Хакеры используют OTP API для SMS-бомб, раскрыто 44 индийских API

Нью-Дели:Хакеры разработали автоматизированные программы, которые используют API проверки OTP (одноразовый пароль) (интерфейс прикладного программирования), чтобы загружать мобильные устройства чрезмерными SMS-сообщениями OTP, говорится в новом отчете, опубликованном в понедельник.

По данным компании CloudSEK, занимающейся кибербезопасностью, когда эти мошеннические скрипты будут выпущены, они могут вызвать целенаправленные отключения телекоммуникационных услуг, нанеся финансовый и репутационный ущерб пострадавшим брендам.

Ситуация вызывает обеспокоенность по поводу возможности «усталости многофакторной аутентификации (MFA)» или атак «истощения» в сценариях захвата учетных записей.

Исследователи обнаружили несколько репозиториев GitHub, содержащих ссылки на глобальные компании и их API. Эти API позволяют отправлять неограниченное количество SMS-сообщений OTP на любой номер без ограничения скорости или защиты с помощью капчи.

Эта уязвимость привела к злоупотреблению этими API с помощью автоматизированных инструментов, что привело к увеличению затрат на API, юридическим последствиям и репутационному ущербу затронутых брендов.

«Эта атака может быть использована как завеса, чтобы скрыть незаконные попытки входа в систему, предпринятые злоумышленниками для получения доступа к устройствам пользователей. Это также означает, что пока продолжается атака, пользователь может пропустить важные уведомления», — сказал Мудит Бансал, исследователь киберугроз CloudSEK.

«Кроме того, из-за постоянного запроса одноразовых паролей сервис может заблокировать вашу учетную запись, и вы не сможете получить к ней доступ», — добавил он.

Более того, количество открытых API по странам включает Индию с 44 открытыми API, Россию с 81 открытым API и Индонезию с одним открытым API.

Полученные данные также подчеркивают доступность и финансовые аспекты этих вредоносных сервисов, которые включают в себя: многочисленные онлайн-инструменты, которые позволяют любому человеку легко запускать такие кампании; инструменты доступны бесплатно, поскольку основное бремя затрат ложится на бренды, владеющие SMS-рассылкой. API и одно одноразовое SMS-сообщение могут стоить бренду до 20 пайсов.

Забрасывание телефонов SMS-сообщениями, даже после активации услуги «Не беспокоить», представляет собой преследование и причинение неудобств в соответствии с разделом 268 IPC, а также квалифицируется как кража, мошенничество и нечестное побуждение к передаче имущества в соответствии с разделами 378 и 420 IPC, говорится в отчете. .

Получайте обновления новостей наWhatsApp&Телеграмма подписавшись на наши каналы. Для всех последнихБизнесобновления, скачайте наше приложениеАндроидиiOS.