Běžný bezpečnostní prvek, který má ověřit, zda jste člověk, se stal zbraní v rukou kyberzločinců. Experti z Infoblox odhalili masivní, dlouhodobě fungující kampaň, která zneužívá falešné CAPTCHA stránky. Místo vybírání obrázků s přechody nebo semafory vás však donutí odeslat desítky mezinárodních SMS. Výsledek? Šokující účet za telefon a tučné zisky pro útočníky.
Ověřování pomocí CAPTCHA zná každý uživatel internetu. Kliknutí na políčko „Nejsem robot“ nebo označování určitých fotografií obsahujících dané prvky bereme jako otravnou rutinu. Bezpečnostní analytici však varují: Nikdy neposílejte SMS zprávu, abyste dokázali, že jste člověk.
Nová zpráva detailně popisuje propracované schéma známé jako IRSF (International Revenue Share Fraud), tedy podvod s mezinárodním sdílením zisků z telekomunikačního provozu. Útočníci při něm propojili nebezpečné systémy pro distribuci webového provozu (TDS) s klamavým sociálním inženýrstvím. Celá operace podle zjištění běží skrytě už od června 2020.
Jak past na uživatele funguje?
Vše začíná nenápadně, typicky náhodnou návštěvou podvodné domény, která imituje třeba známého telekomunikačního operátora. Jakmile uživatel na takovou stránku vstoupí, systém pro distribuci provozu (TDS) ho přes řetězec přesměrování dovede až na cílovou podvodnou stránku s falešnou CAPTCHA.
Proces „ověření“ probíhá v několika krocích:
Stránka se uživatele zeptá na základní technické detaily (např. zda používá iOS, nebo Android a zda je připojen přes Wi-Fi, nebo mobilní síť).
- Každý krok vyžaduje odeslání předpřipravené SMS zprávy (tzv. Click2SMS), která obsahuje texty jako „Chci pokračovat“ nebo „Nejsem bot, jsem skutečný uživatel“.
- Hlavní trik je v tom, že každá zpráva generovaná webem je na pozadí předem nakonfigurována tak, aby se odeslala na více než tucet mezinárodních telefonních čísel najednou.
- Během kompletního průchodu tímto falešným ověřením může zařízení oběti na pozadí odeslat až 60 SMS zpráv do více než 50 mezinárodních destinací. Výzkumníci identifikovali celkem 35 telefonních čísel napříč 17 zeměmi světa. Útočníci záměrně volí destinace s extrémně vysokými poplatky za doručení nebo s laxní regulací – typicky jde o země jako Ázerbájdžán, Egypt, Kazachstán či Myanmar.
Fotogalerie
Účet za 30 dolarů, který zjistíte až za měsíc
Pro jednotlivce může jedno takové kliknutí znamenat okamžitou škodu kolem 30 dolarů. Pro útočníky, kteří na své servery směřují obrovské množství globálního provozu, se však jedná o extrémně lukrativní byznys generující miliony. Podvodníci navíc těží ze dvou zásadních faktorů:
Zpožděné vyúčtování: Poplatky za mezinárodní a prémiové SMS se na účtu od mobilního operátora často objeví až s odstupem několika týdnů. V té chvíli už uživatel dávno zapomněl, že na nějakou falešnou CAPTCHA klikal, a zdroj problému se těžko dohledává.
Back Button Hijacking: Aby oběť ze stránky neutekla, využívají útočníci agresivní JavaScript, který manipuluje s historií prohlížeče. Když se uživatel pokusí kliknout na šipku zpět, skript ho nepustí a načte stránku s podvodem znovu. (Tuto techniku mimochodem Google nedávno označil za škodlivou a zakázal ji).
Mohlo by vás zajímat
Sofistikované cílení a maskování
Analýza kódu odhalila, že podvodné stránky využívají sledovací soubory cookies, přes které zjišťují polohu uživatele, jeho jazyk a poskytovatele internetu. Dokonce vyhodnocují tzv. successRate (míru úspěšnosti). Pokud systém vyhodnotí, že uživatel není pro kampaň ideální obětí, skript ho okamžitě přesměruje na jiný typ podvodu (např. na stránky imitující známé značky, jako je kosmetická firma Lush.
Tato roztříštěnost infrastruktury a využívání desítek čísel v různých zemích způsobuje, že pro jednotlivé telekomunikační operátory je téměř nemožné vidět celý rozsah podvodu. Operátoři tak často musí vracet peníze nespokojeným zákazníkům v rámci reklamací, zatímco podvodné partnerské sítě inkasují své podíly.
Bezpečnostní experti proto apelují na maximální ostražitost: Žádná legitimní služba na internetu po vás nikdy nebude chtít odeslání SMS zprávy k tomu, abyste prokázali, že nejste robot. Pokud se s takovým požadavkem setkáte, okamžitě okno prohlížeče zavřete.
