Un simple test de vérification suffit. L’utilisateur clique, prouve qu’il n’est pas un robot, et passe à autre chose. Ce qu’il ignore : son téléphone vient d’envoyer des SMS vers une cinquantaine de numéros internationaux surtaxés. Les frais n’apparaîtront sur sa facture que plusieurs semaines plus tard. La fraude sera oubliée depuis longtemps.
C’est le mécanisme que les chercheurs d’Infoblox Threat Intel ont documenté en détail dans un rapport publié fin avril 2026. La technique s’appelle IRSF pour International Revenue Share Fraud, ou fraude au partage de revenus internationaux. Elle n’est pas nouvelle. Ce qui l’est, c’est l’utilisation de faux CAPTCHA comme déclencheur.
Un mécanisme de confiance retourné contre ses utilisateurs
Le CAPTCHA permet de distinguer un humain d’un automate. Chaque internaute l’a rencontré des centaines de fois dans sa vie numérique. C’est précisément cette familiarité que les cybercriminels exploitent.
Dans le schéma décrit par Infoblox, l’utilisateur atterrit sur un faux site (souvent un domaine imitant une grande marque télécom) via un système commercial de distribution de trafic (TDS). Le plus documenté dans cette campagne est Keitaro, un outil de tracking publicitaire détourné par des acteurs malveillants. Entre octobre 2025 et janvier 2026, plus de 120 campagnes distinctes ont abusé de cette infrastructure, générant 226 000 requêtes DNS sur 13 500 domaines.
Une fois sur la page frauduleuse, l’utilisateur se voit demander d’envoyer un SMS pour “confirmer qu’il est humain”. Le CAPTCHA comporte plusieurs étapes. Chaque message est automatiquement renseigné avec plus d’une douzaine de numéros internationaux. Au total, une victime envoie en moyenne plus de 60 SMS vers 35 numéros répartis dans 17 pays (Azerbaïdjan, Kazakhstan, Birmanie, etc.) ou certaines plages de numéros premium en Europe. Le coût pour la victime : environ 30 dollars par session. La campagne est active depuis juin 2020.
Une infrastructure d’affiliation au service de la fraude téléphonique
Ce qui distingue cette attaque des escroqueries classiques, c’est encore une fois son industrialisation. Les chercheurs David Brunsdon et Darby Wise d’Infoblox ont retracé la chaîne complète. En effet, les mêmes réseaux publicitaires légitimes qui orientent les internautes vers des contenus servent ici à acheminer les victimes vers les pages frauduleuses. Des licences Keitaro volées ou craquées ont été utilisées. Des comptes ont été fermés après signalement responsable, mais l’infrastructure globale reste active.
La Dr Renée Burton, vice-présidente d’Infoblox Threat Intel, explique que « ce qui rend cette opération particulièrement efficace, ce n’est pas seulement le faux CAPTCHA en lui-même, mais aussi les systèmes commerciaux de publicité et de génération de trafic qui l’entourent. Des infrastructures de type affiliation sont détournées pour industrialiser la fraude téléphonique, tout en rendant très difficile pour des observateurs extérieurs d’en percevoir l’ensemble ».
Les frais apparaissent des semaines après l’incident sur la facture de l’abonné, sous la mention générique “SMS internationaux”. Le lien avec le faux CAPTCHA est, à ce stade, introuvable. Les opérateurs télécoms subissent quant à eux une double peine : ils versent les frais de terminaison aux réseaux partenaires, dont une part revient aux fraudeurs, et doivent absorber les litiges et remboursements des clients.
La confiance numérique comme surface d’attaque
Cette campagne illustre un glissement structurel dans les stratégies d’attaque. Les cybercriminels ne cherchent plus seulement à exploiter des failles techniques. Ils exploitent des mécanismes de confiance, les outils et les gestes que les utilisateurs ont appris à considérer comme fiables.
Le CAPTCHA en est le parfait exemple. Conçu pour authentifier l’humain derrière l’écran, il devient ici le vecteur d’une fraude financière silencieuse. Le même raisonnement vaut pour les réseaux publicitaires, dont la légitimité perçue sert de couverture à la distribution du trafic malveillant.
Moralité, les surfaces d’attaque ne se limitent plus aux systèmes d’information internes. Les interfaces web de vérification d’identité (CAPTCHA, formulaires de double authentification, pages de consentement, etc.) sont désormais des vecteurs à part entière.
Et rappelez-vous qu’un test de sécurité ne demande jamais à envoyer un SMS.
