كشف خبراء الأمن السيبراني عن أساليب احتيال جديدة تستغل خاصية اختبار “أنا لست برنامج روبوت” (CAPTCHA) الشائعة على الإنترنت، حيث يقوم المحتالون ببناء صفحات ويب مزيفة تدفع المستخدمين unwittingly لإرسال رسائل نصية دولية مدفوعة الثمن. هذه الممارسات تندرج ضمن مخططات احتيال إيرادات المشاركة الدولية (IRSF)، والتي تم رصدها منذ عام 2020.
تعتمد هذه الهجمات على جذب المستخدمين إلى مواقع تبدو وكأنها صفحات تحقق شرعية. بدلاً من تقديم اختبار CAPTCHA المعتاد، تطالب هذه الصفحات المزيفة المستخدمين بإرسال رسالة نصية قصيرة كإثبات للبشرية. لكن هذه الرسائل لا تذهب إلى وجهات طبيعية، بل إلى أرقام هواتف في دول ذات رسوم إنهاء مرتفعة، مما يدر أرباحاً للمحتالين.
احتيال CAPTCHA: تهديد جديد يضر بعملاء الاتصالات
وأوضح تقرير صادر عن باحثي Infoblox Threat Intel أن تفاعلاً واحداً مع صفحة CAPTCHA وهمية يمكن أن يؤدي إلى إرسال ما يصل إلى 60 رسالة نصية دولية عبر أكثر من 50 وجهة. وهذا يمكن أن يكلف الضحية حوالي ثلاثين دولاراً في جلسة واحدة. وعلى الرغم من أن هذا المبلغ قد يبدو بسيطاً، إلا أن اتساع نطاق هذه الحملة لتشمل ملايين المستخدمين المحتملين يمنحها ربحية عالية.
ما يزيد من خطورة هذا التهديد هو الطريقة التي يصل بها المستخدمون إلى هذه الصفحات. تستخدم الحملة نظام توزيع حركة المرور (TDS)، الذي يقوم بتوجيه حركة مرور الويب بصمت عبر طبقات متعددة قبل وضع المستخدمين على صفحة الهبوط الخبيثة. وقد تتبع الباحثون سلسلة هجوم بدأت عندما زار مستخدم نطاقاً مشابهاً لشركة اتصالات أمريكية كبرى، مما أدى إلى سلسلة من عمليات إعادة التوجيه.
تضر هذه الممارسات بكل من الأفراد وشركات الاتصالات. وغالباً ما تتحمل شركات الاتصالات خسائر نزاعات العملاء، بينما تدفع إيرادات للمحتالين دون علمها. وقد لاحظت Infoblox Threat Intel 35 رقم هاتف يمتد عبر 17 دولة في هذه الحملة.
آلية عمل الهجوم
يتمثل التصميم التقني لصفحات CAPTCHA المزيفة هذه في البساطة، لكن خداعها فعال. عندما يصل المستخدم إلى إحدى هذه الصفحات، يواجه مهمة تبدو طبيعية، مثل التعرف على حيوانات أو اختيار صور. لكن بعد كل إجابة، يتصل JavaScript بصمت بخادم المهاجم، الذي يعيد قائمة محملة مسبقاً بأرقام هواتف دولية ورسالة مكتوبة مسبقاً.
بعد ذلك، يقوم هاتف المستخدم بفتح تطبيق المراسلة مع تلك الأرقام والنص، ولا يحتاج الضحية سوى الضغط على زر الإرسال. كما تستخدم الحملة تقنية “اختطاف زر الرجوع”، حيث تقوم سكربتات بإعادة المستخدم إلى صفحة CAPTCHA عند محاولته المغادرة.
هذا السلوك، الذي لوحظ لأول مرة في يناير 2023، يبقي المستخدمين عالقين حتى يضطروا إلى إغلاق المتصفح قسراً. يتم وضع إخلاء مسؤولية في أسفل الصفحة يصف العملية كتبادل للخدمات، ولكنه لا يكشف أبداً عن إرسال عشرات الرسائل الدولية المدفوعة.
نصائح أمنية للحماية
ينصح الخبراء بعدم إرسال أي رسالة نصية كجزء من أي اختبار CAPTCHA أو عملية تحقق عبر الإنترنت، حيث لا تتطلب الخدمات الشرعية ذلك. كما يجب على المستخدمين التحقق من فواتير هواتفهم شهرياً والاتصال بمزود الخدمة فوراً في حال ظهور أي رسوم دولية غير متوقعة.
على المؤسسات، يوصى باستخدام أدوات أمان DNS للكشف عن ومنع أنظمة توزيع حركة المرور (TDS) والنطاقات الضارة المعروفة. وبالنسبة لمقدمي خدمات الاتصالات، يجب عليهم تنفيذ مراقبة في الوقت الفعلي لتحديد وحظر حركة المرور غير الطبيعية للرسائل النصية.