# T1496.003 - SMS Pumping > [!warning] Técnica de Impacto Financeiro > SMS Pumping é uma forma de fraude de telecomúnicações que gera custos financeiros diretos para organizações ao explorar infraestruturas de mensageria SaaS. Muito utilizada contra plataformas de autenticação e verificação de contas. ## Descrição **SMS Pumping** (também conhecido como *Artificially Inflated Traffic - AIT*) é uma técnica de fraude de telecomúnicações classificada pelo [[mitre-attack|MITRE ATT&CK]] como subtécnica de [[t1496-resource-hijacking|T1496 - Resource Hijacking]], na tática de **Impacto**. Nessa técnica, adversários obtêm blocos de números telefônicos junto a operadoras de telecomúnicações e, em seguida, exploram formulários web públicamente acessíveis de uma organização vítima - tipicamente campos de envio de OTP (One-Time Password), verificação de conta ou notificações por SMS - para disparar grandes volumes de mensagens destinadas aos números controlados pelo atacante. As operadoras de telecomúnicações repassam uma porcentagem das receitas de SMS ao proprietário dos números, tornando o esquema lucrativo para o atacante enquanto gera prejuízo direto à organização alvo. A técnica é particularmente insidiosa porque aproveita funcionalidades **legítimas** da plataforma da vítima - não há necessidade de comprometer sistemas internos. Serviços como [[twilio|Twilio]], AWS SNS, Amazon Cognito, Vonage e outros provedores de SMS-as-a-service são alvos frequentes, pois cobram por mensagem enviada, transferindo o custo ao cliente (a organização vítima). O impacto vai além do financeiro: canais de comunicação legítimos podem ser sobrecarregados, prejudicando usuários reais que aguardam OTPs para autenticação, além de degradar a disponibilidade geral da infraestrutura de mensageria. **Técnica pai:** [[t1496-resource-hijacking|T1496 - Resource Hijacking]] ## Como Funciona O ciclo de um ataque de SMS Pumping segue etapas bem definidas: **1. Aquisição de números premium:** O atacante cadastra-se como provedor ou parceiro de uma operadora de telecomúnicações, obtendo blocos de números que geram receita para o detentor a cada mensagem recebida. Em muitos países, esquemas de revenue-sharing são legítimos e exploráveis por atores maliciosos. **2. Identificação do alvo:** O adversário mapeia formulários web da organização alvo que acionam envios de SMS - campos de login com MFA, cadastro de conta, recuperação de senha, notificações de transação. Ferramentas de automação (bots) ou mesmo proxies humanos são utilizados para submeter esses formulários em volume. **3. Submissão automatizada em massa:** Scripts automatizados submetem repetidamente os formulários de OTP ou verificação usando os números controlados pelo atacante como destinatários. Cada submissão bem-sucedida gera uma mensagem SMS cobrada ao cliente do serviço (a organização vítima). **4. Coleta de receita:** As mensagens chegam aos números do atacante. A operadora repassa parte da receita ao detentor do bloco de números, completando o ciclo de fraude. O atacante pode ter múltiplos blocos de números em diferentes operadoras para maximizar retorno. **5. Impacto cumulativo:** Dependendo do volume, os custos para a organização vítima podem escalar de dezenas a centenas de milhares de dólares em dias ou horas. Campanhas sofisticadas distribuem o tráfego para evitar detecção por raté limits básicos. ### Vetores de exploração comuns - Formulários de registro com verificação por SMS - Campos de recuperação de senha via OTP - Autenticação multifator (MFA) por SMS - Notificações transacionais disparadas por webhooks - APIs públicas de envio de SMS sem autenticação adequada ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>Identifica formulários SMS públicos<br/>e provedores utilizados (Twilio, AWS SNS)"] B["📱 Aquisição de Números<br/>Obtém blocos de números premium<br/>junto a operadoras de telecom"] C["🤖 Automação de Submissões<br/>Desenvolvimento de bots para submeter<br/>formulários OTP/verificação em massa"] D["📤 Disparo em Volume<br/>Submete formulários apontando<br/>para números controlados"] E["💸 Coleta de Receita<br/>Operadora repassa percentual<br/>de receita ao atacante"] F["⚠️ Impacto na Vítima<br/>Custos inflados + canais<br/>sobrecarregados + usuários bloqueados"] G["🔁 Escalada e Persistência<br/>Altera números, distribui IP,<br/>evita raté limits - repete ciclo"] A --> B B --> C C --> D D --> E D --> F E --> G G --> D ``` ## Exemplos de Uso ### Caso 1 - Plataformas de e-commerce e fintech (2022-2024) Múltiplas plataformas de e-commerce e [[financial|fintech]] sofreram ataques de SMS Pumping contra seus fluxos de cadastro e autenticação. Relatórios do [[twilio|Twilio]] indicam que clientes chegaram a receber faturas 10x superiores ao normal em jánelas de 48 horas. O padrão identificado foi submissão massiva de números em sequência, oriundos de blocos registrados em operadoras de países com alto revenue-sharing (frequentemente África Sub-Saariana, Sudeste Asiático e Europa do Leste). ### Caso 2 - Abuso de formulários de OTP sem CAPTCHA (2023) Pesquisadores de segurança documentaram campanhas onde formulários de OTP sem proteção CAPTCHA foram alvejados por botnets distribuídos. A ausência de válidação de comportamento humano permitiu que scripts automatizados disparassem milhares de requisições por minuto. Plataformas usando [[aws-sns|AWS SNS]] reportaram custos inesperados de dezenas de milhares de dólares antes de detectar a anomalia. ### Caso 3 - Brasil: Fintech e bancos digitais No contexto brasileiro, bancos digitais e fintechs reguladas pelo [[banco-central-do-brasil|Banco Central do Brasil]] têm sido alvos recorrentes dada a adoção massiva de MFA por SMS. A combinação de alta base de usuários, fluxos frequentes de OTP e integração com provedores como [[twilio|Twilio]] e Zenvia cria superfície de ataque significativa. O [[cert-br|CERT.br]] reportou aumento de incidentes relacionados a fraude de telecomúnicações no segmento fintech em 2023-2024. ### Caso 4 - Plataformas SaaS globais Provedores SaaS com funcionalidades de notificação SMS - como plataformas de RH, CRM e e-commerce - frequentemente subestimam o risco. A ausência de limites por número de destino, por sessão ou por geolocalização deixa essas plataformas expostas. Ataques documentados exploram a API pública de notificações sem autenticação de cliente adequada. ## Detecção ### Indicadores comportamentais - Volume anormalmente alto de SMS enviados em curto período - Alto percentual de mensagens destinadas a números de países incomuns para a base de usuários - Padrão de números sequenciais ou em blocos nas requisições - Pico de requisições originadas de IPs em ASNs de data center (não residencial) - Taxa de conversão próxima de zero (SMS enviados mas nenhuma ação de usuário pós-envio) - Falha na correlação entre envio de OTP e tentativa de login subsequente ### Regra de detecção (Sigma) ```yaml title: SMS Pumping - Volume Anômalo de Envios OTP status: experimental description: Detecta padrões de SMS Pumping através de volume anômalo de requisições OTP em jánela de tempo curta, especialmente com destinos incomuns logsource: category: application product: saas-messaging detection: selection_volume: EventType: "sms_send" Outcome: "success" filter_known_users: UserAuthenticated: true condition: selection_volume and not filter_known_users timeframe: 5m threshold: field: DestinationCountry count: "> 100" level: high tags: - attack.impact - attack.t1496.003 falsepositives: - Campanhas legítimas de marketing por SMS - Envios em massa agendados de notificações ``` ### Fontes de dados para detecção | Fonte | Evento a monitorar | Prioridade | |-------|-------------------|-----------| | Logs do provedor SMS (Twilio, AWS SNS) | Pico de volume por jánela temporal | Alta | | WAF / Raté Limiter | Requisições repetidas ao endpoint de OTP | Alta | | SIEM | Correlação IP → número destino → país | Média | | Billing alerts | Alerta de custo acima do baseline | Alta | | Aplicação web | Taxa OTP enviado vs. login completado | Média | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1013-application-developer-guidance\|M1013]] | Application Developer Guidance | Implementar raté limiting por IP, por sessão e por número de destino. Validar formato e geolocalização do número antes do envio | | CAPTCHA | Verificação de comportamento humano | Exigir CAPTCHA antes de disparar envio de SMS em fluxos sensíveis (OTP, cadastro) | | Allowlist de países | Restrição geográfica | Limitar envios SMS a países da base de usuários ativa da organização | | Monitoramento de billing | Alerta financeiro proativo | Configurar alertas de billing no provedor SMS para desvios acima de threshold | | Token de sessão | Vinculação de OTP à sessão | Exigir token de sessão autenticado antes de permitir envio de OTP | | Raté limit por número | Proteção por destinatário | Limitar número de mensagens enviadas ao mesmo número destino por hora/dia | ## Contexto Brasil/LATAM O Brasil ocupa posição de destaque como alvo de fraudes de telecomúnicações na América Latina por razões estruturais: **Alta adoção de MFA por SMS:** A regulamentação bancária brasileira (BACEN) exige autenticação forte para transações digitais, resultando em altíssimo volume de OTPs enviados diariamente por bancos, fintechs e plataformas de pagamento como [[pix|Pix]]-integradas. **Ecossistema fintech robusto:** O Brasil tem o maior ecossistema fintech da América Latina, com mais de 1.000 fintechs reguladas. Muitas delas dependem criticamente de SMS para verificação de identidade e MFA, tornando-se alvos preferênciais. **Provedores nacionais de SMS:** Operadoras e agregadores brasileiros como Zenvia, Infobip Brasil e Sinch Brasil processam bilhões de mensagens mensalmente. A integração com provedores internacionais (Twilio) amplia a superfície de exploração para esquemas cross-border. **Contexto regulatório:** O [[cert-br|CERT.br]] e a [[anatel|Anatel]] têm públicado alertas sobre fraudes de telecomúnicações, mas a resposta regulatória ainda está amadurecendo. A ausência de obrigação de reporting padronizado dificulta a estimativa do impacto real. **Grupos identificados na região:** Embora não hajá atribuição pública robusta de SMS Pumping a grupos APT específicos na LATAM, grupos de fraude financeira organizados - muitos com base no Brasil (especialmente Minas Gerais e São Paulo) e ligados ao [[financial|setor financeiro]] - têm demonstrado sofisticação crescente em técnicas de abuso de telecomúnicações. **Recomendação para organizações brasileiras:** Priorizar a implementação de CAPTCHA resistente em todos os fluxos de OTP, configurar alertas de billing no provedor SMS, e conduzir revisão semestral dos logs de envio para detecção de padrões anômalos. ## Referências - [MITRE ATT&CK - T1496.003 SMS Pumping](https://attack.mitre.org/techniques/T1496/003) - [Twilio - Protecting Against SMS Pumping Fraud](https://www.twilio.com/blog/protect-against-sms-pumping-fraud) - [GSMA - Artificially Inflated Traffic (AIT) Overview](https://www.gsma.com/security/ait/) - [AWS - Preventing SMS Pumping on Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sms-security.html) - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - [[m1013-application-developer-guidance|M1013 - Application Developer Guidance]] - [[financial|Setor Financeiro - Perfil de Ameaças]] - [[cert-br|CERT.br]] - [[twilio|Twilio]] --- *Fonte: [MITRE ATT&CK - T1496.003](https://attack.mitre.org/techniques/T1496/003)*