Jebakan SMS di Balik CAPTCHA –

Jebakan SMS di Balik CAPTCHA – Sebagian besar pengguna internet sudah tidak asing lagi dengan uji CAPTCHA tantangan sederhana seperti memilih gambar lampu lalu lintas atau mengetik huruf yang terdistorsi untuk mengonfirmasi bahwa mereka adalah manusia.

Namun, para penjahat siber telah menemukan cara untuk menyalahgunakan proses ini menjadi senjata yang merugikan.

Peneliti baru-baru ini mengungkap bahwa peretas membangun halaman CAPTCHA palsu yang menipu pengguna agar mengirimkan pesan teks (SMS) internasional berbayar.

Tanpa disadari, puluhan pesan tersebut akan membebani tagihan telepon korban secara diam-diam. Ancaman ini terkait erat dengan skema penipuan telekomunikasi yang disebut International Revenue Share Fraud (IRSF), yang telah aktif setidaknya sejak Juni 2020.

Mekanisme Penipuan

Skema ini memancing pengguna ke situs web yang terlihat seperti halaman verifikasi sah. Alih-alih instruksi CAPTCHA normal, halaman palsu ini menginstruksikan pengguna untuk mengirimkan pesan SMS untuk membuktikan bahwa mereka bukan robot.

Yang tidak diketahui oleh para korban adalah bahwa pesan-pesan tersebut dikirim ke nomor telepon di negara-negara dengan biaya terminasi yang sangat tinggi, seperti Azerbaijan, Mesir, dan Myanmar.

Setiap teks yang terkirim menghasilkan pendapatan bagi penipu, yang sebelumnya telah mengatur pembagian biaya telekomunikasi dengan operator lokal di negara tujuan.

Korban biasanya baru menyadari kerusakan finansial ini berminggu-minggu kemudian, saat tagihan telepon yang membengkak atau pengurangan pulsa yang tidak wajar muncul dalam laporan bulanan mereka.

Analisis dari peneliti menunjukkan bahwa satu interaksi dengan satu halaman CAPTCHA palsu dapat memicu pengiriman hingga 60 SMS internasional ke lebih dari 50 tujuan berbeda.

Dalam satu sesi saja, seorang korban bisa menanggung biaya sekitar tiga puluh dolar. Meskipun angka tersebut tampak kecil bagi individu, skala serangan yang menyasar jutaan calon korban membuat operasi ini sangat menguntungkan bagi aktor ancaman di baliknya.

TDS dan Pengalihan Trafik

Hal yang membuat ancaman ini sangat serius adalah cara korban sampai ke halaman-halaman tersebut, kampanye ini menggunakan Traffic Distribution System (TDS).

TDS adalah sebuah sistem yang secara diam-diam mengarahkan trafik web melalui beberapa lapisan sebelum mendaratkan pengguna pada halaman tujuan yang berbahaya.

Para peneliti menelusuri satu rantai serangan yang dimulai saat seorang pengguna mengunjungi domain yang mirip dengan perusahaan telekomunikasi besar di AS.

Kunjungan tersebut memicu serangkaian pengalihan melalui node-node TDS sebelum akhirnya mendarat di halaman CAPTCHA palsu.

Infrastruktur yang berlapis ini membantu operasi peretasan tetap tersembunyi dari pengamatan peneliti keamanan dan sistem deteksi otomatis.

Penipuan ini merugikan individu sekaligus operator seluler secara bersamaan. Penyedia layanan telekomunikasi sering kali harus menanggung kerugian akibat perselisihan tagihan dengan pelanggan, sementara mereka secara tidak sadar terus membayar pendapatan kepada para penipu.

Peneliti mengamati 35 nomor telepon yang tersebar di 17 negara dalam kampanye ini, dan infrastruktur tersebut tetap konsisten pada jaringan yang sama selama bertahun-tahun.

Penyebaran di banyak negara membuat hampir tidak mungkin bagi satu penyedia layanan pun untuk mendeteksi cakupan penuh dari serangan ini secara mandiri.

Cara Kerja Serangan

Desain teknis dari CAPTCHA palsu ini sebenarnya sederhana, namun penyesatannya sangat efektif. Saat pengguna mendarat di salah satu halaman ini, mereka melihat tugas yang tampak normal, seperti mengidentifikasi hewan atau memilih gambar tertentu. Namun, di balik layar, terjadi proses berikut:

Eksekusi JavaScript Tersembunyi: Setelah setiap jawaban diberikan oleh pengguna, skrip JavaScript secara diam-diam menghubungi server penyerang. Server kemudian mengembalikan daftar nomor telepon internasional yang telah dimuat sebelumnya beserta teks pesan yang sudah disiapkan.
Otomasi Aplikasi Pesan: Ponsel pengguna kemudian secara otomatis membuka aplikasi pesan dengan nomor-nomor tujuan dan teks pesan yang sudah terisi. Korban hanya perlu mengetuk tombol “kirim” tanpa menyadari konsekuensi biayanya.
Pembajakan Tombol Kembali (Back Button Hijacking): Kampanye ini juga menggunakan teknik pembajakan navigasi. Saat pengguna mencoba meninggalkan halaman dengan menekan tombol kembali, sebuah skrip akan mendorong URL saat ini ke dalam riwayat browser dan mengarahkan korban kembali ke halaman CAPTCHA tersebut.

Pertama kali diamati pada Januari 2023, lingkaran setan ini membuat pengguna terjebak di halaman berbahaya sampai mereka menutup paksa browser.

Meskipun terdapat semacam penafian (disclaimer) di bagian bawah halaman yang membingkai proses tersebut sebagai pertukaran layanan, dokumen tersebut tidak pernah mengungkapkan bahwa puluhan pesan internasional berbayar akan dikirimkan. Ini adalah bentuk penyesatan, bukan pengungkapan informasi yang jujur.

Langkah Penjagaan dan Mitigasi

Mengingat kecerdikan serangan ini dalam memanfaatkan fungsi dasar ponsel, diperlukan kewaspadaan tingkat tinggi dari pengguna maupun penyedia layanan. Berikut adalah langkah-langkah mitigasi yang disarankan:

1. Jangan Pernah Mengirim SMS untuk Verifikasi

Ingatlah bahwa tidak ada layanan internet sah yang mengharuskan Anda mengirimkan SMS internasional sebagai bagian dari uji CAPTCHA atau proses verifikasi “manusia”. Jika diminta demikian, segera tinggalkan situs tersebut.

2. Periksa Tagihan Secara Rutin

Periksa tagihan telepon atau detail pemakaian pulsa Anda setiap bulan. Segera hubungi operator seluler jika ditemukan biaya SMS internasional yang tidak pernah Anda lakukan.

3. Gunakan Keamanan DNS

Bagi organisasi, gunakan alat keamanan DNS untuk mendeteksi dan memblokir domain pengalihan berbahaya serta node TDS yang sudah dikenal.

4. Pemantauan Real-Time bagi Operator

Penyedia layanan telekomunikasi harus mengimplementasikan pemantauan waktu nyata untuk mengidentifikasi dan memblokir trafik SMS yang meningkat secara artifisial menuju destinasi berisiko tinggi.

5. Gunakan Perlindungan

Gunakan solusi keamanan yang dapat membantu mengidentifikasi dan memblokir situs web berbahaya yang menggunakan skrip pengalihan trafik sebelum Anda mendarat di halaman penipuan tersebut.

Navigasi Aman

Kasus penipuan CAPTCHA ini membuktikan bahwa peretas selalu mencari celah pada kebiasaan pengguna. Kita telah dilatih untuk patuh pada instruksi CAPTCHA agar bisa mengakses konten, dan celah kepatuhan inilah yang dieksploitasi oleh aktor IRSF.

Di tahun 2026, perlindungan siber yang paling efektif adalah sikap skeptis: jangan mengirim teks hanya untuk membuktikan Anda adalah manusia.

Dengan tetap waspada terhadap pop-up yang mencurigakan dan memahami cara kerja infrastruktur pengalihan, kita dapat melindungi tagihan telepon dan data pribadi kita dari industri penipuan global yang semakin terorganisir ini.

Baca juga: