Prueba gratuita Contáctenos

Ataques de bombeo de SMS oportunistas a gran escala dirigidos a páginas de registro de clientes


Colaboradores:
Grayson Schermerhorn y Mathew Woodyard

14 octubre 2025 Tiempo de lectura: ~

Topics

Fraudulent Registration, CIAM, Threat Intelligence

Tabla de contenidos

Resumen ejecutivo

Okta Threat Intelligence ha identificado un grupo de infraestructura de correo electrónico desechable compartida y servicios de proxy básicos, designados internamente como O-UNC-036, que se está utilizando para lanzar intentos automatizados de gran volumen contra extremos de API públicos.

Esta infraestructura se ha observado en múltiples campañas persistentes, a gran escala y con motivación financiera de bombeo de SMS que comenzaron al menos en julio de 2025.

Para ejecutar este ataque, los actores de amenazas realizan la siguiente secuencia de acciones:

  1. Crear una nueva cuenta utilizando una dirección de correo electrónico desechable, a menudo vinculada a un conjunto de dominios
  2. Agregar un número de teléfono controlado por el actor como factor de autenticación
  3. Enviar tantos mensajes como sea posible al número para lograr sus objetivos monetarios.

Estos ataques generan costos financieros significativos para las organizaciones objetivo al acumular facturas con sus proveedores de telefonía. Hemos podido dar seguimiento a la actividad histórica de este grupo de dominios de correo electrónico desechables hasta al menos marzo de 2024, lo que indica un esfuerzo sostenido y adaptativo. Debido al alto riesgo financiero y al potencial de degradación del servicio, recomendamos encarecidamente la implementación inmediata de los controles de protección, el monitoreo y la respuesta agresiva descritos en este informe.

Análisis de Amenazas

El objetivo principal de esta campaña es la creación de cuentas a gran escala de manera oportunista para llevar a cabo campañas de "bombeo de SMS". En estos ataques, los actores de amenazas obtienen ganancias al colaborar con proveedores de SMS internacionales de alto costo o de tarifa premium. Al explotar el sistema de entrega de SMS de la plataforma de identidad objetivo, el atacante activa mensajes a números de teléfono que controla en regiones de alto costo. La organización víctima es entonces facturada por el volumen exorbitante y el costo de estos mensajes SMS internacionales o premium, con un costo de ataques que potencialmente cuestan cientos de miles de dólares en facturas de telefonía.

El ataque sigue un patrón de alto volumen:

  • Reconocimiento y enumeración: Los atacantes identifican la autenticación multifactor (MFA) o los extremos de registro de usuarios que activan un código SMS.
  • Configuración de la infraestructura: Los actores utilizan servicios de proxy comunes (VPN, proxies de anonimización, botnets residenciales, etc.) para distribuir las direcciones IP de origen del tráfico, reduciendo la eficacia de la limitación de velocidad basada únicamente en la IP.
  • Solicitudes de gran volumen: secuencias de comandos automatizadas envían solicitudes utilizando códigos de país de teléfono conocidos y de alto costo, y direcciones de correo electrónico desechables generadas rápidamente.
  • Actividad del Clúster: La infraestructura O-UNC-036 es un facilitador clave. Este clúster utiliza un conjunto rotatorio de dominios de correo electrónico desechables compartidos para evitar los límites de frecuencia basados en correo electrónico y las comprobaciones de velocidad a nivel de inquilino, lo que les permite rotar rápidamente a través de cuentas para solicitudes de mensajes. Okta Threat Intelligence ha rastreado la actividad en este clúster hasta al menos marzo de 2024.
  • Alcance del objetivo: Observamos esta actividad en múltiples inquilinos y organizaciones tanto de Auth0 como de OCI, lo que indica una búsqueda generalizada e indiscriminada de extremos vulnerables que activan la entrega de SMS. Es probable que la misma infraestructura compartida también se utilice para atacar a las organizaciones que construyen sus propias páginas de inicio de sesión de clientes o que utilizan servicios alternativos.

Para obtener detalles técnicos sobre cómo identificar estos ataques en sus registros, consulte las secciones de Detección e Indicadores de este informe.

Detección

Nuestra investigación no ha descubierto ningún uso legítimo de correos electrónicos bajo los dominios enumerados en la sección de indicadores de este informe. Por lo tanto, la existencia de usuarios con dichos correos electrónicos es suficiente para detectar ataques. Dada la duración potencial de este ataque, es fundamental que los administradores revisen sus registros lo más atrás posible para determinar el alcance del impacto pasado y futuro.

Okta Customer Identity

  • Un gran número de mensajes se envían a países fuera de las regiones de operación normales de su empresa.
  • Un aumento en los siguientes tipos de eventos:
        system.sms.send_okta_push_verify_message

            o

        system.sms.send_factor_verify_message where result=DENY

            y

        Razón: Sospecha de fraude de llamadas
  • Un aumento en el siguiente tipo de evento:
        system.email.new_device_notification.sent_message

            como proveedores proxy alternativos o ASN de cuentas maliciosas en cada inicio de sesión.

Consulte la sección "Monitoreo de su organización de Okta" de nuestro artículo de soporte "Cómo mitigar el fraude de llamadas al usar Okta para la autenticación de voz" para obtener una descripción general completa de las estrategias de detección.

Auth0

  • eventos ss de los dominios que se enumeran en la sección Indicadores de compromiso. Los administradores deben consultar las reglas de detección que se proporcionan en el Catálogo de detección de seguridad FOSS Auth0 y modificarlas según sea necesario.
  • Picos en los eventos de Guardian, especialmente los eventos gd_enrollment_complete y gd_send_sms. Aconsejamos a los administradores que utilicen las reglas de detección risk_of_signup_fraud_by_volume.yml y sms_bombarding.yml en el Auth0 Security Detection Catalog.
  • Un aumento en los eventos de "omisión de MFA" en el Security Center.
  • Se envía una gran cantidad de mensajes a países fuera de las regiones operativas normales de su empresa.

Controles de protección y respuesta

Okta Threat Intelligence ha observado que estos atacantes abandonan un objetivo cuando se sienten frustrados por la introducción de controles. Esto hace que la respuesta agresiva y la implementación de controles adecuados sean eficaces para detener estos ataques.

  • Mientras enviar mensajes SMS cueste dinero, los atacantes encontrarán una manera de sacar provecho. Este riesgo solo puede mitigarse completamente migrando a otro factor de autenticación. Recomendamos encarecidamente la adopción de la Autenticación FIDO (clave de acceso).
  • Nuestra investigación no ha descubierto un uso legítimo de los dominios proporcionados en la sección Identificadores de este documento. Desactive a los usuarios que proporcionaron estos correos electrónicos después de hacer su propia evaluación.
  • Las cuentas creadas desde los ASN en la sección de Indicadores de este documento rara vez son legítimas. Se aconseja a los administradores que desactiven estas cuentas a menos que la fricción sea una preocupación importante.
  • Desactive el envío de mensajes a países no confiables en su proveedor de telefonía.

Okta Customer Identity

  • Implemente la autenticación FIDO con WebAuthn y migre los factores de los usuarios lejos de los SMS.
  • Utilice claves de acceso en lugar de SMS o factores de voz.
  • Bloquee los anonimizadores y los proxies en el Edge aprovechando las zonas de red dinámicas mejoradas.
  • Utilización de flujos de trabajo para administrar usuarios de registro de autoservicio desde dominios maliciosos. Existe un flujo de trabajo generado por Okta Identity Defense que puede utilizarse o ampliarse y que se puede encontrar here.
  • Utilice la API de Okta para desactivar rápidamente grandes lotes de usuarios identificados.
  • Aproveche las integraciones de verificación de identidad.
  • Consulte nuestro artículo de soporte “Cómo mitigar el fraude de llamadas al usar Okta para la autenticación de voz” para obtener una visión general completa de las respuestas y los controles preventivos.
  • Bloquee la actividad sospechosa utilizando las herramientas proporcionadas por su proveedor de telefonía.

Póngase en contacto con el Soporte de Okta para proporcionar una lista de países de telefonía permitidos si confía en la lista específica de países que prestan servicios a sus clientes. También puede solicitar que se modifiquen los límites de frecuencia en su organización.

Auth0

  • Implemente la autenticación FIDO con Webauthn y migre los factores de los usuarios desde los factores de SMS o de voz.
  • Utilice claves de acceso en lugar de SMS o factores de voz.
  • Bloquee las solicitudes de los AS y las huellas digitales del cliente TLS en la sección Indicadores de compromiso en el Edge con la función Lista de control de acceso de inquilino de Auth0.
  • Dado que estos atacantes son especialmente sensibles a la fricción, habilitar la detección de bots y exigir CAPTCHA puede ser un control eficaz.
  • Bloquear a los usuarios para que no se registren utilizando los dominios de correo electrónico que figuran en el
  • Sección de Indicadores de Compromiso con desencadenadores de registro e inicio de sesión.
  • Desactive el envío de mensajes a países no confiables en su proveedor de telefonía.
  • Disminuya sus límites de frecuencia para reducir el número de cuentas que los atacantes pueden crear utilizando la misma dirección IP.
  • Considere las integraciones de verificación de identidad como las disponibles en el Auth0 marketplace.
  • Si identifica una gran cantidad de usuarios fraudulentos, póngase en contacto con el soporte de Auth0 para obtener ayuda.

Grayson Schermerhorn y Mathew Woodyard contribuyeron a esta investigación.

Apéndice A: Indicadores

Esta es una investigación en curso y se pueden identificar indicadores adicionales a medida que evoluciona la campaña. Se recomienda a las organizaciones que permanezcan atentas e implementen las estrategias de mitigación recomendadas.

dominio
  • 2mails1box.com
  • 300bucks.net
  • blueink.top
  • desumail.com
  • e-boss.xyz
  • e-mail.lol
  • echat.rest
  • electroletter.space
  • emailclub.net
  • energymail.org
  • gogomail.ink
  • gopostal.top
  • guesswho.click
  • homingpigeon.org
  • kakdela.net
  • letters.monster
  • lostspaceship.net
  • message.rest
  • myhyperspace.org
  • mypost.lol
  • postalbro.com
  • protonbox.pro
  • rocketpost.org
  • sendme.digital
  • shroudedhills.com
  • specialmail.online
  • ultramail.pro
  • whyusoserious.org
  • wirelicker.com
  • writeme.live
  • writemeplz.net

 

 

Número de Sistema Autónomo (ASN)
  • 212238
  • 16276
  • 44477
  • 26548
  • 200373
  • 137409
  • 214483
  • 13213
  • 397368

 

Las huellas dactilares TLS Client JA4 también están disponibles en un aviso no redactado que los clientes de Okta pueden descargar en security.okta.com.

Continúe con su recorrido de identidad

Póngase manos a la obra con la prueba gratuita hoy mismo o póngase en contacto con nuestro equipo para analizar sus necesidades únicas.

Comience
Hablemos