Categories: AMEAÇAS ATUAIS

Campanhas de SMS e OTP bombing exploram 843 APIs vulneráveis e burlam controles de SSL

Pesquisadores da Cyble identificaram uma evolução forte das campanhas de SMS/OTP bombing: o que antes eram scripts simples virou um ecossistema com ferramentas cross-platform, automação em larga escala e técnicas de evasão mais maduras.

Segundo a análise, cerca de 843 endpoints de API foram mapeados como exploráveis para disparar fluxos legítimos de OTP repetidamente, causando assédio, interrupção de serviços e fadiga de MFA em vítimas.

Principais achados

  • Abuso de endpoints de autenticação sem rate limiting/captcha robusto;
  • Uso de multi-threading, rotação de proxy e randomização de requisições;
  • Bypass de SSL presente em grande parte das ferramentas analisadas;
  • Expansão para campanhas de voice-bombing além de SMS.

Por que isso importa

O problema não está só nas ferramentas, mas na fragilidade de fluxos de verificação em serviços legítimos. Organizações precisam reforçar proteção em APIs de autenticação com limites por dispositivo/conta/IP, detecção de padrões anômalos, desafios adaptativos e monitoramento contínuo.

Fonte: https://thecyberexpress.com/sms-and-otp-bombing-bypass-analysis/

TheNinja

Recent Posts

GPT-5.6 Sol Ultra apresenta prova do Cycle Double Cover Conjecture em 1 hora com 64 subagentes — e a matemática pede tempo para conferir

OpenAI diz que GPT-5.6 Sol Ultra provou o Cycle Double Cover Conjecture, aberto há 50…

27 minutos ago

Boston Dynamics e Google DeepMind ligam o Gemini Robotics-ER 1.6 no Spot: robôs agora leem manômetros analógicos em fábricas

Boston Dynamics integra Gemini Robotics-ER 1.6 no Spot via Orbit AIVI: robôs agora leem manômetros…

27 minutos ago

OpenAI e Broadcom apresentam o Jalapeño: primeiro chip próprio da OpenAI foi projetado em 9 meses e mira 50% menos custo que GPUs Nvidia

OpenAI e Broadcom lançam o Jalapeño: primeiro chip próprio da OpenAI, projetado em 9 meses,…

27 minutos ago

Project Arc entra em produção: ServiceNow e NVIDIA lançam agente de desktop autônomo governado para empresas

ServiceNow e NVIDIA colocam Project Arc em produção: agente de desktop autônomo, sandbox OpenShell e…

27 minutos ago

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

20 horas ago