Campanhas de SMS e OTP bombing exploram 843 APIs vulneráveis e burlam controles de SSL
Pesquisa da Cyble mostra que campanhas de SMS/OTP bombing evoluíram para operação em escala, com 843 APIs vulneráveis mapeadas e técnicas como bypass de SSL e automação cross-platform.
Pesquisadores da Cyble identificaram uma evolução forte das campanhas de SMS/OTP bombing: o que antes eram scripts simples virou um ecossistema com ferramentas cross-platform, automação em larga escala e técnicas de evasão mais maduras.
Segundo a análise, cerca de 843 endpoints de API foram mapeados como exploráveis para disparar fluxos legítimos de OTP repetidamente, causando assédio, interrupção de serviços e fadiga de MFA em vítimas.
Principais achados
- Abuso de endpoints de autenticação sem rate limiting/captcha robusto;
- Uso de multi-threading, rotação de proxy e randomização de requisições;
- Bypass de SSL presente em grande parte das ferramentas analisadas;
- Expansão para campanhas de voice-bombing além de SMS.
Por que isso importa
O problema não está só nas ferramentas, mas na fragilidade de fluxos de verificação em serviços legítimos. Organizações precisam reforçar proteção em APIs de autenticação com limites por dispositivo/conta/IP, detecção de padrões anômalos, desafios adaptativos e monitoramento contínuo.
Fonte: https://thecyberexpress.com/sms-and-otp-bombing-bypass-analysis/
