Truffa CAPTCHA: come i falsi test umani svuotano i conti bancari tramite SMS pumping

Immagina di risolvere un semplice CAPTCHA - selezionando semafori o idranti - per poi scoprire il mese successivo una bolletta telefonica più alta di centinaia di dollari. È l’ultima svolta del cybercrimine: i truffatori hanno trasformato in arma proprio i test pensati per tenere lontani i bot, sottraendo denaro in silenzio a ignari utenti mobili in tutto il mondo.

L’anatomia di una truffa CAPTCHA

I ricercatori di Infoblox hanno scoperto una campagna di frode globale che ribalta il senso dei CAPTCHA, i familiari rompicapi “dimostra di non essere un robot”. Invece di proteggerti, questi falsi sono una trappola: dopo aver risolto il puzzle, un pulsante “Continua” apre l’app SMS, già compilata con messaggi diretti a una sfilza di numeri internazionali. JavaScript nascosto entra in azione, inviando a raffica decine di messaggi verso linee a tariffa premium in 17 Paesi - e ogni SMS può costare diversi dollari.

A differenza del malware tradizionale, non c’è nulla da installare. L’attacco è interamente basato sul browser e sfrutta particolarità di come i sistemi operativi mobili gestiscono le pagine web e i permessi SMS. Sia su Android sia su iOS, un singolo tocco può avviare una cascata di messaggi in uscita. Codice ingegnoso arriva persino a dirottare il pulsante “indietro” del browser, intrappolandoti nel ciclo della truffa se provi a scappare.

I truffatori guadagnano tramite accordi di revenue sharing con programmi di affiliazione poco trasparenti, intascando una quota per ogni SMS inviato ai loro numeri premium. Nel frattempo, gli operatori mobili devono gestire le termination fees e clienti furiosi che contestano addebiti misteriosi - spesso quando sono già passati mesi.

Cosa puoi fare

I CAPTCHA legittimi non ti chiedono mai di inviare un SMS o di aprire l’app di messaggistica. Diffida sempre se un sito web ti spinge a farlo. Controlla regolarmente le bollette del telefono alla ricerca di piccoli addebiti inspiegabili per SMS internazionali e contestali subito con il tuo operatore. Valuta di chiedere al provider di bloccare i servizi SMS internazionali o a tariffa premium se non li usi.

Per una protezione aggiuntiva, usa app di sicurezza mobile affidabili che segnalano domini malevoli e abilita le funzioni di navigazione sicura nel browser. Attieniti a siti HTTPS noti ed evita di cliccare su link sospetti, soprattutto se provengono da annunci o fonti sconosciute. Su Android, limita i permessi SMS delle app per ridurre ulteriormente l’esposizione.

Conclusione

Questa nuova generazione di truffe IRSF mostra quanto rapidamente i cybercriminali si adattino, mescolando inganni basati sul web con l’arcano mondo della fatturazione telecom. Con l’evoluzione della tecnologia, evolvono anche le minacce che si nascondono dietro puzzle apparentemente innocui. La vigilanza - da parte degli utenti e degli operatori - resta la nostra migliore difesa contro questi borseggiatori digitali.

TECHCROOK

Bitdefender Mobile Security è una soluzione di protezione per smartphone pensata per ridurre il rischio di truffe web come i falsi CAPTCHA che spingono l’utente ad avviare invii SMS o ad aprire pagine malevole. Integra funzioni di Web Protection con blocco di domini sospetti e tentativi di phishing, oltre a controlli di privacy e avvisi su comportamenti anomali durante la navigazione. Su Android include strumenti aggiuntivi come scansione delle app e monitoraggio dei permessi, utili per limitare esposizioni legate a messaggistica e link ingannevoli. È indicato per chi vuole una barriera preventiva lato dispositivo, affiancando le buone pratiche (diffidare di richieste di SMS e verificare gli addebiti). Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• CAPTCHA: Un CAPTCHA è un test di sicurezza sui siti web che aiuta a distinguere gli esseri umani dai bot, spesso chiedendo agli utenti di risolvere semplici rompicapi o identificare immagini.
• SMS Pumping: Lo SMS pumping è una frode in cui gli attaccanti inviano SMS in massa verso numeri a tariffa premium, sfruttando i sistemi telecom per generare ricavi illeciti e causare danni economici.
• International Revenue Share Fraud (IRSF): L’IRSF è una frode telecom in cui i criminali traggono profitto dalle tariffe di chiamate o SMS internazionali, causando perdite economiche per aziende e operatori.
• Click2SMS: Click2SMS consente ai siti web di sollecitare i dispositivi degli utenti a inviare SMS, una funzione spesso abusata nelle truffe per frodi o attacchi di phishing.
• Termination Fees: Le termination fees sono addebiti che i provider telecom applicano per la consegna di SMS o chiamate verso numeri internazionali o a tariffa premium, incidendo sui costi e sulle considerazioni di cybersicurezza.