klasyczne filtry URL i systemy reputacyjne, które często rejestrują jedynie stronę pośrednią.
Z perspektywy organizacji oznacza to rosnące ryzyko obejścia zabezpieczeń na styku sieci, reklamy i ruchu webowego. Dla użytkowników indywidualnych zagrożenie wykracza poza same rachunki telefoniczne i może obejmować utratę środków w portfelach kryptowalutowych, kradzież danych, a nawet dalsze infekcje malware.
Rekomendacje
Organizacje powinny traktować strony wymuszające interakcję z aplikacją SMS, komunikatami systemowymi lub nietypowymi mechanizmami CAPTCHA jako sygnał wysokiego ryzyka. W praktyce warto wdrożyć monitorowanie ruchu webowego pod kątem wieloetapowych przekierowań, domen jednorazowych i anomalii związanych z wykorzystaniem TDS.
- Monitorować nietypowe łańcuchy przekierowań HTTP.
- Analizować szybkie rotacje domen i subdomen.
- Wykrywać domeny powiązane z cloakingiem.
- Korelować zdarzenia DNS z ruchem do nowo zarejestrowanych domen.
- Śledzić wzorce kampanii prowadzonych przez reklamy społecznościowe.
W środowiskach mobilnych warto ograniczać możliwość inicjowania kosztownych działań przez przeglądarkę oraz prowadzić regularną edukację użytkowników. Prawidłowe CAPTCHA nie wymagają wysyłania wiadomości SMS ani wykonywania płatnych czynności, dlatego każda taka prośba powinna być traktowana jako potencjalne oszustwo.
Operatorzy i dostawcy usług telekomunikacyjnych powinni rozwijać mechanizmy wykrywania anomalii w ruchu SMS, zwłaszcza krótkotrwałych wzrostów wiadomości kierowanych do zagranicznych numerów o podwyższonym koszcie. Ważne są także procedury szybkiego blokowania zakresów numeracyjnych powiązanych z nadużyciami revenue share fraud.
W kontekście kampanii kryptowalutowych kluczowe pozostaje również:
- blokowanie dostępu do znanych domen wallet drainer,
- ostrzeganie użytkowników przed fałszywymi airdropami i giveawayami,
- analiza reklam i stron docelowych pod kątem cloakingu,
- separacja przeglądania treści reklamowych od środowisk uprzywilejowanych,
- wzmacnianie ochrony DNS i filtracji reputacyjnej.
Podsumowanie
Opisane kampanie pokazują, że współczesna cyberprzestępczość skutecznie łączy oszustwa telekomunikacyjne, socjotechnikę i narzędzia marketingowo-reklamowe. Fałszywe CAPTCHA wykorzystywane do IRSF dowodzą, że nawet pozornie błaha interakcja webowa może prowadzić do realnych strat finansowych.
Z kolei nadużycia Keitaro TDS pokazują, jak legalne technologie mogą zostać przekształcone w warstwę dystrybucji i ukrywania kampanii phishingowych, inwestycyjnych oraz kryptowalutowych. Dla zespołów bezpieczeństwa najważniejszy wniosek jest jasny: sama analiza payloadów już nie wystarcza, a coraz większe znaczenie mają infrastruktura przekierowań, zależności DNS, mechanizmy cloakingu i zachowanie przeglądarki po stronie ofiary.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/fake-captcha-irsf-scam-and-120-keitaro.html
- Inside Keitaro Abuse Part 1: Cloaking AI-Enhanced Scams — https://www.infoblox.com/blog/threat-intelligence/inside-keitaro-abuse-a-persistent-stream-of-ai-driven-investment-scams/
- Inside Keitaro Abuse Part 2: One Platform, Many Threats — https://www.infoblox.com/blog/threat-intelligence/no-reach-no-risk-the-keitaro-abuse-in-modern-cybercrime-distribution/
- Inside Keitaro Abuse Part 3: Trends, Cracked Keys & Response — https://www.infoblox.com/blog/threat-intelligence/patterns-pirates-and-provider-action-what-we-learned-working-with-keitaro/
- International Revenue Share Fraud — https://www.ndss-symposium.org/ndss-paper/international-revenue-share-fraud/