Un clic, 30 dollars. Des escrocs ont trouvé un moyen redoutablement simple de vous facturer des SMS internationaux à votre insu. La victime n’y voit que du feu, et pour cause : l’arnaque fonctionne sur la base des CAPTCHA, ces “tests” qui servent à prouver que vous êtes bien un humain.
Des chercheurs d’Infoblox Threat Intel ont en effet mis en lumière une toute nouvelle campagne de fraude appelée International Revenue Share Fraud (IRSF), active depuis le mois de juin 2020. Le fonctionnement de la fraude est tout particulièrement malicieux, d’autant qu’il extorque de l’argent à la victime sans qu’elle ne s’en rende véritablement compte. Et quand c’est le cas, c’est bien trop tard.
L’arnaque repose donc sur les CAPTCHA. La victime atterrit sur une fausse page de vérification d’identité CAPTCHA via une chaîne de redirections déclenchée par une faute de frappe dans un nom de domaine de télécom. Vous pourriez ainsi tomber sur pareille page en tapant par erreur “srf.fr” au lieu de “sfr.fr” dans la barre de recherche.
Pour accéder au site en question, il ne suffit que de passer la phase de vérification CAPTCHA classique qui nécessite de sélectionner les photos comportant une bicyclette ou de reconnaître du texte. Enfin, pour valider la vérification, il faut envoyer un SMS. En effet, juste en dessous du test, une petite case est cochée et accompagnée du texte “Send SMS to confirm you are human”. C’est là que le piège se referme.
60 MMS internationaux
La page de SMS s’ouvre instantanément, avec un texte déjà rédigé pour 15 destinataires aux numéros très exotiques. Azerbaïdjan, Myanmar, Suisse, Malawi, Kazakhstan ou encore Egypte : envoyer un SMS dans ces pays est extrêmement coûteux, et ça l’est encore plus lorsqu’il s’agit d’un MMS. La victime, pensant confirmer son test, envoie alors ce MMS à ces 15 numéros.
Le pire, c’est que pour venir à bout dudit CAPTCHA, il faut répondre à 4 tests différents, et donc procéder à l’envoi de 15 MMS à chaque fois. Ce sont donc 60 MMS internationaux qui sont envoyés en une seule session, pour un coût d’environ 30 dollars à la victime.
Jusqu’ici, on peut penser que les pirates n’y trouvent pas leur compte et que c’est l’opérateur qui touche le gros lot. Et pourtant, ces mêmes pirates louent des numéros dans des pays à frais de terminaison élevés et établissent des accords de partage de revenus avec les opérateurs locaux, grâce au modèle Click2SMS. Généralement, les frais arrivent sur la facture de téléphonie de la victime, soit quelques semaines plus tard. Celle-ci a alors oublié l’incident, et découvre avec stupéfaction qu’elle s’est fait arnaquer.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
