Компания Infoblox, занимающаяся разведкой DNS-угроз, совместно с фирмой Confiant опубликовала детальный отчёт о двух крупных мошеннических операциях, которые прямо сейчас охватывают пользователей в США, Европе и, по всей видимости, далеко за их пределами. Исследователи Дэвид Брунсдон и Дарби Уайз вместе с вице-президентом по анализу угроз Рене Бертон восстановили механику обеих схем настолько подробно, что становится понятно: за внешне простым интерфейсом скрывается продуманная техническая инфраструктура.
Первая схема эксплуатирует так называемое международное мошенничество с разделением доходов, IRSF. Суть проста: злоумышленники незаконно приобретают международные номера с повышенным тарифом, после чего искусственно нагоняют на них трафик. Каждый раз, когда жертва отправляет сообщение на такой номер, её оператор связи платит так называемые терминационные сборы — межоператорские платежи за завершение звонка или SMS в чужой сети. Мошенники заранее договариваются с местными телекоммуникационными провайдерами в странах с высокими тарифами или слабым регулированием — это Азербайджан, Казахстан, ряд европейских юрисдикций — и получают свою долю от этих выплат.
Жертву заманивают через поддельную CAPTCHA. Человека перенаправляют на фиктивную страницу через коммерческую систему распределения трафика, где написано: отправьте SMS, чтобы подтвердить, что вы не робот. Клик по кнопке программно запускает штатное приложение для сообщений — и на Android, и на iOS. Поле «кому» уже заполнено, контент сообщения уже вписан. Отправив его, пользователь запускает цепочку из четырёх шагов верификации. За один полный цикл из этих четырёх шагов автоматически уходит 60 SMS на 15 уникальных номеров, охватывающих более 50 международных направлений. Ущерб для одного человека — около 30 долларов. Операция активна как минимум с июня 2020 года и к моменту публикации отчёта охватывала 35 телефонных номеров в 17 странах, включая Нидерланды, Бельгию, Польшу, Испанию и Турцию.
Отдельного внимания заслуживает техническая сторона удержания жертвы. Прогресс по фиктивной верификации отслеживается через куки — конкретно через значение с именем «successRate». Если пользователь не соответствует нужным критериям, его незаметно перебрасывают на страницу другой кампании или другого актора. Попытка нажать кнопку «Назад» ни к чему не приведёт: JavaScript изменяет историю браузера так, что пользователь попадает в бесконечный цикл перенаправлений обратно на ту же страницу. Выбраться можно, только полностью закрыв браузер. Кроме того, счёт за международные SMS приходит через несколько недель — к тому времени большинство людей уже не помнят никакой CAPTCHA.
Вторая операция использует Keitaro — легитимный самохостинговый трекер рекламной эффективности, который в нормальных условиях помогает маркетологам условно маршрутизировать посетителей. Злоумышленники превращают серверы Keitaro в комбинированную систему распределения трафика, трекер и слой маскировки. За четыре месяца наблюдений, с октября 2025 по январь 2026 года, исследователи зафиксировали более 120 отдельных спам-кампаний, использующих Keitaro, 226 000 связанных DNS-запросов и 13 500 доменов.
96% трафика через скомпрометированные серверы Keitaro направлено на схемы опустошения криптовалютных кошельков. Конкретные цели — токен AURA, SOL (Solana), кошелёк Phantom и децентрализованная биржа Jupiter. Используются фиктивные аирдропы и раздачи токенов. Основной канал распространения — реклама в Ф⃰, а приманка выглядит убедительно: поддельные статьи, выдуманные одобрения знаменитостей и синтетические дипфейк-видео, которые приписываются актору под именем FaiKast. Обещание стандартное — огромная прибыль благодаря «искусственному интеллекту, автоматизирующему торговлю».
Угрозой FaiKast занимается отдельно. Этот актор специализируется именно на производстве синтетического видеоконтента для продвижения инвестиционных схем. Качество дипфейков достаточно высокое, чтобы аудитория в Ф⃰ воспринимала их как реальные выступления публичных персон. Рене Бертон в интервью The Hacker News подчеркнула, что такая комбинация — поверхностно легитимный инструмент вроде Keitaro плюс социальная инженерия через узнаваемые лица — серьёзно усложняет обнаружение и блокировку.
Ещё один идентифицированный актор — TA2726 — использует украденные или взломанные лицензии Keitaro. Это означает, что мошенники не всегда платят за инструмент, которым злоупотребляют, а сама инфраструктура Keitaro оказывается эксплуатируемой без ведома разработчиков. Подобная схема затрудняет атрибуцию и позволяет операторам быстро менять серверы при обнаружении.
Потери несут не только конечные пользователи. Телекоммуникационные операторы вынуждены выплачивать долю доходов мошенникам, а затем поглощать финансовые потери от споров с клиентами и возвратов платежей. Это создаёт ситуацию, при которой легитимные перевозчики фактически субсидируют преступную схему до тех пор, пока не смогут заблокировать конкретные направления или номера — что само по себе технически нетривиально при охвате в 50+ международных направлений в одной кампании.
Обе операции объединяет общая логика: использование доверия пользователя к привычному интерфейсу. CAPTCHA воспринимается как норма безопасности, реклама в Ф⃰ — как проверенный канал, а видео со знакомым лицом снижает критичность восприятия. Именно поэтому детализированный анализ конкретных технических маркеров — вроде cookie «successRate», перехвата кнопки «Назад» через JavaScript или специфических DNS-паттернов Keitaro — имеет практическую ценность: это то, что можно заблокировать на уровне инфраструктуры до того, как жертва нажмёт кнопку отправки.
Изображение носит иллюстративный характер
Первая схема эксплуатирует так называемое международное мошенничество с разделением доходов, IRSF. Суть проста: злоумышленники незаконно приобретают международные номера с повышенным тарифом, после чего искусственно нагоняют на них трафик. Каждый раз, когда жертва отправляет сообщение на такой номер, её оператор связи платит так называемые терминационные сборы — межоператорские платежи за завершение звонка или SMS в чужой сети. Мошенники заранее договариваются с местными телекоммуникационными провайдерами в странах с высокими тарифами или слабым регулированием — это Азербайджан, Казахстан, ряд европейских юрисдикций — и получают свою долю от этих выплат.
Жертву заманивают через поддельную CAPTCHA. Человека перенаправляют на фиктивную страницу через коммерческую систему распределения трафика, где написано: отправьте SMS, чтобы подтвердить, что вы не робот. Клик по кнопке программно запускает штатное приложение для сообщений — и на Android, и на iOS. Поле «кому» уже заполнено, контент сообщения уже вписан. Отправив его, пользователь запускает цепочку из четырёх шагов верификации. За один полный цикл из этих четырёх шагов автоматически уходит 60 SMS на 15 уникальных номеров, охватывающих более 50 международных направлений. Ущерб для одного человека — около 30 долларов. Операция активна как минимум с июня 2020 года и к моменту публикации отчёта охватывала 35 телефонных номеров в 17 странах, включая Нидерланды, Бельгию, Польшу, Испанию и Турцию.
Отдельного внимания заслуживает техническая сторона удержания жертвы. Прогресс по фиктивной верификации отслеживается через куки — конкретно через значение с именем «successRate». Если пользователь не соответствует нужным критериям, его незаметно перебрасывают на страницу другой кампании или другого актора. Попытка нажать кнопку «Назад» ни к чему не приведёт: JavaScript изменяет историю браузера так, что пользователь попадает в бесконечный цикл перенаправлений обратно на ту же страницу. Выбраться можно, только полностью закрыв браузер. Кроме того, счёт за международные SMS приходит через несколько недель — к тому времени большинство людей уже не помнят никакой CAPTCHA.
Вторая операция использует Keitaro — легитимный самохостинговый трекер рекламной эффективности, который в нормальных условиях помогает маркетологам условно маршрутизировать посетителей. Злоумышленники превращают серверы Keitaro в комбинированную систему распределения трафика, трекер и слой маскировки. За четыре месяца наблюдений, с октября 2025 по январь 2026 года, исследователи зафиксировали более 120 отдельных спам-кампаний, использующих Keitaro, 226 000 связанных DNS-запросов и 13 500 доменов.
96% трафика через скомпрометированные серверы Keitaro направлено на схемы опустошения криптовалютных кошельков. Конкретные цели — токен AURA, SOL (Solana), кошелёк Phantom и децентрализованная биржа Jupiter. Используются фиктивные аирдропы и раздачи токенов. Основной канал распространения — реклама в Ф⃰, а приманка выглядит убедительно: поддельные статьи, выдуманные одобрения знаменитостей и синтетические дипфейк-видео, которые приписываются актору под именем FaiKast. Обещание стандартное — огромная прибыль благодаря «искусственному интеллекту, автоматизирующему торговлю».
Угрозой FaiKast занимается отдельно. Этот актор специализируется именно на производстве синтетического видеоконтента для продвижения инвестиционных схем. Качество дипфейков достаточно высокое, чтобы аудитория в Ф⃰ воспринимала их как реальные выступления публичных персон. Рене Бертон в интервью The Hacker News подчеркнула, что такая комбинация — поверхностно легитимный инструмент вроде Keitaro плюс социальная инженерия через узнаваемые лица — серьёзно усложняет обнаружение и блокировку.
Ещё один идентифицированный актор — TA2726 — использует украденные или взломанные лицензии Keitaro. Это означает, что мошенники не всегда платят за инструмент, которым злоупотребляют, а сама инфраструктура Keitaro оказывается эксплуатируемой без ведома разработчиков. Подобная схема затрудняет атрибуцию и позволяет операторам быстро менять серверы при обнаружении.
Потери несут не только конечные пользователи. Телекоммуникационные операторы вынуждены выплачивать долю доходов мошенникам, а затем поглощать финансовые потери от споров с клиентами и возвратов платежей. Это создаёт ситуацию, при которой легитимные перевозчики фактически субсидируют преступную схему до тех пор, пока не смогут заблокировать конкретные направления или номера — что само по себе технически нетривиально при охвате в 50+ международных направлений в одной кампании.
Обе операции объединяет общая логика: использование доверия пользователя к привычному интерфейсу. CAPTCHA воспринимается как норма безопасности, реклама в Ф⃰ — как проверенный канал, а видео со знакомым лицом снижает критичность восприятия. Именно поэтому детализированный анализ конкретных технических маркеров — вроде cookie «successRate», перехвата кнопки «Назад» через JavaScript или специфических DNS-паттернов Keitaro — имеет практическую ценность: это то, что можно заблокировать на уровне инфраструктуры до того, как жертва нажмёт кнопку отправки.
