رد بالك: قالب ديال SMS Premium و الخدمة ديال Keitaro TDS - هادشي اللي خاص الـ Devs فالمغرب يعرفوه
Fake CAPTCHA IRSF Scam and 120 Keitaro Campaigns Drive Global SMS, Crypto Fraud
رد بالك: قالب ديال SMS Premium و الخدمة ديال Keitaro TDS - هادشي اللي خاص الـ Devs فالمغرب يعرفوه
الخلاصة (TL;DR)
كاين واحد الهجوم كبير كايستغل الـ Fraud فالاتصالات (IRSF) باستعمال CAPTCHA مزور باش يفرض على الناس يصيفطو SMS ثمنهم غالي (Surtaxé) لجهة دولية، هادشي قيس كتر من 17 دولة. فجهة خرى، كاين استغلال خايب للخدمة ديال Keitaro TDS باش ينشرو "wallet-drainers" كايستهدفو الـ Crypto (بحال Solana و Phantom). بالنسبة للي خدامين فالـ IT، ردو البال بزاف للـ Traffic ديال DNS و لهاديك اللعبة ديال "back button hijacking".
فهم الـ IRSF: ملي كايولي الـ CAPTCHA فخ مالي
الباحثين فـ Infoblox كشفو على حملة خدامة من يونيو 2020 كايسميوها International Revenue Share Fraud (IRSF). الفرق بينها وبين الـ Phishing العادي هو أنها ماكاتسرقش ليك الـ Login، ولكن كاتحاول تطلع الـ Traffic لواحد النوامر دولية غالية بزاف باش يربحو منها لفلوس.
الطريقة باش خدامين ذكية بزاف: المستخدم كايطيح فواحد الصفحة فيها CAPTCHA مزور. باش "يثبت بلي هو إنسان"، الموقع كايحل ليه التطبيق ديال SMS فالتليفون دياله (Android ولا iOS) و كايعمر ليه الرسالة و النمرة بشكل تلقائي.
التفاصيل التقنية اللي خطيرة: كل مرحلة فهاد التحقق المزور مربوطة بـ 15 نمرة دولية (بحال أذربيجان، تركيا، ولا صبنيا). الضحية يقدر يصيفط بلا ما يحس حتى لـ 60 SMS، و الثمن يقدر يوصل لـ 30 دولار للواحد. المشكل هو أن هاد لفلوس ما كاتبان فالفاكتورة حتى كادوز شحال من سيمانة، هادشي كايخلي التبليغ على النصب صعيب.
تقنية الـ "Back Button Hijacking"
باش يضمنو أن الضحية ما يهربش، هاد الـ Hackers كايخدمو بـ JavaScript باش يتلاعبو بالـ History ديال الـ Browser. هادشي هو اللي كيتسمى Back Button Hijacking.
بكل بساطة، ملي كايحاول المستخدم يخرج من الصفحة و يورك على "Précédent"، الـ Script كايحبس هاديك الحركة و كايصيفطو لنفس الصفحة ولا لصفحة خرى ديال النصب. الضحية كايولي محبوس فواحد الحلقة مفرغة (Loop)، و الحل الوحيد هو يسد الـ Browser كامل.
استغلال Keitaro TDS: بنية تحتية في خدمة الجريمة
التحقيقات ديال Infoblox و Confiant بينات بلي كاين استعمال كبير لـ Keitaro TDS (Traffic Distribution System). هو أصلا أداة ديال الـ Marketing كادير الـ Routing للـ Traffic على حساب الموقع الجغرافي ولا نوع الجهاز.
ولكن، مجموعات بحال TA2726 كايخدمو بـ Licences مسروقة ولا "مكراكيين" باش يرجعو هاد الأداة لماكينة ديال الهجوم. ما بين أكتوبر 2025 و يناير 2026، لقاو كتر من 120 حملة دارت كتر من 226,000 requête DNS متعلقة بهاد الـ Infrastructure.
التحليل بين بلي 96% من الـ Spam اللي جاي من Keitaro متعلق بـ Scams ديال "crypto wallet-drainer". هاد الـ Scripts غرضهم يخويو الـ Wallets ديال الضحايا، و كايركزو بزاف على Solana (Tokens ديال SOL، و Wallets بحال Phantom) عن طريق إشهارات كاذبة ديال Airdrops فـ Facebook.
دور الـ IA و الهاكر FaiKast
النصب ما بقاش غير مجرد روابط. واحد الـ Actor سميتو FaiKast معروف دابا بلي كايخدم بـ Deepfakes (فيديوات مصاوبين بالذكاء الاصطناعي). هاد الفيديوهات كايطلعو فيهم مشاهير كايشجعو الناس يستثمرو فـ Platformes ديال الاستثمار الذكي، غير باش يجرهم للسيستيم ديال Keitaro و ينصبو عليهم.
كيفاش تحمي راسك؟
بالنسبة للناس ديال الـ IT و المستخدمين فالمغرب، كاين بزاف ما يدار:
- DNS Threat Intelligence: خاص مراقبة الـ Domains اللي عندهم علاقة بـ Keitaro و الـ TDS المشبوهين باش يتبلوكاو من الريزو (Network level).
- Hygiène de navigation: يلا طحتي فشي موقع للي مابغاش يخلّيك ترجع بـ "Back"، ما تبقاش تورك عليها بزاف. سد الـ Tab ولا التطبيق كامل فديك الساعة.
- مراقبة الـ Operateur: شركات الاتصالات خاصهم يزيرو الـ Filtrage على النوامر اللي الثمن ديالهم طالع بزاف (بحال كازاخستان و أذربيجان) باش ينقصو من التأثير ديال IRSF.
- رد فعل الشركة: Keitaro ديجا بدات كاتسد الحسابات اللي عندها علاقة بهاد الأنشطة من بعد ما خرجو هاد التقارير.
خلاصة
هاد التهديد كيبين بلي النصابة ما بقاوش كايخدمو بطريقة بدائية. الخلط بين الـ Social Engineering (CAPTCHA مزور)، التلاعب التقني (Back Button Hijacking)، و استغلال أدوات الـ Marketing كايخلق خطر كبير. بالنسبة لينا فالمغرب، أول خطوة للحماية هي نفهمو هاد الميكانيزمات باش نبنيو دفاعات صحيحة.
المصدر : The Hacker News - Fake CAPTCHA IRSF Scam and 120 Keitaro Campaigns Drive Global SMS, Crypto Fraud