- Investigadores de Infoblox revelan una estafa de captcha de larga duración que atrae a las víctimas a enviar costosos mensajes SMS internacionales
- Las víctimas pueden, sin saberlo, enviar docenas de mensajes de texto e incurrir en cargos, mientras que los atacantes se benefician compartiendo los ingresos de las telecomunicaciones.
- La defensa es simple: no envíes un mensaje de texto para demostrar que “eres el hombre”.
Los captchas falsos no consisten sólo en copiar y pegar enlaces a malware: también pueden consistir en enviar un SMS a un número internacional y cobrar el importe total por el privilegio.
Los investigadores de seguridad de Infoblox publicaron recientemente un informe detallado sobre un tipo de estafa de captcha “no reportada”.
Esta campaña en particular ha estado activa desde al menos junio de 2020 y engaña a las personas para que envíen mensajes SMS mediante ingeniería social y secuestro del botón Atrás del navegador. Durante su investigación, encontraron 35 números de teléfono en 17 países diferentes.
El artículo continúa a continuación.
Múltiples mensajes SMS
“El CAPTCHA falso tiene múltiples pasos, y cada mensaje generado por el sitio está preconfigurado con más de una docena de números de teléfono, lo que significa que a las víctimas no se les cobra por un solo mensaje, sino que se les cobra por enviar SMS a más de 50 destinos internacionales”, escribieron los investigadores David Bransdon y Darby Wise en su informe.
Agregaron que una de las razones por las que este tipo de estafa no se denuncia en gran medida es probablemente debido a la facturación tardía. Los cargos por SMS internacionales son un problema sólo unas semanas después, cuando llega la factura, y para entonces, “la experiencia con captchas falsos ya está olvidada”.
Otra parte importante del esfuerzo es el Sistema de Distribución de Tráfico (TDS) malicioso, que redirige a las víctimas a estas páginas de destino.
Así es como funciona: un TDS comercial redirige a la víctima a un sitio web malicioso que requiere que la persona “verifique que es humana” enviándole un SMS. Cuando la víctima toca el botón, la página utiliza las funciones móviles integradas para abrir la aplicación de SMS con el número y el mensaje ya completados. Los atacantes alquilan los números
Luego, el proceso continúa y cada paso posterior solicita otra “confirmación”, lo que genera múltiples mensajes SMS a diferentes números. En el proceso, las víctimas pueden enviar hasta 60 mensajes SMS a 15 números diferentes, acumulando costos de hasta 30 dólares. Puede que no parezca mucho, pero es un juego de grandes números: con miles de usuarios siendo víctimas, las estadísticas se acumulan rápidamente.
Tanto los usuarios finales como las empresas de telecomunicaciones son víctimas de esta campaña, concluyó Infoblox. Los usuarios, por razones obvias, y las empresas de telecomunicaciones, proporcionan una participación en los ingresos a los delincuentes, además de recoger las devoluciones de cargo y las solicitudes de reembolso de los clientes.
Pero protegerse contra las estafas es fácil. “Desafortunadamente, hay que decirlo”, insistió Infoblox. “No envíes un mensaje de texto para asegurarte de que eres humano”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
