偽のCAPTCHA詐欺――ちょっとしたクリックが法外な電話料金につながる |Malwarebytes

研究者らは、偽のCAPTCHAページを利用してモバイルユーザーを騙し、バックグラウンドで数十通もの国際SMSメッセージを送信させるという、長期間にわたる攻撃の手口を明らかにした。

今日のウェブを少しでも利用したことがある人なら、CAPTCHAは単なる雑音のように感じられるかもしれません。信号機のようなアイコンをいくつかクリックして、自分が人間であることを証明し、さっさと先に進む――そんなものです。詐欺師たちは、この仕組みを悪用する方法を学び、ClickFixキャンペーンを通じて被害者を誘い込み、自らの端末にマルウェアを感染させる手口を使っています。

しかし最近、研究者たちは、「人間であることを証明してください」という要求が、知らぬ間に「国際電話料金を膨らませる」行為へと変貌してしまうという新たな手口を発見した。この研究では、「国際収益分配詐欺（IRSF）」と呼ばれる手口について解説している。SMSポンピング詐欺とも呼ばれるIRSFは、国際通話やSMS通信の複雑な料金体系を悪用し、特定の宛先へのメッセージ送信量を水増しすることで収益を得ようとするものである。

この手口は、被害者の端末にマルウェアをインストールするのではなく、通信料金の請求システムやアフィリエイトネットワークの仕組みを悪用し、通常のウェブトラフィックをサイバー犯罪者のための有料SMS収入に変えてしまうものです。

仕組み

この詐欺の手口は、一般的に次のような流れになります：

被害者は、マルウェア広告やTDSによるリダイレクト（多くの場合、タイポスクワッティングされた通信事業者のドメインを経由して）により、一見すると単純な画像選択型やクイズ形式のCAPTCHAのように見えるページに誘導されます。
「続行」するには、あらかじめメッセージと受信者リストが入力された状態でSMSアプリが開くボタンをタップするよう促されます。
これは、1つの電話番号に1通のSMSを送信するだけの話ではありません。この偽のCAPTCHAは複数の段階を経て実行され、各メッセージには、アゼルバイジャン、ミャンマー、エジプトなど、着信料が高いことで知られる17カ国の10数以上の国際電話番号があらかじめ設定されています。

一般的な一般向けプランの場合、これは1人あたり約30ドルの国際SMS料金に相当し、その一部は収益分配契約を通じて攻撃者に還元されることになる。

ユーザーが単にページを閉じて離脱するのを防ぐため、これらのページでは専用の「戻るボタン乗っ取り」機能が実装されています。ユーザーがページを離れようとすると、JavaScriptがブラウザの履歴を書き換え、再び詐欺ページに戻される仕組みになっています。また、研究者らは、このキャンペーンが「あらゆる種類のトラフィックを許可」し、キャリア決済を宣伝するClick2SMS型のアフィリエイトネットワークに組み込まれていることを突き止めました。これにより、IRSFは実質的に、悪質なパブリッシャー向けの新たな収益化手段として提供されているのです。

この手口は、個人と通信事業者の双方を騙すものです。被害者は請求書に予期せぬプレミアムSMS料金が請求され、その原因を突き止めるのに苦労する可能性があります。通信事業者は犯行グループに収益分配金を支払うほか、顧客とのトラブルやチャージバックによる損失を負担せざるを得ない場合があります。