Morten Lyhne Petersen
En ny bedrägeritrick kan utlösa upp till 60 internationella sms från din telefon med ett enda klick.
Bedrägeriet bygger på förfalskade CAPTCHA-rutor som ser ut att verifiera att besökaren är en människa. När offret klickar öppnar telefonen automatiskt sin meddelandeapp och skickar färdigskrivna sms till över ett dussin dyra utlandsnummer samtidigt. En enda session kan kosta cirka 30 dollar, knappt 300 kronor, på nästa mobilräkning.
Kampanjen har kartlagts av hotunderrättelseteamet hos amerikanska Infoblox, som publicerade en analys den 23 april 2026. Enligt teamet har bedragarna varit aktiva sedan minst juni 2020, men volymen har växt kraftigt det senaste året.
Så fungerar fällan
Offret hamnar på en falsk CAPTCHA-sida via reklambannrar, nätfiskemejl eller omdirigeringar från typosquattade telekomdomäner. Sidan ser nästan identisk ut med en vanlig bildbaserad CAPTCHA, där besökaren ska välja motiv eller lösa en enkel uppgift.
Skillnaden visar sig först efter klicket. Bakom rutan ligger en kod som öppnar telefonens sms-app och fyller i färdiga meddelanden riktade mot premiumnummer i 17 länder, däribland Azerbajdzjan, Egypten, Myanmar och Sverige.
”Den falska CAPTCHA-rutan har flera steg, och varje meddelande som sidan skapar är förinställt med över ett dussin telefonnummer. Offret debiteras inte för ett enda sms utan för att skicka meddelanden till över 50 internationella destinationer”, skriver Infoblox i sin rapport.
Tekniken kallas International Revenue Share Fraud, IRSF, eller sms pumping. Operatörerna i mottagarländerna har intäktsdelningsavtal som ger en andel av kostnaden till den som styr trafiken vidare, och bedragarna sitter på den änden av uppdelningen. Enligt Infoblox kan en session pumpa ut upp till 60 sms från ett enda offer.
Sidorna är dessutom svåra att lämna. JavaScript skriver om webbläsarens historik och kastar tillbaka besökaren till bedrägerisidan när hen försöker trycka bakåt, en metod som forskarna kallar back button hijacking.
Sverige står på listan
Att Sverige finns med bland de 17 målländerna innebär att svenska nummerintervall används som mellanled i bedrägerier mot mobilabonnenter i andra länder. Det innebär också att svenska abonnenter som klickar fel kan få oväntade poster direkt på fakturan från sin egen operatör.
Hos Telia kan kunden själv aktivera en spärr mot betalsamtal och köp via sms via Mitt Telia. Spärren stoppar bland annat samtal till nummer som börjar på 900 och 099. För internationell sms-trafik krävs en separat blockering av utlandstjänster.
Tele2 erbjuder motsvarande spärrtjänster som kan aktiveras via Mitt Tele2 eller kundtjänst. Spärrarna ingår kostnadsfritt i abonnemanget och täcker både samtals- och sms-köp.
Misstänkta sms kan rapporteras till kortnumret 7726, en gemensam svensk tjänst som drivs av operatörerna tillsammans. Tjänsten är gratis och vidareskickar meddelanden till en central analysenhet.
Vad du bör göra
Den enklaste regeln för att undvika fällan kommer från säkerhetsforskarna själva: en äkta CAPTCHA öppnar aldrig telefonens meddelandeapp. All verifiering sker i webbläsaren. Om en sida ber dig skicka ett sms för att ”bevisa att du är människa”, stäng fliken direkt.
Infoblox rekommenderar också att man går igenom mobilräkningen regelbundet och letar efter små okända poster för internationella sms. Bedragarna fördelar ofta kostnaderna över flera fakturor för att undvika upptäckt, och delar av beloppet kan dyka upp först veckor senare.
Den som råkat ut bör spärra abonnemanget för betaltjänster hos sin operatör, bestrida posten på fakturan och anmäla händelsen till polisen.
