A pesquisa publicada pelo Infoblox sobre uma fraude telefônico sofisticada que combina CAPTCHAs Falsos e sistemas de distribuição de tráfego (TDS) revela uma fraude com várias camadas que não só engana o usuário final, mas explora as regras de negócio dos operadores móveis para lucrar com o envio massivo de SMS internacionais de tarifa elevada.
Em sua forma operacional, a fraude redireccione vítimas de anúncios ou links maliciosos para páginas que simulam verificações humanas; estas páginas orquestram uma cadeia de ações que abre de forma programada a aplicação de mensagens do dispositivo com mensagens e números pré-completados, provocando o envio de dezenas de SMS para números de alto custo localizados em múltiplos países. Infoblox detectou até 35 números em 17 países e fluxos que podem provocar o envio de até 60 mensagens após várias “verificações”, situação que pode traduzir-se em cargos que, embora modestos por usuário (por exemplo, ~30 USD), são altamente rentáveis se multiplicam em grande escala.
O que torna especialmente perigoso esta campanha é a convergência de duas técnicas: a clássica International Revenue Share Fraud (IRSF), que explora acordos de terminação e distribuição de receitas entre operadores, e o mau uso de plataformas de tracking/TDS como Keitaro para distribuir, camuflar e escalar ligações maliciosos. Ao funcionar como uma camada de cloaking e redireccionamento, o TDS evita a detecção precoce e permite que operadores de fraudes rotem números e mensagens para maximizar receitas antes de serem bloqueados.
O abuso de TDS também facilita que atores reutilizem infra-estruturas legitimadas (servidores Keitaro, contas de rastreamento) para múltiplos fins maliciosos: desde o envio de malware até fraudes de investimento e drenado de criptomoedas, muitas vezes amplificadas por anúncios pagos e técnicas de engenharia social que incluem deepfakes e artigos falsos. Confiant e outros fornecedores documentaram como essas plataformas podem ser compradas ou exploradas com licenças comprometidas, transformando-as em uma ferramenta toda-em-uno para campanhas em larga escala.
As implicações são duplas: por um lado, os usuários sofrem acusações inesperadas em suas contas que muitas vezes aparecem semanas depois e são difíceis de relacionar com uma visita pontual a uma página web; por outro lado, As operadoras suportam custos pelas terminações e enfrentam disputas e reembolsos Enquanto uma porção do pagamento acabou nas mãos dos defraudadores através de acordos de distribuição com administradores dos números premium.
Como medidas imediatas, os usuários devem adotar uma atitude preventiva: não interagir com janelas emergentes que pedem “confirmar com um SMS”, fechar o navegador (não apenas carregar em trás) se uma página parece insistente, rever e desativar permissões desnecessárias para que links não lancem aplicativos de mensagens sem seu consentimento, e usar bloqueadores de scripts e anúncios que reduzam a probabilidade de serem redirecionados. É recomendável também rever a factura móvel com detalhes e disputar acusações suspeitas com a operadora quanto antes.
As empresas e os operadores móveis devem melhorar a detecção de padrões de terminação anormais, partilhar indicadores de compromisso entre os carriers e as agências reguladoras, e aplicar bloqueios preventivos ou limites para níveis geográficos de alto risco. Além disso, os fornecedores de soluções de tracking e TDS devem reforçar controlos de uso, autenticar clientes e monitorar o abuso de licenças para evitar que seus produtos sejam transformados em plataformas de fraude.
Para aqueles que gerem publicidade online, é fundamental auditar campanhas e parceiros, exigir transparência na cadeia de direcionamento e bloquear criatividades ou domínios que redireccionem fluxos suspeitos. As plataformas publicitárias devem acelerar a detecção de anúncios que promovam esquemas com promessas irrealistas (por exemplo, airdrops falsos ou rentabilidades garantidas por IA) e limitar o uso de contas novas não verificadas.
Esta ameaça demonstra que mesmo técnicas antigas como o IRSF evoluem quando se combinam com ferramentas modernas de distribuição e com engenharia social bem afinada. Para mais contexto técnico sobre a natureza da fraude e do abuso de TDS, consultar o trabalho do Infoblox e as análises de provedores de segurança: Infoblox, Confiant, e documentação sobre o fenômeno IRSF em geral em Wikipédia.
Em suma, a protecção exige acções coordenadas: os utilizadores devem reduzir a sua exposição e reagir rapidamente a acusações suspeitas; os operadores devem melhorar a monitorização e as políticas de distribuição de rendimentos; e as plataformas publicitárias e de rastreamento devem endurecer controlos de acesso para impedir que os seus serviços sejam reciclados em campanhas fraudulentas em larga escala. Sem essa coordenação, este tipo de fraudes continuará a ser rentável e persistente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...