Fake-CAPTCHA treibt globale SMS- und Krypto-Betrugswellen : Betrüger koppeln Premium-Kurznachrichten mit Keitaro-Kampagnen

Telekommunikationsbetrug, Krypto-Abzocke und manipulierte Werbeumleitungen wachsen immer enger zusammen. Sicherheitsforscher von Infoblox beschreiben eine Kampagne, die seit mindestens Juni 2020 aktiv sein soll und auf International Revenue Share Fraud (IRSF) setzt. Dabei werden Nutzer über manipulierte Webseiten zu einer gefälschten CAPTCHA-Prüfung geleitet. Wer glaubt, nur kurz bestätigen zu müssen, kein Bot zu sein, löst in Wahrheit den Versand teurer internationaler Kurznachrichten aus.

Der Trick ist technisch simpel, aber wirkungsvoll: Die Webseite öffnet auf Android- und iOS-Geräten automatisch die Nachrichtenanwendung. Telefonnummern und Text sind bereits vorausgefüllt. Der Nutzer muss den Versand nur noch bestätigen. Nach außen wirkt das wie ein harmloser Verifikationsschritt, im Hintergrund entsteht jedoch ein TK-technisch abrechenbarer Vorgang.

Wie aus einer Prüfung eine Gebührenfalle wird

Bei IRSF beschaffen sich Betrüger internationale Premium-Rufnummern oder Nummernblöcke. Anschließend erzeugen sie künstlich Anrufe oder Kurznachrichten zu diesen Zielen. Der Zielnetzbetreiber erhält sogenannte Terminierungsentgelte für eingehenden Verkehr. Ein Anteil dieser Einnahmen fließt über Vereinbarungen oder kriminelle Absprachen an die Täter zurück.

Infoblox beobachtete bis zu 35 Telefonnummern in 17 Ländern. Besonders attraktiv sind Staaten oder Nummernbereiche mit hohen Terminierungsentgelten, schwacher Regulierung oder missbrauchsanfälligen Premium-Rufnummern. Genannt werden unter anderem:

• Aserbaidschan
• Kasachstan
• Niederlande
• Belgien
• Polen
• Spanien
• Türkei

Die Forscher David Brunsdon und Darby Wise beschreiben, wie aggressiv der Ablauf gestaltet ist: „Das gefälschte CAPTCHA besteht aus mehreren Schritten, und jede von der Seite vorbereitete Nachricht enthält mehr als ein Dutzend Telefonnummern.” Das bedeutet: Betroffene zahlen nicht nur für eine einzelne Nachricht, sondern unter Umständen für den Versand an mehr als 50 internationale Ziele.

Cookies steuern den Betrugsablauf

Technisch nutzt die Kampagne Cookies, um den Fortschritt des Opfers durch den gefälschten Verifikationsprozess zu verfolgen. Werte wie „successRate” entscheiden, welcher Schritt als Nächstes angezeigt wird. Wer für die Kampagne ungeeignet erscheint, wird auf eine andere CAPTCHA-Seite weitergeleitet, die möglicherweise zu einer separaten Betrugsoperation gehört.

Nach vier angeblichen Prüfungen können bis zu 60 Kurznachrichten an 15 unterschiedliche Nummern ausgelöst werden. Für einzelne Nutzer kann das rund 30 US-Dollar kosten. Das klingt zunächst begrenzt, wird bei massenhafter Ausführung aber zu einem lukrativen Geschäftsmodell. Besonders perfide ist die zeitliche Verzögerung: Internationale Kurznachrichten erscheinen oft erst Wochen später auf der Mobilfunkrechnung. Dann ist der Besuch der gefälschten Webseite längst vergessen.

Infoblox warnt deshalb vor einem doppelten Schaden. „Diese Operation betrügt gleichzeitig Einzelpersonen und Telekommunikationsanbieter”, heißt es in der Analyse. Nutzer sehen unerwartete Gebühren, Netzbetreiber zahlen Umsatzanteile an die Täter und bleiben bei Reklamationen oder Rückbuchungen häufig auf Verlusten sitzen.

Browser-Falle verhindert den einfachen Ausstieg

Eine weitere Technik erhöht den Druck auf das Opfer: sogenanntes Back-Button-Hijacking. Dabei manipuliert JavaScript den Browserverlauf. Wer über die Zurück-Schaltfläche die Seite verlassen will, landet erneut auf der gefälschten CAPTCHA-Seite. Der Nutzer wird so in einer Navigationsschleife gehalten, bis er den Browser vollständig schließt.

Auffällig ist zudem die Einbindung kommerzieller Traffic Distribution Systems (TDSs). Solche Systeme leiten Besucher je nach Gerät, Herkunft, Sprache, Verhalten oder Risikoprofil an unterschiedliche Ziele weiter. Ursprünglich dienen sie im Online-Marketing der Kampagnensteuerung. In kriminellen Händen werden sie zur Tarn- und Skalierungsinfrastruktur für Phishing, Malware-Verteilung oder eben Kurznachrichtenbetrug.

Keitaro wird zur Drehscheibe für Betrugsverkehr

Parallel untersuchten Infoblox und Confiant den Missbrauch von Keitaro Tracker. Keitaro ist eigentlich ein selbst gehosteter Werbe- und Performance-Tracker, der Besucher anhand definierter Regeln durch sogenannte Flows leitet. Die Unternehmen fassen den Missbrauch zusammen: „Bedrohungsakteure zweckentfremden diesen Mechanismus und verwandeln einen Keitaro-Server in ein All-in-one-Werkzeug, das als TDS, Tracker und Tarnschicht dient.”

Zwischen Oktober 2025 und Januar 2026 wurden mehr als 120 Kampagnen beobachtet, die Keitaros TDS zur Linkverteilung missbrauchten. Kunden von Infoblox registrierten in diesem Zeitraum rund 226.000 DNS-Anfragen zu 13.500 Domains mit Keitaro-Bezug. Nach verantwortungsvoller Meldung sperrte Keitaro mehr als ein Dutzend zugeordnete Konten.

Die Kampagnen reichten von Malware-Auslieferung über Krypto-Diebstahl bis zu Investmentbetrug. Besonders häufig wurden Anzeigen auf Facebook genutzt, um Opfer auf angeblich KI-gestützte Handelsplattformen zu locken. Teilweise kamen gefälschte Prominentenempfehlungen, nachgebaute Nachrichtenartikel und Deepfake-Videos zum Einsatz. Die Nutzung synthetischer Videos wird einem Akteur namens FaiKast zugeschrieben.

Krypto-Betrug dominiert den Spam-Verkehr

Besonders deutlich zeigt sich der Missbrauch im Kryptobereich. Laut Infoblox und Confiant bewarben rund 96 Prozent des Keitaro-bezogenen Spam-Verkehrs Wallet-Drainer-Kampagnen. Dabei werden Nutzer über angebliche Airdrops oder Gewinnaktionen rund um AURA, SOL (Solana), Phantom (Wallet) und Jupiter (dezentrale Kryptobörse) dazu gebracht, ihre Krypto-Wallets mit bösartigen Webseiten zu verbinden.

Die beiden Untersuchungen zeigen denselben Trend aus unterschiedlichen Blickwinkeln: Betrüger kombinieren ältere, bewährte Maschen mit moderner Umleitungs-, Tarn- und Automatisierungstechnik. Das macht Angriffe schwerer zu erkennen, verschiebt Kosten auf Opfer und Provider und verwandelt scheinbar harmlose Klicks in spürbare finanzielle Schäden.

Weitere Beiträge zum Thema: 

Cyberkriminalität in der KI-Ära

Krümelmonster auf Beutezug

Die Zukunft des Phishings