Die versteckte Rechnung: Wie gefälschte CAPTCHAs Nutzer um Geld bringen

Stellen Sie sich vor, Sie wollen nur prüfen, ob Sie ein human Mensch sind – und landen statt auf der gewünschten Seite plötzlich auf einer webpage Webseite, die Ihnen sagt: send Senden Sie eine SMS, um fortzufahren. Klingt absurd? Für Tausende Nutzer ist genau das Realität – und der Preis steht Wochen später auf der phone bill Telefonrechnung. Sicherheitsforscher von Infoblox haben eine globale Betrugskampagne enthüllt, bei der gefälschte CAPTCHA-Abfragen als Lockmittel dienen. Hinter der scheinbaren Verifizierung verbirgt sich ein perfides System: Jeder Klick löst nicht eine, sondern bis zu 60 international internationale SMS aus – automatisch vorausgefüllt, mit Empfängerzahlen aus Ländern wie Aserbaidschan oder Myanmar, wo Terminierungsgebühren besonders hoch sind.

Der Mechanismus trägt einen bürokratischen Namen: Internationaler Umsatzbeteiligungsbetrug (IRSF). Doch dahinter steckt eine simple Gleichung: Wenn Sie eine SMS ins Ausland schicken, zahlt Ihr mobile carrier Netzbetreiber dem Empfängeranbieter eine Gebühr – und Betrüger kassieren ab. Durch geschickt registrierte Nummern in high-rate Hochpreisländern und Umsatzbeteiligungsverträge fließen die Einnahmen direkt in ihre Taschen. Die victims Opfer bemerken erst Monate später, dass sie für etwas bezahlt haben, an das sie sich kaum noch erinnern – eine vermeintliche verification Verifikation, die nie eine war. Laut dem Global Fraud Loss Report 2025 gehört dieser traffic Nachrichtenverkehr zu den finanziell folgenreichsten Formen des fraud Betrugs – mit Schäden in Höhe von billions Milliarden US-Dollar pro Jahr.

Technisch ist die Maschinerie perfekt getarnt. Die gefälschten CAPTCHAs nutzen vertraute Formate – image recognition Bilderkennung, text entry Texteingabe –, doch anstelle eines Hakens erscheint die Aufforderung, eine Nachricht abzuschicken. Ein JavaScript-Skript öffnet die Messaging-App automatisch mit einer Liste von bis zu 15 Empfängernummern pro Schritt. Vier Stufen, bis zu 60 SMS – das macht etwa 30 US-Dollar cost Kosten pro Opfer. Besonders raffiniert: Der difficulty Schwierigkeitsgrad wird niedrig gehalten. Es geht nicht um challenge Herausforderung, sondern um Volumen. Und die back button Zurück-Schaltfläche? Deaktiviert. Wer fliehen will, wird per pushState()-Manipulation sofort zurückgeschleust – manchmal auf eine zweite Betrugsseite.

Die Opfer werden nicht zufällig ausgewählt. Über Traffic-Distribution-Systeme (TDS) werden gezielt Nutzer auf die gefährlichen Seiten geleitet. Eine typische Kette führt von einer Lookalike-Domain über mehrere Weiterleitungen – unter anderem zu einem Knoten, der einem Affiliate-Werbenetzwerk in Deutschland zugeordnet wird – bis zur finalen fraudulent betrügerischen CAPTCHA-Seite. Die gesamte Infrastruktur läuft seit mindestens Juni 2020 über spanische IP-Adressen, Domains sind bei GoDaddy registriert, Cookies verfolgen location Standort und Verhalten. Selbst ein disclaimer rechtlicher Haftungsausschluss ist vorhanden – eine groteske disclosure Scheindisklosure, die vor den wahren Kosten warnt, aber verschweigt, dass Dutzende teure SMS versandt werden.

Am Ende zahlen nicht nur die consumers Verbraucher, sondern auch die network operators Netzbetreiber. Sie erstatten die Gebühren an die Täter und tragen gleichzeitig die Last der customer complaints Kundenreklamationen. Die international spread internationale Streuung über 17 Länder und mehrere Schichten von Weiterleitungen macht es nahezu unmöglich, das full scale gesamte Ausmaß zu erfassen. Infoblox warnt: Diese Kampagne ist kein Einzelphänomen, sondern Teil eines größeren Ökosystems aus Telekommunikationsbetrug und digitaler Täuschung. Die klare advice Empfehlung: Kein legitimer Dienst verlangt eine SMS zur verification Verifizierung. Wenn die Aufforderung kommt – close schließen Sie die Seite. Sofort.