Valevarmennus syö puhelinlaskua — uusi huijaus käyttää CAPTCHA-sivuja

Tietoturvayhtiö Infoblox on paljastanut maailmanlaajuisen huijauskampanjan, jossa väärennetyt CAPTCHA-varmennussivut huijaavat mobiililaitteen käyttäjän lähettämään maksullisia kansainvälisiä tekstiviestejä. Kyseessä on niin sanottu IRSF-petos (International Revenue Share Fraud eli kansainvälinen tulonjako-petos), jossa rikollinen ansaitsee rahaa jokaisesta uhrin lähettämästä viestistä. Huijaus muistuttaa perinteistä tietojenkalastelua, mutta uhri ei luovuta tietojaan — hän lähettää tekstiviestejä. Kampanja on ollut toiminnassa ainakin vuodesta 2020, mutta skaalautui merkittävästi loka-tammikuussa 2025–2026.

Miten huijaus toimii

Uhri päätyy huijaussivulle tyypillisesti mainoksen, roskapostilinkin tai hakukonetuloksen kautta. Sivusto näyttää tavalliselta CAPTCHA-varmennukselta — "Todista, että olet ihminen" — mutta se ei ole aito varmennus vaan huijaussivu.

Infobloxin raportin mukaan huijaus etenee näin:

1. Käyttäjä klikkaa "Vahvista"-painiketta
2. Sivu käyttää puhelimen sms-protokollaa avatakseen viestisovelluksen, johon on valmiiksi täytetty vastaanottajanumero ja viesti
3. CAPTCHA-sivulla on useita "vaiheita", joista jokainen lähettää viestejä eri numeroihin
4. Yksittäinen uhri voi päätyä lähettämään viestejä jopa 50 eri numeroon 17 maahan

Vastaanottajanumerot on vuokrattu maista, joissa kansainvälisen tekstiviestin vastaanottomaksu on korkea — Azerbaidžanissa, Kazakstanissa ja eräissä Euroopan premium-numeroissa. Rikollinen saa osuuden jokaisesta vastaanottomaksusta, ja uhrin puhelinlaskuun kertyy maksuja tämän tietämättä.

Infobloxin tutkimuksen mukaan huijausten takana on yli 120 erillistä kampanjaa, jotka käyttävät Keitaro-nimistä liikenteenjakelujärjestelmää. Loka-tammikuussa 2025–2026 tutkijat havaitsivat noin 226 000 DNS-kyselyä yli 13 500 verkkotunnukseen, jotka liittyivät kampanjoihin.

Tunnistusmerkit

• Verkkosivusto pyytää "CAPTCHA-varmennusta", joka avaa puhelimen viestisovelluksen
• Viestisovellukseen ilmestyy valmiiksi kirjoitettu viesti tuntemattomaan numeroon
• CAPTCHA vaatii useita klikkauksia tai "vaiheita"
• Aito CAPTCHA (reCAPTCHA, hCaptcha, Cloudflare Turnstile) ei koskaan pyydä lähettämään tekstiviestiä

Mitä tehdä

• Älä koskaan lähetä tekstiviestiä varmennuksen yhteydessä. Yksikään aito varmennuspalvelu ei pyydä lähettämään tekstiviestiä. Jos verkkosivusto avaa viestisovelluksen, sulje se välittömästi äläkä paina Lähetä-painiketta.
• Tarkista puhelinlaskusi säännöllisesti. Jos laskulla näkyy tuntemattomia kansainvälisiä tekstiviestejä, ota yhteyttä operaattoriisi.
• Estä kansainväliset premium-tekstiviestit operaattorisi kautta, jos et tarvitse palvelua.
• Ilmoita huijaussivustoista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.

Jos olet jo uhri:

• Ota välittömästi yhteyttä operaattoriisi ja pyydä kiistämään kansainväliset tekstiviestimaksut. Pyydä samalla estämään premium-tekstiviestit tulevaisuudessa.
• Tee rikosilmoitus osoitteessa poliisi.fi, koska luvattomien maksujen aiheuttaminen on petos.
• Rikosuhripäivystys tarjoaa tukea numerossa 116 006.

Suomalainen tilanne

Suomessa Traficomin uusi tekstiviestin lähettäjätunnusten rekisteröintivelvoite astuu voimaan 4. toukokuuta 2026. Säännös vaikeuttaa lähettäjätunnuksen väärentämistä, mutta se ei suojaa tältä huijaukselta, koska CAPTCHA-petos saa uhrin itse lähettämään viestin omasta puhelimestaan. Uhrin operaattori näkee viestin tavallisena lähetettynä tekstiviestinä.

Huijaus kohdistuu erityisesti mobiililaitteisiin, koska sms-protokollan hyödyntäminen vaatii puhelimen viestisovelluksen. Tietokoneella hyökkäys ei toimi samalla tavalla. Yksittäinen kansainvälinen tekstiviesti voi maksaa suomalaisella liittymällä 1–5 euroa, joten 50 viestin lähettäminen voi aiheuttaa jopa 50–250 euron puhelinlaskun.