Derrière une interaction devenue presque automatique pour les internautes, une mécanique de fraude discrète s’installe. Des chercheurs en sécurité ont mis en évidence une campagne qui détourne les pages de vérification CAPTCHA pour inciter les utilisateurs à déclencher, sans le savoir, l’envoi de SMS surtaxés. Une technique simple, mais efficace, qui repose sur des gestes devenus réflexes.
Une interaction banale utilisée comme point d’entrée
Le CAPTCHA est conçu pour filtrer les robots et valider la présence d’un utilisateur humain. Dans la pratique, il est souvent traité comme une formalité, validée rapidement, sans réelle attention. C’est précisément ce comportement que les attaquants exploitent.
Dans les cas observés, l’utilisateur est redirigé vers une page qui imite un CAPTCHA classique. L’interface ne présente rien d’anormal à première vue. Le but n’est pas de voler des identifiants ou d’installer un malware, mais de pousser l’utilisateur à effectuer une action qui déclenche un envoi de SMS vers un numéro surtaxé. Cette action peut prendre différentes formes, mais elle repose toujours sur une manipulation très simple, intégrée dans le parcours de navigation. L’utilisateur pense valider une étape de sécurité, alors qu’il active en réalité un mécanisme de facturation.
Une fraude qui s’appuie sur des mécanismes connus
La technique utilisée s’inscrit dans un modèle de fraude déjà identifié, l’International Revenue Share Fraud. Le principe consiste à générer des communications vers des numéros surtaxés, dont une partie des revenus est récupérée par les opérateurs malveillants.
Ce qui change ici, c’est la manière de déclencher l’action. Plutôt que d’envoyer des messages directement ou d’utiliser des malwares, les attaquants s’appuient sur l’utilisateur lui-même. Le CAPTCHA sert de point de passage crédible, qui ne suscite pas de méfiance particulière.
Les analyses publiées par des acteurs comme Infoblox montrent que ce type de campagne existe depuis plusieurs années, mais qu’il continue de circuler, avec des variantes adaptées aux usages actuels.
Une détection difficile côté utilisateur et côté système
Le caractère discret de cette fraude tient à la nature même de l’action. L’utilisateur effectue un geste qui lui semble légitime, sans déclencher d’alerte immédiate. L’impact financier reste souvent limité à court terme, ce qui retarde la prise de conscience.
Côté technique, il n’y a pas de comportement malveillant identifiable au sens classique. Aucun code n’est injecté, aucune faille n’est exploitée. L’interaction repose sur des fonctionnalités standard du terminal et du réseau mobile, ce qui complique fortement la détection. Ces campagnes misent sur l’accumulation plutôt que sur un effet spectaculaire. Elles s’appuient sur des actions simples, répétées, qui se fondent dans les usages quotidiens.
Le CAPTCHA est censé valider une interaction humaine. Ici, il devient le point de départ d’une action qui n’a rien à voir avec la sécurité. Ce type de détournement montre surtout une évolution des méthodes. L’attaque ne vise plus un système, mais un geste devenu automatique. C’est précisément ce qui la rend difficile à anticiper.
