Les recherches d'Infoblox sur une fraude téléphonique sophistiquée Faux CAPTCHAs et les systèmes de distribution du trafic (TDS) révèlent une arnaque multicouche qui non seulement trompe l'utilisateur final, mais exploite les règles commerciales des opérateurs mobiles pour profiter de l'expédition massive de SMS internationaux à haut taux.
Dans sa forme opérationnelle, l'escroquerie redirige les victimes de publicités malveillantes ou de liens vers des pages qui simulent des vérifications humaines; ces pages orchestrent une chaîne d'actions qui est prévue pour ouvrir l'application de messagerie de l'appareil avec des messages et des numéros précomplétés, conduisant à l'envoi de dizaines de SMS à des numéros à coût élevé situés dans plusieurs pays. Infoblox détecté 35 numéros dans 17 pays et les flux qui peuvent causer l'envoi de jusqu'à 60 messages après plusieurs «vérifications», une situation qui peut être traduite en charges qui, bien que modeste par utilisateur (par exemple ~ 30 USD), sont très rentables s'ils se multiplient à grande échelle.
Ce qui rend cette campagne particulièrement dangereuse est la convergence de deux techniques: le classique Fraude de la part du revenu international (IRSF) qui exploite les accords de résiliation et de partage des revenus entre opérateurs, et l'utilisation abusive des plateformes de suivi / TDS comme Keitaro pour distribuer, camoufler et étendre les liens malveillants. En fonctionnant comme couche de captation et de redirection, le TDS évite la détection précoce et permet aux opérateurs d'escroquerie de faire pivoter les numéros et les messages pour maximiser les revenus avant d'être bloqués.
L'abus de TDS facilite également la réutilisation de l'infrastructure légitime (serveurs Keitaro, comptes de suivi) à de multiples fins malveillantes : de l'envoi de malwares aux escroqueries d'investissement et au drainage des cryptomonédas, souvent amplifiés par des publicités payantes et des techniques d'ingénierie sociale qui incluent des faucons profonds et des faux articles. Le gendarme et d'autres fournisseurs ont documenté comment ces plateformes peuvent être achetées ou exploitées avec des licences compromises, en faisant un outil tout-en-un pour les campagnes à grande échelle.
Les implications sont doubles : d'une part, les utilisateurs souffrent de charges inattendues sur leurs factures qui apparaissent souvent des semaines plus tard et sont difficiles à relier à une visite en temps opportun d'un site Web; les opérateurs supportent les coûts des terminaisons et sont confrontés à des litiges et des restitutions; alors qu'une partie du paiement a fini entre les mains des fraudeurs par des accords de livraison avec les administrateurs de numéros de prime.
Comme mesures immédiates, les utilisateurs doivent prendre une attitude préventive : ne pas interagir avec les fenêtres émergentes qui demandent de « confirmer avec un SMS », fermer le navigateur (pas seulement appuyer sur le retour) si une page semble insistante, examiner et désactiver les autorisations inutiles de sorte que les liens ne lancent pas des applications de messagerie sans leur consentement, et utiliser des scripts et des annonces qui réduisent la probabilité d'être redirigés. Il est également recommandé d'examiner la facture mobile en détail et de contester les frais suspects avec l'exploitant dès que possible.
Les entreprises et les opérateurs mobiles devraient améliorer la détection des tendances anormales de terminaison, partager les indicateurs d'engagement entre les transporteurs et avec les organismes de réglementation, et appliquer des blocs ou des limites de prévention pour les zones géographiques à haut risque. En outre, les fournisseurs de solutions de suivi et de SDT devraient renforcer les contrôles d'utilisation, authentifier les clients et surveiller les abus de licence afin d'empêcher que leurs produits deviennent des plateformes de fraude.
Pour ceux qui gèrent la publicité en ligne, il est essentiel d'auditer les campagnes et les partenaires, exiger la transparence dans la chaîne de redirection et bloquer les créativités ou les domaines qui rediriger vers les flux suspects. Les plateformes publicitaires devraient accélérer la détection d'annonces qui promeuvent des systèmes avec des promesses irréelles (p. ex. fausses gouttes d'air ou retours garantis par l'IA) et limiter l'utilisation de nouveaux comptes non vérifiés.
Cette menace montre que même les vieilles techniques comme l'IRSF évoluent lorsqu'elles sont combinées à des outils de distribution modernes et à une ingénierie sociale bien adaptée. Pour un contexte plus technique sur la nature de la fraude et des abus de TDS, voir le travail d'Infoblox et l'analyse des fournisseurs de sécurité: Infoblox, Confesseur et documentation sur le phénomène IRSF en général Wikipédia.
En bref, la protection exige une action coordonnée: les utilisateurs doivent réduire leur exposition et réagir rapidement aux charges suspectes; les opérateurs doivent améliorer les politiques de surveillance et de partage des recettes; et les plateformes de publicité et de suivi doivent renforcer les contrôles d'accès pour empêcher que leurs services ne soient recyclés dans des campagnes frauduleuses à grande échelle. Sans une telle coordination, ces escroqueries resteront rentables et persistantes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...