Penipuan CAPTCHA yang Memanfaatkan SMS Internasional
Penipuan berkedok CAPTCHA kini bukan hanya soal mencuri tautan malware melainkan juga soal menguras uang orang dengan memaksa mereka mengirim SMS ke nomor internasional yang memakan biaya mahal. Para peneliti keamanan dari Infoblox baru-baru ini merilis laporan mendalam mengenai jenis penipuan CAPTCHA yang mungkin belum banyak diperhatikan orang.
Kampanye penipuan ini sudah beroperasi sejak setidaknya Juni 2020, dan telah menipu banyak orang untuk mengirim pesan SMS melalui rekayasa sosial dan teknik hijacking tombol kembali di browser. Dalam penelitian mereka, ditemukan 35 nomor telepon yang tersebar di 17 negara berbeda.
Puluhan Pesan SMS dalam Satu Kali Penipuan
“CAPTCHA palsu ini memiliki beberapa langkah, dan setiap pesan yang dibuat oleh situs sudah dikonfigurasi dengan lebih dari dua belas nomor telepon. Artinya, korban tidak hanya dikenakan biaya untuk satu pesan, tetapi mereka dikenakan biaya untuk mengirim SMS ke lebih dari 50 tujuan internasional,” tulis peneliti David Brunsdon dan Darby Wise dalam laporan mereka.
Salah satu alasan mengapa penipuan semacam ini tidak banyak dilaporkan adalah karena banyaknya penagihan yang terjadi setelah beberapa waktu. Biaya SMS internasional baru terasa ketika tagihan datang beberapa minggu kemudian, dan pada saat itu, pengalaman dengan CAPTCHA palsu sudah terlupakan.
Bagian penting dari penipuan ini adalah sistem distribusi lalu lintas berbahaya (TDS), yang mengarahkan korban ke halaman pendaratan berbahaya. Proses kerjanya cukup sederhana: TDS komersial mengarahkan korban ke situs jahat yang meminta mereka untuk “mengonfirmasi bahwa mereka manusia” dengan mengirim SMS. Ketika korban menekan tombol tersebut, halaman memanfaatkan fitur mobile untuk membuka aplikasi SMS dengan nomor dan pesan yang sudah terisi. Nomor-nomor ini disewa oleh para pelaku penipuan.
Setelah itu, proses berlanjut dan setiap langkah berikutnya meminta konfirmasi lainnya, sehingga memicu pengiriman banyak pesan SMS ke nomor yang berbeda. Dalam proses tersebut, korban bisa mengirim hingga 60 SMS ke 15 nomor berbeda, yang total biayanya bisa mencapai $30. Meskipun terdengar sepele, efek dari ribuan pengguna yang menjadi korban bisa membuat angka tersebut cepat terakumulasi.
Para korban dalam kampanye ini adalah pengguna akhir dan perusahaan telekomunikasi. Pengguna jelas merugi, dan perusahaan telekomunikasi juga merugi karena harus membayar bagi hasil kepada pelaku, serta mengurus permintaan pengembalian dana dari pelanggan.
Namun, perlindungan terhadap penipuan ini cukup mudah. Infoblox menegaskan, “Sayangnya, hal ini perlu dikatakan. Jangan pernah mengirim SMS untuk mengonfirmasi bahwa Anda adalah manusia.”
