🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Inteligência de ameaças

Scripts desonestos estão explorando APIs de verificação OTP para enviar pilhas de SMS OTP e manter o potencial de provocar interrupções no serviço.

Descubra como a plataforma xVigil baseada em IA da CloudSEK identificou repositórios do GitHub que mencionam empresas indianas e suas APIs.
Updated on
April 17, 2026
Published on
August 28, 2023
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.

Sumário executivo

AMEAÇA

  • Os agentes de ameaças estão desenvolvendo softwares automatizados que abusam dos endpoints geradores de OTP para enviar pilhas de mensagens OTP.
  • Esses softwares abusam das APIs OTP disponíveis publicamente e têm o poder de causar interrupções direcionadas nos serviços de telecomunicações.
  • No caso de um cenário de aquisição de conta, um agente de ameaças pode enviar spam para esses sms, o que pode levar a ataques de “fadiga de MFA” ou “exaustão”.

IMPACTO

  • Esse abuso pode levar a custos maiores do que o esperado de manutenção da API baseada em OTP.
  • Clientes em potencial podem desenvolver um sentimento negativo contra a empresa.
  • As operações podem ser afetadas negativamente devido à inacessibilidade dos serviços de telecomunicações.

MITIGAÇÃO

  • Implemente um serviço baseado em captcha para limitar o uso baseado em bots.
  • Implemente a limitação de taxa no endpoint.
  • Monitore os repositórios do github em busca de menções à sua API no código-fonte dessas ferramentas.
Nota: Isso causaria a interrupção dos serviços no dispositivo móvel, criando essencialmente um cenário em que o dispositivo está sob ataque de DOS. Além disso, em um cenário durante o ataque, se o usuário tentar limpar as notificações manualmente, ele poderá clicar acidentalmente em um prompt de MFA, concedendo acesso ao invasor. Esse ataque também pode ser usado como um véu para ocultar tentativas ilegítimas de login feitas pelos agentes da ameaça para obter acesso ao dispositivo do usuário. Isso também implica que, enquanto o ataque estiver em andamento, o usuário pode perder notificações críticas.

Análise e atribuição

  • CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu vários repositórios do github com menções a empresas indianas e suas APIs.
  • Essas APIs permitem que qualquer pessoa envie SMS OTP ilimitados para qualquer número sem qualquer limitação de taxa ou proteção CAPTCHA, o que leva ao abuso dessas APIs por ferramentas automatizadas.
  • Isso resulta em aumento do custo da API e repercussões legais para a marca, além de declínio na imagem pública da marca.

 

O Xvigil do CloudSek pode encontrar instâncias de menções de APIs e outras palavras-chave no github.

As empresas afetadas e suas APIs expostas (em termos de região) -

Número de APIs expostas de acordo com o país

Number of Exposed APIs according to the country

India

44

Indonesia

1

Russia

81

Nota: Esses gráficos são baseados em APIs encontradas e agrupadas a partir do código-fonte de várias ferramentas de bombardeio de SMS, algumas das quais estão arquivadas agora. Os pesquisadores da Cloudsek se abstiveram de testar essas APIs quanto ao status atual de vulnerabilidade.

Cadeia de ataque

Coletando números de telefone de destino: O usuário do bombardeiro SMS fornece o número de telefone de destino ou uma lista de números de telefone para os quais deseja enviar as mensagens. Essas informações podem ser inseridas manualmente ou importadas de um arquivo.

Isso depende da motivação do agente da ameaça. Para uma brincadeira, apenas o número do amigo seria usado, mas para um ataque dedicado, os números de telefone dos representantes do departamento de vendas poderiam ser coletados dos “vendedores líderes” em fóruns da dark web ou até mesmo no LinkedIn ou Scribd.

Os números de telefone de uma organização foram enviados para o scribd, que é uma plataforma de compartilhamento de documentos

Esses números são então passados para o software, que faz várias solicitações contínuas nas APIs de destino e o ataque é iniciado.

Cadeia de ataque (continuação)

Operação contínua: A ferramenta continuará enviando mensagens até que um limite predefinido seja atingido ou até que o usuário decida interromper a operação manualmente. Isso pode resultar em uma enxurrada de mensagens e/ou chamadas enviadas para o número de telefone de destino.

Impacto no alvo: O fluxo constante de mensagens e chamadas pode sobrecarregar o dispositivo do alvo, potencialmente causando lentidão, congelamento ou até mesmo travamento. Além disso, o alvo pode ser constantemente alertado com notificações, dificultando o uso do dispositivo para outras tarefas.

Como no caso do hack do Uber, isso também pode levar a ataques de “fadiga de MFA” ou “exaustão”

Finalmente, a caixa de entrada do receptor pode ser preenchida, o que o impede de receber mensagens novas e potencialmente importantes.

Em nosso exemplo, a operação de vendas da empresa-alvo pode ser totalmente encerrada devido ao bombardeio constante de SMS e chamadas.

 

Repercussões legais - Bombardear um telefone com SMS mesmo depois de ativar o serviço DND não é apenas uma forma de assédio e incômodo (Seção 268 do IPC), mas “uma armadilha, isca e um ato criminoso de roubo, trapaça e indução desonesta de propriedade de acordo com as Seções 378 e 420 do IPC”, disse Satya Mulay, advogada da Suprema Corte de Bombaim. ( referência )

Acessibilidade e finanças de tais serviços -

  • Várias dessas ferramentas são hospedadas on-line, o que permite que qualquer pessoa lance essas campanhas com muita facilidade, sem qualquer instalação.
  • Além disso, todas essas ferramentas são gratuitas porque a maior parte do custo é assumida pelas APIs de envio de sms que são de propriedade das marcas.
  • Um desses sms OTP pode custar até 20 paisa para uma marca.
  • Essas ferramentas funcionam com base na receita gerada pela veiculação de anúncios em sua plataforma.

Uma simples consulta de pesquisa sobre “sms bomber” no Google fornece esses resultados.

Mitigação

For Brands

For Users
  • Rate Limiting and Throttling: Implement rate limiting and throttling mechanisms for API requests. This prevents a single user or IP address from sending a large volume of requests in a short amount of time. This can help deter automated attacks by slowing down the rate of requests.
  • User Authentication and Authorization: Require users to authenticate and authorize their usage of the API. This can involve using API keys, OAuth tokens, or other forms of authentication to ensure that only authorized users can access the API.
  • CAPTCHA and Human Verification: Implement CAPTCHA challenges or other forms of human verification for actions that involve sending messages. This helps prevent automated bots from abusing your services.
  • Abuse Detection and Blocking: Implement algorithms that can detect patterns of abuse, such as a sudden surge in requests from a single source. Automatically flag or block suspicious activity and notify administrators.
  • Monitoring and Analytics: Implement monitoring and analytics tools to track API usage patterns. This can help you identify unusual behavior and take action against potential attacks in real-time.
  • Use CloudSEK’s Xvigil tool to find if threat actors are abusing your APIs with its github repository scanning feature.
  • Ask the tools owners (links later in the report) to put your phone number in the protected list.
  • Ask your telecom provider to activate Do Not Disturb on your phone number.

Scripts

Referências

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more