Säkerhetsföretaget Infoblox har avslöjat ett bedrägeri som pågått sedan åtminstone juni 2020, där falska CAPTCHA-sidor används för att lura mobilanvändare att skicka dyra internationella SMS. Metoden kallas IRSF (International Revenue Share Fraud) och har tyst tömt bankkonton i flera år.

Så fungerar bedrägeriet

Attacken börjar när en person råkar besöka en felstavad domän som liknar ett känt telekomvarumärke. Därifrån leds offret genom ett komplext omdirigeringssystem (TDS) till en falsk CAPTCHA-sida.

Istället för en vanlig verifieringskontroll ställer sidan enkla frågor om enhetstyp (iOS eller Android) eller nätverkshastighet (4G eller WiFi). Varje gång offret klickar på ett svar triggas en JavaScript-funktion som öppnar telefonens SMS-app med ett förskrivet meddelande och en lång lista internationella telefonnummer.

När den fyra steg långa "verifieringen" är klar kan offret ha skickat upp till 60 meddelanden till över 50 destinationer. Meddelandena går till 35 telefonnummer i 17 olika länder med höga termineringsavgifter, som Azerbajdzjan, Kazakstan och Myanmar.

Offret fastnar i en loop

För att hindra offret från att lämna sidan använder bedragarna en teknik som kallas "back button hijacking". Genom att manipulera webbläsarhistoriken fastnar användaren i en loop. Trycker man på bakåtknappen laddas bara bedrägerisidan om igen.

Google har nyligen klassat den här tekniken som en "skadlig metod" och planerar att straffa sajter som använder den från och med juni 2026.

Svårt att upptäcka

Kostnaderna, som kan uppgå till 30 dollar eller mer per session, dyker ofta inte upp på telefonräkningen förrän flera veckor senare. Då har offret troligen glömt bort vilken webbplats som orsakade skadan.

Vem ligger bakom?

Infoblox kopplar aktiviteten till en affiliate inom ett europeiskt Click2SMS-nätverk som använder infrastruktur på AS15699 (Adam Ecotech). Samma system som tidigare använts för att sprida skadlig kod och skrämselprogram används nu för att industrialisera telefonbedrägeri.

Kom ihåg: en riktig säkerhetskontroll kommer aldrig be dig skicka ett SMS för att bevisa din identitet.