Teste Gratuito Fale conosco

Ataques de bombardeamento de SMS oportunistas e em larga escala têm como alvo páginas de cadastro de clientes


Colaboradores:
Grayson Schermerhorn e Mathew Woodyard

14 outubro 2025 Tempo de leitura: ~

Tópicos

Fraudulent Registration, CIAM, Threat Intelligence

Índice

Resumo Executivo

A Okta Threat Intelligence identificou um cluster de infraestrutura de e-mail descartável compartilhada e serviços de proxy de commodity, internamente designado como O-UNC-036, que está sendo usado para lançar tentativas automatizadas de alto volume contra endpoints de API públicos.

Essa infraestrutura foi observada em várias campanhas persistentes, de grande escala e com motivação financeira de bombardeamento de SMS, começando pelo menos em julho de 2025.

Para executar este ataque, os agentes de ameaças realizam a seguinte sequência de ações:

  1. Crie uma nova conta usando um endereço de e-mail descartável, geralmente vinculado a um conjunto de domínios
  2. Adicionar um número de telefone controlado pelo ator como um fator de autenticação
  3. Enviar o máximo de mensagens possível para o número, a fim de atingir seus objetivos monetários

Esses ataques geram custos financeiros significativos para as organizações-alvo, aumentando as contas com seus provedores de telefonia. Conseguimos rastrear a atividade histórica desse cluster de domínios de e-mail descartáveis até pelo menos março de 2024, indicando um esforço sustentado e adaptativo. Devido ao alto risco financeiro e potencial de degradação do serviço, recomendamos enfaticamente a implementação imediata dos controles de proteção, monitoramento e resposta agressiva descritos neste relatório.

Análise de Ameaças

O principal objetivo desta campanha é a criação oportunista e em larga escala de contas, a fim de realizar campanhas de bombardeamento de SMS. Nesses ataques, os agentes de ameaças lucram ao colaborar com provedores de SMS internacionais de alto custo ou de tarifa premium. Ao explorar o sistema de entrega de SMS da plataforma de identidade alvo, o invasor aciona mensagens para números de telefone que controla em regiões de alto custo. A organização vítima é então cobrada pelo volume exorbitante e custo dessas mensagens SMS internacionais ou premium, com o custo dos ataques potencialmente custando centenas de milhares de dólares em contas de telefonia.

O ataque segue um padrão de alto volume:

  • Reconhecimento e Enumeração: Os invasores identificam a autenticação multifator (MFA) ou endpoints de inscrição de usuário que acionam um código SMS.
  • Configuração da infraestrutura: os atores usam serviços de proxy de commodity (VPNs, proxies de anonimato, botnets residenciais etc.) para distribuir os endereços IP de origem do tráfego, reduzindo a eficácia da limitação de taxa baseada apenas no IP.
  • Solicitações de Alto Volume: Scripts automatizados enviam solicitações utilizando códigos de país de telefone conhecidos e de alto custo, além de endereços de e-mail descartáveis gerados rapidamente.
  • Atividade do Cluster: A infraestrutura O-UNC-036 é um facilitador chave. Este cluster utiliza um pool rotativo de domínios de e-mail descartáveis compartilhados para ignorar os limites de taxa baseados em e-mail e as verificações de velocidade no nível do locatário, permitindo que eles passem rapidamente pelas contas para solicitações de mensagens. O Okta Threat Intelligence rastreou a atividade neste cluster pelo menos desde março de 2024.
  • Escopo do Alvo: Observamos essa atividade em vários locatários e Organizações tanto da Auth0 quanto da OCI, indicando uma busca generalizada e indiscriminada por endpoints vulneráveis que acionam o envio de SMS. A mesma infraestrutura compartilhada provavelmente também é usada para atacar organizações que constroem suas próprias páginas de login de clientes ou que usam serviços alternativos.

Para obter detalhes técnicos de como identificar esses ataques em seus registros, consulte as seções de Detecção e Indicadores deste relatório.

Detecção

Nossa pesquisa não descobriu nenhum uso legítimo de e-mails sob domínios listados na seção de indicadores deste relatório. Portanto, a existência de usuários com tais e-mails é suficiente para detectar ataques. Dada a duração potencial deste ataque, é fundamental que os administradores consultem seus registros o mais longe possível para determinar o escopo do impacto passado e futuro.

Okta Customer Identity

  • Alto número de mensagens sendo enviadas para países fora das regiões de operação normais da sua empresa.
  • Um pico nos seguintes tipos de eventos:
        system.sms.send_okta_push_verify_message

            ou

        system.sms.send_factor_verify_message where result=DENY

            e

        razão=Suspeita de fraude de tarifação
  • Um aumento repentino no seguinte tipo de evento:
        system.e-mail.new_device_notification.sent_message

            como provedores de proxy alternativos ou ASNs de contas maliciosas a cada login.

Consulte a seção “Monitoramento da sua Organização Okta” do nosso artigo de suporte “Como mitigar fraude de tarifação ao usar o Okta para autenticação de voz” para uma visão geral abrangente das estratégias de detecção.

Auth0

Controles de proteção e resposta

O Okta Threat Intelligence observou esses invasores abandonarem um alvo quando frustrados pela introdução de controles. Isso torna a resposta agressiva e a implementação de controles adequados eficazes para impedir esses ataques.

  • Embora o envio de mensagens SMS custe dinheiro, os atacantes encontrarão uma forma de o desviar. Este risco só pode ser totalmente mitigado migrando para outro fator de autenticação. Recomendamos vivamente a adoção da Autenticação FIDO (chaves de acesso).
  • Nossa pesquisa não descobriu uso legítimo dos domínios fornecidos na seção de Identificadores deste documento. Desative os usuários que forneceram esses e-mails após fazer sua própria avaliação.
  • As contas criadas a partir dos ASNs na seção Indicadores deste documento raramente são legítimas. Aconselha-se aos administradores que desativem essas contas, a menos que o atrito seja uma grande preocupação.
  • Desative o envio de mensagens para países não confiáveis nas configurações do seu provedor de telefonia.

Okta Customer Identity

  • Implemente Autenticação FIDO com WebAuthn e migre os fatores dos usuários do SMS.
  • Use chaves de acesso em vez de SMS ou fatores de voz.
  • Bloquear anonimizadores e proxies na Edge aproveitando zonas de rede dinâmicas aprimoradas.
  • Utilizando fluxos de trabalho para gerenciar usuários de autoatendimento de inscrição de domínios maliciosos. Existe um fluxo de trabalho gerado pelo Okta identidade Defense que pode ser utilizado ou expandido e pode ser encontrado aqui.
  • Utilize a API Okta para desativar rapidamente grandes lotes de usuários identificados.
  • Aproveite as integrações de comprovação de identidade.
  • Consulte nosso artigo de suporte “Como mitigar fraudes de tarifação quando usar o Okta para autenticação de voz” para obter uma visão geral abrangente das respostas e dos controles preventivos.
  • Bloqueie atividades suspeitas usando as ferramentas fornecidas pelo seu provedor de telefonia.

Entre em contato com o Suporte da Okta para fornecer uma lista de países de telefonia permitidos se você estiver confiante na lista específica de países que atendem seus clientes. Você também pode solicitar a modificação dos limites de taxa em sua organização.

Auth0

  • Implemente a Autenticação FIDO com WebAuthn e migre os fatores dos usuários para longe de fatores de SMS ou voz.
  • Use chaves de acesso em vez de SMS ou fatores de voz.
  • Bloqueie solicitações dos ASes e impressões digitais do cliente TLS na seção Indicadores de comprometimento no Edge com o recurso Lista de controle de acesso ao locatário do Auth0.
  • Como esses invasores são especialmente sensíveis ao atrito, habilitar a Bot Detection e aplicar o CAPTCHA pode ser um controle eficaz.
  • Bloqueie usuários de se registrarem usando os domínios de e-mail listados na
  • seção Indicadores de comprometimento com gatilhos de inscrição e login.
  • Desative o envio de mensagens para países não confiáveis nas configurações do seu provedor de telefonia.
  • Diminua seus limites de taxa para diminuir o número de contas que os invasores podem criar usando o mesmo endereço IP.
  • Considere integrações de comprovação de identidade como as disponíveis no Auth0 marketplace.
  • Se você identificar um grande número de usuários fraudulentos, entre em contato com o suporte da Auth0 para obter assistência.

Grayson Schermerhorn e Mathew Woodyard contribuíram para esta pesquisa.

Apêndice A: Indicadores

Esta é uma investigação em andamento, e indicadores adicionais podem ser identificados à medida que a campanha evolui. As organizações são aconselhadas a permanecer vigilantes e implementar as estratégias de mitigação recomendadas.

domínio
  • 2mails1box.com
  • 300bucks.net
  • blueink.top
  • desumail.com
  • e-boss.xyz
  • e-mail.lol
  • echat.rest
  • electroletter.space
  • emailclub.net
  • energymail.org
  • gogomail.ink
  • gopostal.top
  • guesswho.click
  • homingpigeon.org
  • kakdela.net
  • letters.monster
  • lostspaceship.net
  • message.rest
  • myhyperspace.org
  • mypost.lol
  • postalbro.com
  • protonbox.pro
  • rocketpost.org
  • sendme.digital
  • shroudedhills.com
  • specialmail.online
  • ultramail.pro
  • whyusoserious.org
  • wirelicker.com
  • writeme.live
  • writemeplz.net

 

 

Número do Sistema Autônomo (ASN)
  • 212238
  • 16276
  • 44477
  • 26548
  • 200373
  • 137409
  • 214483
  • 13213
  • 397368

 

As impress oes digitais JA4 do cliente TLS tamb m est o dispon veis em um aviso n o redigido que os clientes Okta podem baixar em security.okta.com.

Continue sua jornada de identidade

Inicie o teste gratuito hoje mesmo ou entre em contato com nossa equipe para falar sobre suas necessidades exclusivas.

Começar
Fale conosco