Infoblox's Forschung zu einem ausgeklügelten Telefonbetrug, der Fake CAPTCHAs und Verkehrsverteilungssysteme (TDS) zeigt einen mehrschichtigen Betrug, der nicht nur den Endbenutzer täuscht, sondern die Geschäftsregeln von mobilen Betreibern ausnutzt, um von der Massenverbringung von hochpreisigen internationalen SMS zu profitieren.
In seiner operativen Form leitet der Betrug die Opfer von böswilligen Anzeigen oder Links zu Seiten um, die menschliche Verifikationen simulieren; diese Seiten orchestrieren eine Kette von Aktionen, die die Messaging-Anwendung des Geräts mit vorgefertigten Nachrichten und Zahlen öffnen, was zum Senden von Dutzenden von SMS zu hochpreisigen Zahlen in mehreren Ländern. Infoblox entdeckt 35 Ausgaben in 17 Ländern und Ströme, die das Senden von bis zu 60 Nachrichten nach mehreren "Verifications" verursachen können, eine Situation, die in Gebühren übersetzt werden kann, die, obwohl bescheiden pro Benutzer (z.B. ~ 30 USD), sind sehr kostengünstig, wenn sie sich in großem Umfang multiplizieren.
Was diese Kampagne besonders gefährlich macht, ist die Konvergenz zweier Techniken: der Klassiker International Revenue Share Fraud (IRSF) die Kündigungs- und Einkommensverteilungsvereinbarungen zwischen den Betreibern ausnutzt, und den Missbrauch von Tracking / TDS-Plattformen wie Keitaro, um schädliche Links zu verbreiten, zu tarnen und zu skalieren. Durch den Betrieb als Umschlingungs- und Umleitungsschicht vermeidet das TDS eine frühzeitige Erkennung und ermöglicht es den Betrugsbeteiligten, Zahlen und Nachrichten zu drehen, um den Umsatz zu maximieren, bevor sie blockiert werden.
TDS-Missbrauch erleichtert es auch den Akteuren, legitime Infrastruktur (Keitaro-Server, Tracking-Konten) für mehrere schädliche Zwecke wiederzuverwenden: vom Senden von Malware zu Investment Betrug und Entleeren von Kryptomonedas, oft verstärkt durch bezahlte Anzeigen und Social Engineering-Techniken, die Deepfakes und gefälschte Elemente. Constable und andere Anbieter haben dokumentiert, wie diese Plattformen mit kompromittierten Lizenzen erworben oder genutzt werden können, was sie zu einem All-in-One-Tool für groß angelegte Kampagnen macht.
Die Auswirkungen sind doppelt: zum einen Benutzer erleiden unerwartete Gebühren auf ihren Rechnungen, die oft Wochen später erscheinen und schwierig sind, sich auf einen zeitnahen Besuch einer Website zu beziehen; auf der anderen Seite Betreiber tragen Kosten für Kündigungen und Streitigkeiten und Erstattungen während ein Teil der Zahlung endete in den Händen der Betrüger durch Lieferverträge mit Premium-Nummer Administratoren.
Als unmittelbare Maßnahmen müssen die Nutzer eine präventive Haltung einnehmen: nicht mit aufstrebenden Fenstern interagieren, die fragen, "bestätigen Sie mit einer SMS", schließen Sie den Browser (nicht nur drücken Sie zurück), wenn eine Seite scheinbar widersprüchlich, überprüfen und deaktivieren unnötige Berechtigungen, so dass Links nicht starten Messaging-Anwendungen ohne ihre Zustimmung, und verwenden Skripte und Anzeigen, die die die Wahrscheinlichkeit der Umleitung reduzieren. Es wird auch empfohlen, die mobile Rechnung im Detail zu überprüfen und verdächtige Gebühren mit dem Betreiber so schnell wie möglich zu bestreiten.
Unternehmen und Mobilfunkbetreiber sollten die Erkennung von abnormen Kündigungsmustern verbessern, Verpflichtungsindikatoren zwischen Luftfahrtunternehmen und Regulierungsbehörden teilen und präventive Blöcke oder Grenzen für hochrisikoreiche geographische Reichweiten anwenden. Darüber hinaus sollten Anbieter von Tracking- und TDS-Lösungen die Nutzungskontrollen stärken, Kunden authentifizieren und den Missbrauch von Lizenzen überwachen, um zu verhindern, dass ihre Produkte Betrugsplattformen werden.
Für diejenigen, die Online-Werbung verwalten, ist es der Schlüssel zu Audit-Kampagnen und Partnern, fordern Transparenz in der Umleitungskette und Block Creativities oder Domains, die auf verdächtige Ströme umleiten. Werbeplattformen sollten die Erkennung von Anzeigen beschleunigen, die Programme mit unrealen Versprechen (z.B. falsche Airdrops oder von IA garantierte Rücksendungen) fördern und die Verwendung von neuen nicht zertifizierten Konten begrenzen.
Diese Bedrohung zeigt, dass sich selbst alte Techniken wie das IRSF in Kombination mit modernen Vertriebswerkzeugen und gut abgestimmten Social Engineering entwickeln. Für mehr technische Zusammenhänge über die Art von TDS-Betrug und Missbrauch, siehe die Arbeit von Infoblox und die Analyse von Sicherheitsanbietern: Infoblox, Verwalter und Dokumentation des IRSF-Phänomens im Allgemeinen Wikipedia.
Kurz gesagt, Schutz erfordert koordinierte Maßnahmen: Benutzer müssen ihre Exposition reduzieren und schnell auf verdächtige Gebühren reagieren; Betreiber müssen die Überwachungs- und Einkommensverteilungspolitik verbessern; und Werbe- und Tracking-Plattformen müssen die Zugangskontrollen verschärfen, um zu verhindern, dass ihre Dienste in großen Betrugskampagnen wiederverwertet werden. Ohne diese Koordinierung bleiben solche Betrugsfälle wirtschaftlich und anhaltend.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...