Опасная схема мошенничества с SMS: как злоумышленники годами обогащаются за счёт компаний, использующих Okta и Auth0

Суть атаки, известной как SMS pumping или toll fraud, заключается в эксплуатации систем многофакторной аутентификации (MFA), которые отправляют проверочные коды по SMS. Цель злоумышленников - не кража данных, а банальное и прибыльное мошенничество. Они сотрудничают с операторами связи в регионах с высокими тарифами на международные или премиальные SMS. Создавая тысячи учётных записей на целевых платформах и указывая контролируемые номера телефонов в таких дорогостоящих странах, атакующие инициируют массовую отправку сообщений. Каждое такое SMS оплачивает организация-владелец системы аутентификации, а преступники получают от сотового оператора часть прибыли. Суммарный ущерб от подобных кампаний может достигать сотен тысяч долларов.

Для реализации этой схемы злоумышленники применяют чёткую и высокомасштабируемую тактику. На этапе разведки они выявляют публичные конечные точки (эндпоинты) для регистрации пользователей или запроса кода MFA, которые инициируют отправку SMS. Далее, чтобы обойти ограничения по частоте запросов (rate-limiting), основанные на IP-адресах, атакующие используют коммерческие прокси-сервисы, VPN и сети резидентных ботнетов для распределения трафика. Ключевым элементом устойчивости кампании O-UNC-036 стал кластер инфраструктуры с одноразовыми email-адресами. Автоматизированные скрипты используют постоянно обновляемый пул общих доменов для генерации временных почтовых ящиков. Это позволяет массово создавать учётные записи, обходя ограничения на количество регистраций с одного домена или внутри одного клиента (tenant). Согласно отчёту исследователей Okta, активность в этом кластере отслеживается как минимум с марта 2024 года, что говорит о долгосрочной и изощрённой операции.

Важно отметить, что атаки носят нецелевой, но широкомасштабный характер. Активность наблюдалась в системах множества клиентов как облачной платформы идентификации Auth0, так и сервисов Okta Customer Identity (OCI). Это указывает на то, что злоумышленники проводят массовое сканирование интернета в поисках любых уязвимых конечных точек, которые запускают отправку SMS. Одна и та же инфраструктура, вероятно, используется и против компаний, разрабатывающих собственные страницы входа или применяющих альтернативные сервисы аутентификации.

Для специалистов по информационной безопасности критически важно уметь обнаруживать подобные атаки в своих логах. В случае использования Okta Customer Identity тревожными сигналами являются аномально высокое количество сообщений, отправляемых в страны, не характерные для обычной деятельности компании, а также всплески специфических событий в системе, таких как "system.sms.send_okta_push_verify_message" или "system.sms.send_factor_verify_message" с результатом "DENY" и указанием причины "Toll Fraud Suspected" (подозрение на мошенничество с тарифами). Для клиентов Auth0 ключевыми индикаторами являются события регистрации (sign-up) с доменов из списка компрометирующих признаков (IoC), всплески событий, связанных с сервисом Guardian (например, "gd_enrollment_complete" и "gd_send_sms"), а также рост событий «Обход MFA» в Security Center. Поскольку атака может продолжаться длительное время, администраторам рекомендуется провести глубокий ретроспективный анализ логов.

Эффективная защита от этой угрозы требует комплексного подхода. Наиболее радикальной, но и самой надёжной мерой является полный отказ от SMS как фактора аутентификации в пользу более безопасных методов. Исследователи настоятельно рекомендуют внедрять стандарт FIDO Authentication с использованием паскейов (passkeys) на основе WebAuthn. Эти технологии не только устраняют финансовые риски toll fraud, но и значительно повышают общий уровень безопасности, устойчивость к фишингу и перехвату кодов. В качестве оперативных мер защиты необходимо блокировать регистрацию с доменов, зафиксированных в кампании O-UNC-036, а также деактивировать уже созданные с их помощью учётные записи. Анализ показал, что легитимное использование этих доменов отсутствует. Кроме того, следует настроить блокировку трафика от подозрительных автономных систем (ASN) и использовать инструменты для противодействия ботам, такие как CAPTCHA, которые создают серьёзные препятствия для автоматизированных скриптов.

Важной практической рекомендацией является тесное взаимодействие с провайдером телефонии. Необходимо отключить возможность отправки SMS в недоверенные, особенно высокотарифные, страны и задействовать встроенные инструменты провайдера для блокировки подозрительной активности. Как отмечают эксперты, злоумышленники, стоящие за O-UNC-036, демонстрируют высокую чувствительность к сопротивлению и, как правило, быстро оставляют в покое ту цель, где реализованы эффективные средства защиты. Таким образом, своевременное и агрессивное внедрение контрмер не только останавливает текущую атаку, но и служит мощным сдерживающим фактором на будущее, защищая организацию от существенных финансовых потерь.

Domains

• 2mails1box.com
• 300bucks.net
• blueink.top
• desumail.com
• e-boss.xyz
• echat.rest
• electroletter.space
• e-mail.lol
• emailclub.net
• energymail.org
• gogomail.ink
• gopostal.top
• guesswho.click
• homingpigeon.org
• kakdela.net
• letters.monster
• lostspaceship.net
• message.rest
• myhyperspace.org
• mypost.lol
• postalbro.com
• protonbox.pro
• rocketpost.org
• sendme.digital
• shroudedhills.com
• specialmail.online
• ultramail.pro
• whyusoserious.org
• wirelicker.com
• writeme.live
• writemeplz.net