Weitverbreitete, opportunistische SMS-Pumping-Angriffe zielen auf Kundenregistrierungsseiten ab

Executive Summary

Okta Threat Intelligence hat ein Cluster gemeinsam genutzter Einweg-E-Mail-Infrastruktur und Commodity-Proxy-Dienste identifiziert, das intern als O-UNC-036 bezeichnet wird und verwendet wird, um umfangreiche, automatisierte Angriffe auf öffentliche API-Endpunkte zu starten.

Diese Infrastruktur wurde seit mindestens Juli 2025 in mehreren persistenten, groß angelegten und finanziell motivierten SMS-Pumping-Kampagnen beobachtet.

Um diesen Angriff auszuführen, führen Angreifer die folgende Abfolge von Aktionen durch:

1. Erstellen Sie ein neues Konto mit einer Wegwerf-E-Mail-Adresse, die häufig an mehrere Domänen gebunden ist.
   
2. Hinzufügen einer vom Akteur kontrollierten Telefonnummer als Authentifizierungsfaktor
   
3. Senden Sie so viele Nachrichten wie möglich an die Nummer, um ihre monetären Ziele zu erreichen.

Diese Angriffe verursachen für die betroffenen Unternehmen erhebliche finanzielle Kosten, indem sie hohe Rechnungen bei ihren Telefonieanbietern verursachen. Wir konnten die bisherigen Aktivitäten dieser Gruppe von Einweg-E-Mail-Domains bis mindestens März 2024 zurückverfolgen, was auf eine nachhaltige, adaptive Anstrengung hindeutet. Aufgrund des hohen finanziellen Risikos und des Potenzials für eine Beeinträchtigung der Dienstleistungen empfehlen wir dringend die sofortige Implementierung der in diesem Bericht beschriebenen Schutzmaßnahmen, Überwachung und aggressiven Reaktion.

Bedrohungsanalyse

Das Hauptziel dieser Kampagne ist die opportunistische, groß angelegte Account-Erstellung zur Durchführung von SMS-Pumping-Kampagnen. Bei diesen Angriffen profitieren Angreifer durch die Zusammenarbeit mit teuren internationalen oder Premium-SMS-Anbietern. Durch die Ausnutzung des SMS-Zustellungssystems der Ziel-Identitätsplattform löst der Angreifer Nachrichten an Telefonnummern aus, die er in teuren Regionen kontrolliert. Dem Opferunternehmen wird dann das exorbitante Volumen und die Kosten dieser internationalen oder Premium-SMS-Nachrichten in Rechnung gestellt, wobei die Kosten der Angriffe potenziell Hunderttausende von Dollar an Telefonrechnungen betragen können.

Der Angriff folgt einem Muster mit hohem Volumen:

• Aufklärung und Enumeration: Angreifer identifizieren Multi-Faktor-Authentifizierung (MFA)- oder Benutzerregistrierungs-Endpunkte, die einen SMS-Code auslösen.
• Infrastruktur-Setup: Akteure nutzen Commodity-Proxy-Dienste (VPNs, Anonymisierungsproxys, Residential Botnets usw.), um die Quell-IP-Adressen des Traffics zu verteilen, wodurch die Wirksamkeit der Ratenbegrenzung, die ausschließlich auf IP basiert, verringert wird.
• Hohe Anzahl von Anfragen: Automatisierte Skripte senden Anfragen unter Verwendung bekannter, teurer Ländervorwahlen für Telefonnummern und schnell generierter Wegwerf-E-Mail-Adressen.
• Cluster-Aktivität: Die O-UNC-036-Infrastruktur ist ein wichtiger Enabler. Dieser Cluster verwendet einen umlaufenden Pool gemeinsam genutzter Einweg-E-Mail-Domains, um E-Mail-basierte Anzahlbegrenzungen und Geschwindigkeitsprüfungen auf Tenant-Ebene zu umgehen, wodurch er schnell Accounts für Nachrichtenanforderungen durchlaufen kann. Okta Threat Intelligence verfolgt die Aktivitäten in diesem Cluster mindestens bis März 2024 zurück.
• Zielbereich: Wir haben diese Aktivität in mehreren Mandanten und Organisationen von Auth0 und OCI beobachtet, was auf eine weitverbreitete, wahllos Suche nach anfälligen Endpunkten hindeutet, die den SMS-Versand auslösen. Wahrscheinlich wird die gleiche gemeinsam genutzte Infrastruktur auch verwendet, um Organisationen anzugreifen, die ihre eigenen Kunden-Anmeldeseiten erstellen oder alternative Dienste nutzen.

Technische Details zur Identifizierung dieser Angriffe in Ihren Logs finden Sie in den Abschnitten „Erkennung und Indikatoren“ dieses Berichts.

Erkennung

Unsere Nachforschungen haben keine legitime Verwendung von E-Mail-Adressen unter den im Abschnitt „Indikatoren“ dieses Berichts aufgeführten Domains ergeben. Daher reicht die Existenz von Benutzern mit solchen E-Mail-Adressen aus, um Angriffe zu erkennen. Angesichts der potenziellen Dauer dieses Angriffs ist es entscheidend, dass Administratoren in ihren Logs so weit wie möglich zurückblicken, um den Umfang der vergangenen und zukünftigen Auswirkungen zu bestimmen.

Okta Customer Identity

• Hohe Anzahl von Nachrichten, die an Länder außerhalb der normalen Betriebsregionen Ihres Unternehmens gesendet werden.
• Ein Anstieg der folgenden Event-Typen:

        system.sms.send_okta_push_verify_message

            oder

        system.sms.send_factor_verify_message wobei result=DENY

            und

        Ursache=Betrug mit Ferngesprächen vermutet

• Ein Anstieg der folgenden Eventart:

        system.email.new_device_notification.sent_message

            Als alternative Proxy-Anbieter oder ASNs für bösartige Accounts bei jeder Anmeldung.

Im Abschnitt „Überwachung Ihrer Okta Org“ unseres Support-Artikels „So mindern Sie Toll-Fraud bei der Verwendung von Okta für die Sprachauthentifizierung“ finden Sie einen umfassenden Überblick über Erkennungsstrategien.

Auth0

• ss Events von den in den Indicators of Compromise genannten Domains. Administratoren sollten die im FOSS Auth0 Security Detection Catalog bereitgestellten Erkennungsregeln konsultieren und diese bei Bedarf anpassen.
• Spitzen bei Guardian-Events, insbesondere gd_enrollment_complete- und gd_send_sms-Events. Wir empfehlen Administratoren, die Erkennungsregeln risk_of_signup_fraud_by_volume.yml und sms_bombarding.yml im Auth0 Security Detection Catalog zu verwenden.
• Ein Anstieg der „Umgehung der MFA“-Ereignisse im Security Center.
• Eine hohe Anzahl von Nachrichten wird in Länder außerhalb der normalen Einsatzgebiete Ihres Unternehmens gesendet.

Schutzkontrollen und Reaktion

Okta Threat Intelligence hat beobachtet, dass diese Angreifer ein Ziel aufgeben, wenn sie durch die Einführung von Kontrollen frustriert sind. Dies macht eine aggressive Reaktion und Implementierung geeigneter Kontrollen wirksam, um diese Angriffe zu stoppen.

• Solange der Versand von SMS-Nachrichten Geld kostet, werden Angreifer einen Weg finden, etwas abzuschöpfen. Dieses Risiko kann nur vollständig gemindert werden, indem auf einen anderen Authentifizierungsfaktor umgestellt wird. Wir empfehlen dringend die Einführung der FIDO-Authentifizierung (Passkeys).
• Unsere Nachforschungen haben keine legitime Verwendung der im Abschnitt Identifikatoren dieses Dokuments bereitgestellten Domains ergeben. Deaktivieren Sie Benutzer, die diese E-Mail-Adressen angegeben haben, nachdem Sie Ihre eigene Bewertung vorgenommen haben.
• Accounts, die von den ASNs im Abschnitt Indikatoren dieses Dokuments erstellt wurden, sind selten legitim. Administratoren wird empfohlen, diese Accounts zu deaktivieren, es sei denn, Reibungsverluste sind ein großes Problem.
• Deaktivieren Sie das Senden von Nachrichten an nicht vertrauenswürdige Länder in Ihrem Telefonieanbieter.

Okta Customer Identity

• Implementieren Sie FIDO Authentication with WebAuthn und migrieren Sie die Faktoren der Benutzer weg von SMS.
• Verwenden Sie Passkeys anstelle von SMS- oder Sprachfaktoren.
• Blockieren Sie Anonymisierer und Proxys am Edge, indem Sie enhanced dynamic network zones nutzen.
• Verwendung von Workflows zur Verwaltung von Self-Service-Registrierungsbenutzern von bösartigen Domänen. Es ist ein von Okta Identity Defense generierter Workflow vorhanden, der genutzt oder erweitert werden kann und hier zu finden ist.
• Nutzen Sie die Okta API, um schnell große Mengen identifizierter Benutzer zu deaktivieren.
• Nutzen Sie Integrationen zur Identity-Proofing.
• In unserem Support-Artikel „So können Sie Toll-Fraud bei der Verwendung von Okta für die Sprachauthentifizierung minimieren“ finden Sie einen umfassenden Überblick über Reaktions- und Präventivkontrollen.
• Blockieren Sie verdächtige Aktivitäten mit den Tools, die von Ihrem Telefonieanbieter bereitgestellt werden.

Wenden Sie sich an den Okta Support, um eine Liste der zulässigen Telefonieländer bereitzustellen, wenn Sie sich der spezifischen Liste der Länder, die Ihre Kunden bedienen, sicher sind. Sie können auch beantragen, die Anzahlbegrenzungen für Ihre Organisation zu ändern.

Auth0

• Implementieren Sie FIDO Authentication mit WebAuthn und migrieren Sie die Faktoren der Benutzer weg von SMS- oder Sprachfaktoren.
• Verwenden Sie Passkeys anstelle von SMS- oder Sprachfaktoren.
• Blockieren Sie Anfragen von den ASes und TLS-Client-Fingerabdrücken im Abschnitt „Indicators of Compromise“ am Edge mit der Tenant Access Control List -Funktionen von Auth0.
• Da diese Angreifer besonders empfindlich auf Reibung reagieren, kann die Aktivierung der Bot Detection und die Erzwingung von CAPTCHA eine wirksame Kontrollmaßnahme sein.
• Blockieren Sie Benutzer daran, sich mit den in der Liste aufgeführten E-Mail-Domänen zu registrieren.
• Abschnitt "Indicators of Compromise" mit Signup and Anmeldung Triggers.
• Deaktivieren Sie das Senden von Nachrichten an nicht vertrauenswürdige Länder in Ihrem Telefonieanbieter.
• Reduzieren Sie Ihre Anzahlbegrenzungen, um die Anzahl der Accounts zu verringern, die Angreifer mit derselben IP-Adresse erstellen können.
• Erwägen Sie Integrationen zur Identity-Proofing, wie sie im Auth0 Marketplace verfügbar sind.
• Wenn Sie eine große Anzahl betrügerischer Benutzer identifizieren, wenden Sie sich an den Auth0-Support, um Unterstützung zu erhalten.

Anhang A: Indikatoren

Dies ist eine laufende Untersuchung, und im Laufe der Entwicklung der Kampagne können weitere Indikatoren identifiziert werden. Organisationen wird empfohlen, wachsam zu bleiben und die empfohlenen Maßnahmen zur Risikominderung umzusetzen.