Frode IRSF via fake CAPTCHA: analisi della campagna attiva dal 2020

Oltre 120 campagne sfruttano Keitaro TDS per distribuire truffe IRSF con falsi CAPTCHA. Colpiti 17 paesi, costi fino a 30 dollari per vittima. Ecco i dettagli.

Contenuto

Frode IRSF via fake CAPTCHA: analisi della campagna attiva dal 2020

Scopri anche

Frode IRSF via fake CAPTCHA: analisi della campagna attiva dal 2020

Oltre 120 campagne distinte hanno abusato della piattaforma Keitaro TDS per la distribuzione di link fraudolenti tra ottobre 2025 e gennaio 2026, generando circa 226.000 query DNS su 13.500 domini associati. I dati, raccolti dai clienti Infoblox, evidenziano la convergenza tra tecniche avanzate del settore pubblicitario e frodi telecomunicazioni su scala globale.

Il meccanismo della truffa IRSF tramite falsi CAPTCHA

La campagna IRSF (International Revenue Share Fraud) tramite falsi CAPTCHA risulta attiva da almeno giugno 2020. Il vettore di attacco sfrutta un meccanismo articolato in multipli passaggi: ogni messaggio è preconfigurato con oltre una dozzina di numeri telefonici, portando la vittima a pagare SMS verso oltre 50 destinazioni internazionali. Come spiegato da David Brunsdon e Darby Wise di Infoblox, "il falso CAPTCHA ha multipli passaggi, e ogni messaggio è preconfigurato con oltre una dozzina di numeri, significando che la vittima non viene addebitata per un singolo messaggio – viene addebitata per l'invio di SMS verso oltre 50 destinazioni internazionali".

Infoblox ha osservato fino a 35 numeri di telefono distribuiti in 17 paesi come parte della campagna IRSF. I numeri sono registrati in paesi con alte tasse di terminazione o regolamentazione lasca, tra cui Azerbaigian, Kazakistan e range premium europei. Il processo può inviare fino a 60 SMS verso 15 numeri unici dopo 4 step di CAPTCHA, costando alla vittima circa 30 dollari.

La truffa sfrutta inoltre il back button hijacking tramite JavaScript per intrappolare gli utenti in un loop di navigazione. Google ha classificato questa pratica come "dannosa" e pianifica di penalizzare i siti che interferiscono con la navigazione a partire da metà 2026.

Keitaro TDS: infrastruttura tecnica al servizio della frode

Tra ottobre 2025 e gennaio 2026, oltre 120 campagne distinte hanno abusato di Keitaro TDS per il link delivery. Secondo Infoblox e Confiant, "Keitaro è inizialmente un advertising performance tracker self-hosted progettato per instradare condizionalmente i visitatori usando flussi. Gli attori malintenzionati ripropongono questo meccanismo, trasformando un server Keitaro in uno strumento all-in-one che agisce come traffic distribution system, tracker e cloaking layer".

I clienti Infoblox hanno registrato circa 226.000 query DNS su 13.500 domini associati all'attività Keitaro nel periodo osservato. I domini sono clusterizzati su un piccolo set di IP in AS15699 (Adam EcoTech). Keitaro ha cancellato oltre una dozzina di account collegati a queste attività dopo la divulgazione responsabile.

Impatto su vittime e carrier

L'operazione defrauda simultaneamente individui e carrier di telecomunicazioni. "Le singole vittime affrontano addebiti SMS premium imprevisti sulle bollette e avrebbero difficoltà a identificare e segnalare la frode quando origina da una fonte così inaspettata", ha spiegato Infoblox nel report del 23 aprile 2026.

L'AIT (Artificially Inflated Traffic), che include il traffico IRSF, è ora classificato come la forma di frode messaggistica più dannosa al mondo. Circa la metà dei carrier riporta elevate perdite finanziarie dovute a questo tipo di attività fraudolenta.

Contesto: le truffe telefoniche in Italia

Il fenomeno si inserisce in un quadro più ampio di frodi telecom. Secondo dati recenti, quasi 3,9 milioni di italiani sono stati vittime di truffa o tentativi di frode nell'ambito della telefonia fissa o mobile. A differenza della percezione comune, le fasce più colpite non sono gli anziani ma i giovani, in particolare nella fascia 25-34 anni e 45-54 anni, con percentuali superiori all'8%.

Le persone con titolo di studio universitario risultano essere le più colpite, con un'incidenza più che doppia rispetto alla media. Geograficamente, il Nord Ovest è l'area più colpita, con un'incidenza del 7,5%. Nonostante la truffa subita, quasi la metà delle vittime (49,2%) non ha denunciato l'accaduto, principalmente per l'impossibilità di recuperare il denaro (38,5%), il danno economico troppo basso (24,6%) e il senso di vergogna (16,9%).

Domande frequenti

Cos'è la frode IRSF?
IRSF sta per International Revenue Share Fraud, una frode che genera traffico verso numeri internazionali premium per trarre profitto dalle tariffe di terminazione. In questo caso, viene veicolata tramite falsi CAPTCHA che inducono le vittime a inviare SMS costosi.
Come funziona il fake CAPTCHA nella truffa?
Il falso CAPTCHA presenta multipli passaggi preconfigurati con oltre una dozzina di numeri. La vittima completa fino a 4 step, inviando fino a 60 SMS verso 15 numeri unici, con un costo di circa 30 dollari.
Che cos'è Keitaro TDS e come viene abusato?
Keitaro è originariamente un advertising performance tracker self-hosted. Gli attori malintenzionati lo ripropongono come traffic distribution system, tracker e cloaking layer per distribuire link fraudolenti nascondendo l'infrastruttura maligna.
Cosa sta facendo Google contro il back button hijacking?
Google ha classificato il back button hijacking come pratica dannosa e pianifica di penalizzare i siti che interferiscono con la navigazione a partire da metà 2026.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Per approfondire

Fonti

Link utili

Apri l'articolo su DeafNews