Résumé
Okta Threat Intelligence a identifié un groupe d'infrastructures d'e-mails jetables partagées et de services de proxy courants, désigné en interne sous le nom de O-UNC-036, qui est utilisé pour lancer des tentatives automatisées à volume élevé contre des API endpoints publics.
Cette infrastructure a été observée dans de multiples campagnes persistantes et à grande échelle de fraude aux SMS à motivation financière, commençant au moins dès juillet 2025.
Pour exécuter cette attaque, les acteurs malveillants entreprennent la séquence d’actions suivante :
- Créer un nouveau compte en utilisant une adresse e-mail jetable, souvent liée à un ensemble de domaines
. - Ajouter un numéro de téléphone contrôlé par un acteur comme facteur d’authentification
- Envoyez autant de messages que possible au numéro afin d'atteindre leurs objectifs monétaires.
Ces attaques génèrent des coûts financiers importants pour les organisations cibles en faisant grimper les factures auprès de leurs fournisseurs de téléphonie. Nous avons pu monitorer l'activité historique de ce groupe de domaines d'e-mail jetables au moins jusqu'en mars 2024, ce qui indique un effort soutenu et adaptatif. En raison du risque financier élevé et du potentiel de dégradation du service, nous recommandons fortement l'implémentation immédiate des contrôles de protection, de la surveillance et de la réponse agressive décrits dans ce rapport.
Analyse des menaces
L'objectif principal de cette campagne est la création de comptes opportuniste à grande échelle afin de mener des campagnes de fraude aux SMS. Dans ces attaques, les acteurs malveillants tirent profit de leur collaboration avec des fournisseurs de SMS internationaux ou à tarif premium. En exploitant le système de livraison de SMS de la plateforme d'identité cible, l'attaquant déclenche des messages vers des numéros de téléphone qu'il contrôle dans des régions à coût élevé. L'organisation victime est ensuite facturée pour le volume exorbitant et le coût de ces messages SMS internationaux ou premium, le coût des attaques pouvant potentiellement atteindre des centaines de milliers de dollars en factures de téléphonie.
L'attaque suit un modèle à volume élevé :
- Reconnaissance et énumération : les attaquants identifient les terminaux d’authentification multifacteur (MFA) ou d’inscription d’utilisateur qui déclenchent un code SMS.
- Configuration de l’infrastructure : Les acteurs utilisent des services de proxy standard (VPN, proxys anonymes, botnets résidentiels, etc.) pour distribuer les adresses IP source du trafic, ce qui réduit l’efficacité de la limitation du débit basée uniquement sur l’IP.
- Requêtes à volume élevé : les scripts automatisés soumettent des requêtes en utilisant des indicatifs de pays connus et coûteux, ainsi que des adresses e-mail jetables générées rapidement.
- Activité du cluster : L'infrastructure O-UNC-036 est un élément clé. Ce cluster utilise un pool tournant de domaines d'e-mails jetables partagés pour contourner les limitations du débit basées sur les e-mails et les contrôles de vitesse au niveau du tenant, ce qui leur permet de parcourir rapidement les comptes pour les demandes de messages. Okta Threat Intelligence a suivi l'activité de ce cluster depuis au moins mars 2024.
- Portée de la cible : Nous avons observé cette activité dans plusieurs tenants et organisations d’Auth0 et d’OCI, ce qui indique une recherche généralisée et aveugle de terminaux vulnérables qui déclenchent la livraison de SMS. La même infrastructure partagée est susceptible d’être également utilisée pour attaquer les organisations qui créent leurs propres pages de connexion client ou qui utilisent d’autres services.
Pour les détails techniques sur la façon d'identifier ces attaques dans vos logs, consultez les sections Détection et Indicateurs de ce rapport.
Détection
Nos recherches n'ont révélé aucune utilisation légitime d'e-mails sous les domaines répertoriés dans la section des indicateurs de ce rapport. Ainsi, l'existence d'utilisateurs avec de tels e-mails suffit à détecter les attaques. Étant donné la durée potentielle de cette attaque, il est essentiel que les administrateurs examinent leurs logs aussi loin que possible afin de déterminer l'étendue de l'impact passé et futur.
Okta Customer Identity
- Nombre élevé de messages envoyés vers des pays situés en dehors des régions d'activité habituelles de votre entreprise.
- Une augmentation des types d'événements suivants :
system.sms.send_okta_push_verify_message
ou
system.sms.send_factor_verify_message where result=DENY
et
raison=Suspicion de fraude au numéro surtaxé
- Une augmentation de ce type d'événement :
system.e-mail.new_device_notification.sent_message
En tant que fournisseurs de proxy alternatifs ou ASN pour les comptes malveillants à chaque connexion.
Consultez la section « Surveillance de votre organisation Okta » de notre article de support « Comment atténuer la fraude au numéro surtaxé lors de l'utilisation d'Okta pour l'authentification vocale » pour un aperçu complet des stratégies de détection.
Auth0
- Événements ss provenant des domaines énumérés dans la section Indicateurs de compromission. Les administrateurs doivent se référer aux règles de détection fournies dans le catalogue de détection de sécurité FOSS Auth0 et les modifier au besoin.
- Pics d’événements Guardian, en particulier les événements gd_enrollment_complete et gd_send_sms. Nous conseillons aux administrateurs d’utiliser les règles de détection risk_of_signup_fraud_by_volume.yml et sms_bombarding.yml dans le Catalogue de détection de sécurité Auth0.
- Un pic d'événements de « contournement du MFA » dans le Security Center.
- Un nombre élevé de messages est envoyé vers des pays situés en dehors des régions d'opérations habituelles de votre entreprise.
Contrôles de protection et réponse
Okta Threat Intelligence a observé que ces attaquants abandonnent une cible lorsqu'ils sont frustrés par l'introduction de contrôles. Cela rend la réponse agressive et l'implémentation de contrôles appropriés efficaces pour arrêter ces attaques.
- Bien que l'envoi de SMS coûte toujours de l'argent, les attaquants trouveront un moyen d'en tirer profit. Ce risque ne peut être entièrement atténué qu'en migrant vers un autre facteur d'authentification. Nous recommandons fortement l'adoption de l'authentification FIDO (passkey).
- Nos recherches n’ont révélé aucune utilisation légitime des domaines fournis dans la section Identificateurs de ce document. Désactivez les utilisateurs qui ont fourni ces e-mails après avoir effectué votre propre évaluation.
- Les comptes créés à partir des ASN dans la section Indicateurs de ce document sont rarement légitimes. Il est conseillé aux administrateurs de désactiver ces comptes, sauf si les frictions posent un problème majeur.
- Désactivez l'envoi de messages vers les pays non approuvés dans votre fournisseur de téléphonie.
Okta Customer Identity
- Implémentez l'Authentification FIDO avec WebAuthn et migrez les facteurs des utilisateurs hors des SMS.
- Utilisez des clés d'identification au lieu de SMS ou de facteurs vocaux.
- Bloquez les anonymiseurs et les proxys à l'Edge en tirant parti des zones réseau dynamiques améliorées.
- Utilisation de workflows pour gérer les utilisateurs d'inscription en libre-service à partir de domaines malveillants. Un workflow généré par Okta Identity Defense existe et peut être utilisé ou développé. Vous pouvez le trouver ici.
- Utilisez l’API Okta pour désactiver rapidement de grands lots d’utilisateurs identifiés.
- Tirez parti des intégrations de vérification des identités.
- Consultez notre article de support « Comment atténuer la fraude au numéro surtaxé lors de l’utilisation d’Okta pour l’authentification vocale » pour un aperçu complet des réponses et des contrôles préventifs.
- Bloquez les activités suspectes à l’aide des outils fournis par votre fournisseur de téléphonie.
Contactez le support Okta pour fournir une liste des pays autorisés pour la téléphonie si vous êtes sûr de la liste spécifique des pays desservant vos clients. Vous pouvez également demander à modifier les limitations du débit de votre organisation.
Auth0
- Implémentez l’ authentification FIDO avec Webauthn et migrez les facteurs des utilisateurs des facteurs SMS ou vocaux.
- Utilisez des clés d'identification au lieu de SMS ou de facteurs vocaux.
- Bloquez les requêtes provenant des AS et des empreintes digitales des clients TLS dans la section Indicateurs de compromission à l'Edge grâce à la fonctionnalité Liste de contrôle d'accès aux locataires d'Auth0.
- Étant donné que ces attaquants sont particulièrement sensibles aux frictions, l'activation de la Bot Detection et l'application de CAPTCHA peuvent être un contrôle efficace.
- Empêchez les utilisateurs de s’inscrire en utilisant les domaines d'e-mail répertoriés dans le
- Section Indicateurs de compromission avec Déclencheurs d'inscription et de connexion.
- Désactivez l'envoi de messages vers les pays non approuvés dans votre fournisseur de téléphonie.
- Réduisez vos limites de débit pour diminuer le nombre de comptes que les attaquants peuvent créer en utilisant la même adresse IP.
- Envisagez des intégrations de vérification des identités comme celles disponibles sur l' Auth0 Marketplace.
- Si vous identifiez un grand nombre d'utilisateurs frauduleux, contactez le support Auth0 pour obtenir de l'aide.
Grayson Schermerhorn et Mathew Woodyard ont contribué à cette recherche.
Annexe A : Indicateurs
Il s'agit d'une enquête en cours et d'autres indicateurs peuvent être identifiés au fur et à mesure de l'évolution de la campagne. Il est conseillé aux organisations de rester vigilantes et de mettre en œuvre les stratégies d'atténuation recommandées.
| Domaine | |
|---|---|
|
|
| Numéro de Système Autonome (ASN) |
|---|
|
Les empreintes digitales TLS Client JA4 sont également disponibles dans un avis non expurgé que les clients Okta peuvent télécharger sur security.okta.com.
