Campanhas de SMS e OTP bombing exploram 843 APIs vulneráveis e burlam controles de SSL

Pesquisadores da Cyble identificaram uma evolução forte das campanhas de SMS/OTP bombing: o que antes eram scripts simples virou um ecossistema com ferramentas cross-platform, automação em larga escala e técnicas de evasão mais maduras.

Segundo a análise, cerca de 843 endpoints de API foram mapeados como exploráveis para disparar fluxos legítimos de OTP repetidamente, causando assédio, interrupção de serviços e fadiga de MFA em vítimas.

Principais achados

• Abuso de endpoints de autenticação sem rate limiting/captcha robusto;
• Uso de multi-threading, rotação de proxy e randomização de requisições;
• Bypass de SSL presente em grande parte das ferramentas analisadas;
• Expansão para campanhas de voice-bombing além de SMS.

Por que isso importa

O problema não está só nas ferramentas, mas na fragilidade de fluxos de verificação em serviços legítimos. Organizações precisam reforçar proteção em APIs de autenticação com limites por dispositivo/conta/IP, detecção de padrões anômalos, desafios adaptativos e monitoramento contínuo.

Fonte: https://thecyberexpress.com/sms-and-otp-bombing-bypass-analysis/