Arnaque au faux CAPTCHA : des SMS qui font grimper votre facture Des pages CAPTCHA détournées déclenchent des SMS premiums, gonflant les factures mobiles et impacts pour les opérateurs.
Le phénomène des tests « prouvez que vous êtes humain » n’est pas nouveau, mais il prend une tournure dangereuse pour les consommateurs et les opérateurs mobiles. L’arnaque au faux CAPTCHA exploite la confiance des utilisateurs en ces vérifications pour déclencher des envois de SMS internationals et des abonnements à des services premiums. En clair: cliquer sur un bouton censé prouver que vous êtes humain peut devenir une dépense surprise sur votre facture téléphonique. Selon les analyses de Infoblox Threat Intelligence, des pages qui se présentent comme des CAPTCHA détournent ce mécanisme pour pousser des envois de SMS à tarification élevée. Pour les idiots utiles comme pour les opérateurs, le coût peut être conséquent et récurrent.
Comment fonctionne l’arnaque au faux CAPTCHA
Dans cette arnaque, une page web affiche un test ressemblant à un CAPTCHA légitime. L’objectif est de pousser l’utilisateur à cliquer sur un bouton ou à effectuer une action qui initie l’envoi d’un SMS vers un numéro surtaxé ou sur un short code. Le texte peut évoquer une vérification « humaine », mais la vraie action se passe derrière l’écran: le service propose alors l’envoi d’un SMS premium, souvent à l’international, ce qui facture immédiatement le consommateur et peut générer des coûts importants pour son opérateur. Le mécanisme repose sur des scripts qui déclenchent l’envoi sans consentement explicite, ou sur des formulaires conçus pour paraître inoffensifs tout en activant l’abonnement à des services à faible coût mais répété sur la durée. Des preuves issues de Threat Intelligence soulignent que ces pages exploitent des pages factices, des pop-ups et des redirections pour masquer l’origine des coûts et rendre l’escroquerie plus difficile à tracer.
La comparaison avec une expérience CAPTCHA traditionnelle est là pour rappeler une règle simple: un CAPTCHA légitime n’exige pas l’envoi de SMS, ni l’inscription à un service. Si une page vous invite à vous « prouver humainement » et à envoyer un SMS, il faut rester suspicieux et privilégier des vérifications locales et sûres. Des sources de référence, comme Infoblox Threat Intelligence, décrivent ces campagnes comme des menaces réelles qui ciblent les utilisateurs mobiles et les opérateurs, en jouant sur la fatigue ressentie par les internautes face à des tests répétés et perçus comme inoffensifs.
Pourquoi ces arnaques coûtent si cher et qui paie
Le cœur du problème réside dans la tarification des SMS premium et des services à valeur ajoutée. Lorsque le système est dupé, le mobile se voit facturer des messages vers des numéros surtaxés ou internationaux. Voici les mécanismes typiques:
- Activation d’un service SMS premium : le mauvais bouton déclenche l’adhésion à un service facturé à la pièce ou par abonnement, souvent sans consentement clair.
- Tarifs internationaux et short codes : les tarifs varient selon le pays et peuvent être significatifs, s’accumuler sur les premières heures ou les premiers jours.
- Impact sur les utilisateurs et les opérateurs : les consommateurs voient une facture inattendue et les opérateurs doivent gérer les litiges, les blocages et les rembourssements potentiels.
Cette dynamique crée un double coût: pour le consommateur qui paie les SMS et pour l’opérateur qui doit absorber les fraudes, nettoyer les systèmes et renforcer les contrôles. Le risque est d’autant plus élevé pour les utilisateurs qui ne réalisent pas tout de suite que leur action sur une page « CAPTCHA » est en réalité une porte d’entrée vers des services payants.
Comment se protéger et réagir si vous êtes touché
La prévention passe par le scepticisme face à toute page qui promet de vous « prouver que vous êtes humain » et qui vous pousse à envoyer un SMS. Voici des pratiques concrètes pour réduire le risque et limiter les dégâts.
- Vérifier l’URL et le contexte : privilégier les sites connus et vérifier que la page n’est pas une imitation ou une redirection trompeuse.
- Éviter l’envoi de SMS non sollicité : ne pas répondre ni envoyer de messages vers des numéros non vérifiés, même si la page semble officielle.
- Bloquer les numéros surtaxés : demander à l’opérateur de bloquer les short codes ou les numéros internationaux suspects et de marquer ces messages comme fraude.
- Signaler l’incident : avertir immédiatement son opérateur et, si nécessaire, les autorités compétentes ou les services de lutte anti-fraude locaux.
- Tenir son système à jour : activer les mises à jour du navigateur et du système, utiliser des protections anti-phishing et des bloqueurs de publicités qui réduisent les surfaces d’attaque.
En parallèle, les opérateurs et les plateformes web travaillent à améliorer les mécanismes de détection et à limiter les redirections vers des services à coût élevé. Pour l’utilisateur, le réflexe est simple: douter des pages qui exigent une action payante et vérifier les coûts sur la facture ou dans l’espace client avant toute démarche.
Pour terminer
Les CAPTCHA restent des outils de sécurité utiles lorsqu’ils fonctionnent correctement. La dérive actuelle montre que, derrière la simplicité d’un clic, se cache une logique d’arnaque capable d’alourdir rapidement une facture mobile. La vigilance et les mesures proactives des opérateurs sont indispensables pour réduire l’ampleur du phénomène et protéger les consommateurs des coûts induits.
