Fraude au SMS pumping (AIT) : la comprendre et l'arrêter en 2026

Qu'est-ce que la fraude au SMS pumping ?

Le SMS pumping — aussi connu sous le nom de trafic artificiellement gonflé (AIT) ou fraude SMS surtaxée — est un stratagème dans lequel des attaquants utilisent des bots pour déclencher des volumes massifs de messages depuis votre application vers des numéros dont ils tirent profit. La cible typique : votre formulaire OTP ou « recevez le lien par SMS » — il envoie un message instantanément, sans authentification, vers n'importe quel numéro saisi. Chaque message livré génère des revenus de terminaison pour un opérateur ou détenteur de plage complice, qui reverse une part au fraudeur.

L'équation économique est brutale pour la victime. Une attaque de pumping peut multiplier votre dépense SMS mensuelle par 5 à 50 en quelques heures, et si vous ne surveillez pas les bonnes métriques, le premier signal est la facture. Les estimations sectorielles chiffrent les pertes AIT en milliards de dollars par an, et en 2026 la fraude s'est étendue au-delà de l'OTP vers les invitations de parrainage, liens de téléchargement et formulaires de sondage — tout point de terminaison public qui envoie un SMS.

Comment fonctionne une attaque de SMS pumping ?

  1. L'attaquant acquiert une plage de numéros. Il s'associe à un opérateur mobile véreux, un MVNO ou un revendeur contrôlant des blocs de numéros surtaxés ou à frais de terminaison élevés — généralement dans des pays où le SMS entrant est cher.
  2. Il trouve votre déclencheur. Tout formulaire non authentifié qui envoie un texto : OTP d'inscription, 2FA de connexion, « envoyez-moi le lien », invitation de parrainage.
  3. Les bots soumettent des numéros à grande échelle. Des scripts parcourent la plage de l'attaquant — souvent séquentiellement — demandant des milliers de messages par heure, fréquemment la nuit ou le week-end.
  4. Les revenus circulent. Votre passerelle livre les messages ; l'opérateur de terminaison encaisse les frais ; le fraudeur touche sa part. Personne ne saisit jamais de code de vérification.
  5. Vous recevez la facture. Avec des coûts de 0,05 $ à 0,30 $ par message sur les corridors ciblés, 100 000 fausses demandes peuvent brûler un montant à cinq chiffres avant lundi.

Comment détecter le SMS pumping ?

Quatre métriques révèlent une attaque tôt. Mettez-les toutes sur un tableau de bord avec alertes — notre guide de supervision de la délivrabilité couvre l'outillage :

SignalSainSous attaque
Ratio envois/vérifications70–95 % vérifiésSous 40 %, souvent proche de 0 % sur les corridors touchés
Demandes par pays par heureStable, aligné sur votre base d'utilisateursPics soudains vers des pays sans utilisateurs
Numéros uniques par IP / appareil~1Des dizaines à des milliers
Coût par vérification réussieRéférence stableEnvolée avec des inscriptions stagnantes

Indicateurs supplémentaires quasi certains :

  • Numéros séquentiels : +263 71 000 0001, 0002, 0003…
  • Taux de vérification nul pour une plage de numéros ou un opérateur entier
  • Trafic insensible à la latence : les vrais utilisateurs réessaient quand les codes tardent ; pas les bots
  • Rafales nocturnes décorrélées de la courbe d'usage de votre produit

Comment prévenir le SMS pumping ?

Aucun contrôle isolé n'arrête l'AIT ; l'objectif est d'empiler des couches peu coûteuses jusqu'à tuer le ROI de l'attaquant. Déroulez cette checklist :

  1. Géo-restrictions (impact maximal, effort minimal). N'autorisez les SMS que vers les pays où vous avez réellement des utilisateurs. La plupart des entreprises peuvent bloquer 80 % des corridors à risque sans aucun impact utilisateur. Révisez la liste chaque trimestre.
  2. Limitez le débit partout. Par numéro (max 3 codes / 15 min), par IP, par empreinte d'appareil et par session. Ajoutez un délai exponentiel aux boutons de renvoi.
  3. Détection de bots avant l'envoi. Un CAPTCHA invisible ou un défi de preuve de travail sur le formulaire OTP filtre les requêtes scriptées sans friction pour les humains.
  4. Bloquez les types de numéros à risque. Rejetez à la demande les plages surtaxées, VoIP et notoirement abusées grâce aux données de lookup. La détection de motifs séquentiels attrape le balayage de plages.
  5. Flux différés et asymétriques. De petits délais avant envoi (500–1500 ms), ou une vérification e-mail préalable sur signaux suspects, détruisent l'économie du bot tout en restant invisibles pour les personnes.
  6. Alertes de dépense et coupe-circuits. Plafonnez la dépense SMS horaire par corridor et mettez automatiquement en pause toute destination dont le volume bondit, disons, de 500 % au-dessus de la référence. Un coupe-circuit qui suspend le Zimbabwe pour vérification vous coûte des minutes ; l'alternative coûte des milliers.
  7. Choisissez une passerelle qui combat l'AIT avec vous. Filtrage antifraude au niveau des routes, détection d'anomalies par corridor et données de livraison honnêtes comptent. Les fournisseurs pratiquant le routage aligné opérateur repèrent aussi le trafic qui se termine sur des plages qui ne convertissent jamais — les agrégateurs low-cost partagés en sont souvent incapables, et certains profitent discrètement du volume gonflé.

Que faire pendant une attaque active ?

  1. Suspendez immédiatement les corridors touchés — votre passerelle doit permettre de bloquer des pays de destination en une action.
  2. Préservez les preuves : journaux de requêtes, IP, plages de numéros, horodatages.
  3. Durcissez les limites de débit et activez les contrôles anti-bots sur le point de terminaison exposé.
  4. Contactez votre fournisseur pour contester le trafic quand c'est possible et confirmer les plages impliquées.
  5. Faites le post-mortem du point de terminaison : chaque route de votre produit qui envoie un SMS doit porter les contrôles ci-dessus avant de rouvrir le corridor.

FAQ : fraude au SMS pumping

Qu'est-ce que la fraude au SMS pumping ?

Un stratagème où des attaquants utilisent des bots pour déclencher de gros volumes de SMS — généralement des OTP — depuis votre application vers des plages de numéros dont ils profitent. On parle aussi de trafic artificiellement gonflé (AIT) ou de fraude SMS surtaxée.

Comment détecter le SMS pumping ?

Surveillez le ratio envois/vérifications (sous ~40 % : suspect), les pics de demandes par pays, les numéros uniques par IP et le coût par vérification réussie. Des numéros de destination séquentiels sont un signe quasi certain.

Comment arrêter le SMS pumping sans bloquer les vrais utilisateurs ?

Empilez des couches indolores : géo-restrictions, limites par numéro et par IP, détection de bots invisible, blocage des plages surtaxées/VoIP, délais de renvoi et coupe-circuits de dépense.

Qui profite du SMS pumping ?

Le fraudeur et un opérateur ou détenteur de plage complice qui touche des frais de terminaison sur chaque message livré et partage les revenus.

Le SMS pumping ne touche-t-il que les points de terminaison OTP ?

Non — tout formulaire public qui déclenche un SMS est une cible : liens de téléchargement, invitations de parrainage, sondages.

Conclusion : rendez-vous non rentable

Le SMS pumping persiste parce que la plupart des victimes lui facilitent la tâche : points de terminaison ouverts, aucune géo-limite, aucun suivi du taux de vérification, et un fournisseur sans incitation à signaler le volume gonflé. Chaque couche ci-dessus augmente le coût de l'attaquant et réduit son rendement ; deux ou trois combinées le poussent généralement vers une cible plus tendre. Associez les contrôles applicatifs à une passerelle offrant analyses par corridor et données de livraison honnêtes — puis vérifiez votre configuration de livraison OTP pour que le trafic légitime restant convertisse réellement.

Dach SMS Lab

Dach SMS Lab