CyberkriminalitätPhishingDatenschutz

Gefälschte CAPTCHA-Seiten: Wie Betrüger über SMS-Betrug Millionen verdienen

Von CyberDeutsch Redaktion
Gefälschte CAPTCHA-Seiten: Wie Betrüger über SMS-Betrug Millionen verdienen
Zusammenfassung

Sicherheitsforscher haben eine ausgefeilte Betrugskampagne aufgedeckt, die Millionen von Nutzern weltweit gefährdet: Kriminelle verwenden gefälschte CAPTCHA-Verifizierungen, um Opfer dazu zu bringen, internationale SMS-Nachrichten zu versenden, die zu hohen Gebühren auf den Mobilfunkrechnungen führen. Die Kampagne nutzt dabei die kommerzielle Keitaro-TDS-Infrastruktur, um Nutzer massenhaft auf betrügerische Seiten umzuleiten. Seit Juni 2020 sind mindestens 120 unterschiedliche Kampagnen aktiv, die neben SMS-Betrug auch Kryptowährungsschwindel und gefälschte Investitionsplattformen mit vermeintlicher KI-Unterstützung verbreiten. Ein einzelnes Opfer kann durch die mehrstufige Fake-Verifizierung bis zu 60 SMS an verschiedene Länder versenden und dabei etwa 30 Euro Gebühren zahlen – Kosten, die oft erst Wochen später auf der Rechnung erscheinen. Deutsche Nutzer und Unternehmen sind besonders gefährdet, da die Kampagnen über Facebook-Anzeigen verbreitet werden und deutsche Mobilfunkbetreiber Teil des Gebührensystems sind. Die Betrüger registrieren Nummern strategisch in Ländern mit hohen Terminierungsgebühren wie Aserbaidschan oder Kasachstan und arbeiten mit lokalen Telekommunikationsanbietern zusammen. Besonders tückisch ist die Methode des „Back-Button-Hijacking", die Nutzer in einer Navigationsfalle festhält und verhindert, dass sie die Seite verlassen können.

Die Sicherheitsforscher David Brunsdon und Darby Wise von Infoblox haben eine bemerkenswerte Betrugskampagne enthüllt, die seit mindestens Juni 2020 aktiv ist. Das System funktioniert perfide einfach: Nutzer werden auf gefälschte Webseiten geleitet, auf denen sie eine CAPTCHA-Verifizierung durchführen sollen. Doch statt einer harmlosen Sicherheitsprüfung werden sie damit in ein Netzwerk von SMS-Betrügereien hineingezogen.

Jede dieser Seiten ist mit über einem Dutzend Telefonnummern vorkonfiguriert. Nach vier CAPTCHA-Schritten können bis zu 60 SMS an 15 verschiedene Nummern automatisch versendet werden – ohne dass der Nutzer dies bewusst wahrnimmt. Die Kosten? Bis zu 30 Dollar pro Durchlauf. Die Telefonnummern erstrecken sich über 17 Länder, darunter Aserbaidschan, die Niederlande, Polen und die Türkei – allesamt Länder mit hohen Terminierungsgebühren oder lockerer Regulierung.

Besonders tückisch ist das Geschäftsmodell: Die Gebühren erscheinen oft erst Wochen später auf der Mobilfunkrechnung. Bis dahin haben Nutzer die fragwürdige CAPTCHA längst vergessen. Parallel profitieren die Betrüger von verzögerter Abrechnung und geteilten Einnahmen mit lokalen Telekommunikationsanbietern.

Das System nutzt auch Browser-Hijacking: Ein JavaScript-Skript manipuliert die Browser-Historie so, dass Nutzer, die den Zurück-Button drücken, unwiederbringlich zur CAPTCHA-Seite zurückgelenkt werden. Sie sitzen in einer Navigationsschleife fest.

Noch besorgniserregender ist die Verbindung zu Keitaro – einem Traffic Distribution System (TDS), das normalerweise für Malware-Verteilung missbraucht wird. Zwischen Oktober 2025 und Januar 2026 dokumentierten Infoblox und Confiant über 120 Kampagnen, die Keitaro für verschiedenste Betrügereien einsetzten. DNS-Abfragen zeigten etwa 226.000 Zugriffe auf 13.500 Keitaro-Domains.

Als besonders problematisch erweist sich auch der Missbrauch von Keitaro für Kryptowährungs-Betrug: 96 Prozent des Spam-Traffics zielte auf Wallet-Drainer ab, oft getarnt als Airdrop-Giveaways für beliebte Tokens wie SOL oder Phantom.

Die Betrugsopfer – sowohl Privatnutzer als auch Telekommunikationsanbieter – tragen erhebliche Verluste. Telekomm-Carriers zahlen Provisionen an die Betrüger, während Nutzer mit unerklärten Premium-SMS-Gebühren konfrontiert werden. Eine Meldepflicht, wie sie die DSGVO für Datenverluste vorsieht, existiert für SMS-Betrug bislang nicht – ein regulatorisches Loch, das Betrüger gezielt ausnutzen.

Ähnliche Artikel