● Le Journal du Geek 📅 12/05/2026 à 12:33

Comment un simple CAPTCHA peut vous plomber votre facture téléphonique

Cybersécurité 👤 Florent Erculisse
Illustration
© ChatGPT - IA Un clic, 30 dollars. Des escrocs ont trouvé un moyen redoutablement simple de vous facturer des SMS internationaux à votre insu. La victime n’y voit que du feu, et pour cause : l’arnaque fonctionne sur la base des CAPTCHA, ces “tests” qui servent à prouver que vous êtes bien un humain. Des chercheurs d’Infoblox Threat Intel ont en effet mis en lumière une toute nouvelle campagne de fraude appelée International Revenue Share Fraud (IRSF), active depuis le mois de juin 2020. Le fonctionnement de la fraude est tout particulièrement malicieux, d’autant qu’il extorque de l’argent à la victime sans qu’elle ne s’en rende véritablement compte. Et quand c’est le cas, c’est bien trop tard. L’arnaque repose donc sur les CAPTCHA. La victime atterrit sur une fausse page de vérification d’identité CAPTCHA via une chaîne de redirections déclenchée par une faute de frappe dans un nom de domaine de télécom. Vous pourriez ainsi tomber sur pareille page en tapant par erreur “srf.fr” au lieu de “sfr.fr” dans la barre de recherche. Ledit faux CAPTCHA et le SMS préécrit pour être envoyé. © Infoblox Threat Intel. Pour accéder au site en question, il ne suffit que de passer la phase de vérification CAPTCHA classique qui nécessite de sélectionner les photos comportant une bicyclette ou de reconnaître du texte. Enfin, pour valider la vérification, il faut envoyer un SMS. En effet, juste en dessous du test, une petite case est cochée et accompagnée du texte “Send SMS to confirm you are human”. C’est là que le piège se referme. 60 MMS internationaux La page de SMS s’ouvre instantanément, avec un texte déjà rédigé pour 15 destinataires aux numéros très exotiques. Azerbaïdjan, Myanmar, Suisse, Malawi, Kazakhstan ou encore Egypte : envoyer un SMS dans ces pays est extrêmement coûteux, et ça l’est encore plus lorsqu’il s’agit d’un MMS. La victime, pensant confirmer son test, envoie alors ce MMS à ces 15 numéros. Le pire, c’est que pour venir à bout dudit CAPTCHA, il faut répondre à 4 tests différents, et donc procéder à l’envoi de 15 MMS à chaque fois. Ce sont donc 60 MMS internationaux qui sont envoyés en une seule session, pour un coût d’environ 30 dollars à la victime. Jusqu’ici, on peut penser que les pirates n’y trouvent pas leur compte et que c’est l’opérateur qui touche le gros lot. Et pourtant, ces mêmes pirates louent des numéros dans des pays à frais de terminaison élevés et établissent des accords de partage de revenus avec les opérateurs locaux, grâce au modèle Click2SMS. Généralement, les frais arrivent sur la facture de téléphonie de la victime, soit quelques semaines plus tard. Celle-ci a alors oublié l’incident, et découvre avec stupéfaction qu’elle s’est fait arnaquer. 🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins. Partagez 𝕏 0 commentaire Signaler une erreur NomPrénomNomAdresse de contact *L'erreur concerne *Une / des fautes d'orthographeUne formulation erronéeLe sens même de l'articleErreur à signaler à l'équipe du JDG *MessageEnvoyer Source : Infoblox CaptchacybersécuritéescroquerieFraude téléphoniqueIRSFphishingSécurité mobileTéléphonie "J’ai acheté cette télé parce-que Dua Lipa est dessus" C'est quoi cette histoire avec Samsung et ses cartons de TV ? Voici les marges d’erreur des radars en 2026 pour éviter les amendes sur la route des vacances Les dernières actualités Voici les marges d’erreur des radars en 2026 pour éviter les amendes sur la route des vacances Comment un simple CAPTCHA peut vous plomber votre facture téléphonique “J’ai acheté cette télé parce-que Dua Lipa est dessus” C’est quoi cette histoire avec Samsung et ses cartons de TV ? L’IA peut contourner la protection la plus sécurisée du web en quelques minutes Nés en 1991 ? Ce parc vous offre une entrée gratuite Porsche arrête les vélos électriques et revient à ses classiques Discord offre l’édition starter du Game Pass avec Nitro : 50 jeux et 10 heures de cloud gaming Victoire pour les utilisateurs d’iPhone et d’Android : vos textos sont désormais protégés par un chiffrement de bout en bout entre les deux plateformes, à condition d’utiliser le RCS
← Retour