det0156-detection-strategy-for-resource-hijacking-sms-pumping-via-saas-applicati

# DET0156 — Detection Strategy for Resource Hijacking: SMS Pumping via SaaS Application Logs ## Descrição Esta estratégia detecta SMS pumping (também chamado de SMS toll fraud) via abuso de aplicações SaaS (T1496), onde adversários exploram funcionalidades de envio de SMS legítimas (como autenticação por SMS, notificações, verificação de número) para gerar tráfego massivo de SMS a números premium controlados pelo atacante, gerando receita às custas da organização. É uma forma de resource hijacking que resulta em cobranças financeiras inesperadas. O ataque funciona quando um adversário preenche formulários de registro ou recuperação de senha com números de telefone premium, gerando envio de SMS pela plataforma SaaS. Em escala, isso pode gerar custos de milhares de dólares por hora. Plataformas de MFA, autenticação de dois fatores e marketplaces que enviam SMS de verificação são os alvos preferidos. A telemetria requer análise dos logs de aplicação SaaS para padrões de envio de SMS: volume anômalo de requisições de SMS para prefixos de número específicos, alta taxa de falha de entrega (números premium frequentemente não recebem SMS), ou concentração de envios para países ou prefixos incomuns para o perfil da organização. Logs de provedores de SMS como Twilio, Vonage ou AWS SNS devem ser integrados ao SIEM. ## Indicadores de Detecção - Spike súbito no volume de SMS enviados (>10x baseline) em janela de 1 hora - Concentração de envios de SMS para prefixos de países não operacionais para a empresa - Alta taxa de falha de entrega de SMS (>50%) indicando números inválidos/premium - Requisições de SMS originadas do mesmo endereço IP em alta frequência (automação) - Custo de SMS em dashboard do provedor excedendo threshold de alerta configurado ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1621-multi-factor-authentication-request-generation|T1621 — Multi-Factor Authentication Request Generation]] ## Analytics Relacionadas - [[an0443-analytic-0443|AN0443 — Analytic 0443]] --- *Fonte: [MITRE ATT&CK — DET0156](https://attack.mitre.org/detectionstrategies/DET0156)*