Фрод SMS pumping (AIT): что это и как остановить в 2026 году
Что такое фрод SMS pumping?
SMS pumping — также известный как искусственно раздутый трафик (AIT) или SMS-фрод на премиум-номерах — это схема, в которой злоумышленники с помощью ботов запускают массовые объёмы сообщений из вашего приложения на номера, с которых они получают доход. Типичная цель — ваша форма OTP или «пришлите мне ссылку по SMS»: она отправляет сообщение мгновенно, без аутентификации, на любой введённый посетителем номер. Каждое доставленное сообщение приносит доход за терминацию соучастнику — оператору или владельцу диапазона, — который отдаёт долю мошеннику.
Экономика для жертвы жестока. Одна атака может умножить ваши месячные расходы на SMS в 5–50 раз за несколько часов, и если вы не следите за правильными метриками, первым сигналом станет счёт. Отраслевые оценки исчисляют потери бизнеса от AIT миллиардами долларов в год, а к 2026 году фрод расширился за пределы OTP — на реферальные приглашения, ссылки на скачивание и формы опросов: на любой публичный эндпоинт, отправляющий SMS.
Как устроена атака SMS pumping?
- Атакующий получает диапазон номеров. Он договаривается с недобросовестным оператором, MVNO или реселлером, контролирующим блоки премиум-номеров или номеров с высокой платой за терминацию — обычно в странах с дорогими входящими SMS.
- Он находит ваш триггер. Любая неаутентифицированная форма, отправляющая SMS: OTP при регистрации, 2FA при входе, «пришлите ссылку», реферальное приглашение.
- Боты массово отправляют номера. Скрипты перебирают диапазон атакующего — часто последовательно, — запрашивая тысячи сообщений в час, нередко ночью или в выходные.
- Деньги текут. Ваш шлюз доставляет сообщения; терминирующий оператор собирает плату; мошенник получает долю. Никто и никогда не вводит код подтверждения.
- Счёт приходит вам. При стоимости $0,05–$0,30 за сообщение на целевых направлениях 100 000 фейковых запросов сжигают пятизначную сумму до понедельника.
Как обнаружить SMS pumping?
Четыре метрики выдают атаку на раннем этапе. Выведите их все на дашборд с оповещениями — инструменты описаны в нашем гиде по мониторингу доставляемости:
| Сигнал | Норма | Под атакой |
|---|---|---|
| Соотношение отправок к верификациям | 70–95 % подтверждено | Ниже 40 %, на затронутых коридорах часто около 0 % |
| Запросы по стране в час | Стабильно, соответствует базе пользователей | Внезапные всплески в страны без пользователей |
| Уникальные номера на IP / устройство | ~1 | Десятки и тысячи |
| Стоимость успешной верификации | Стабильная база | Резкий рост при неизменных регистрациях |
Дополнительные почти стопроцентные индикаторы:
- Последовательные номера: +263 71 000 0001, 0002, 0003…
- Нулевая верификация по целому диапазону или оператору
- Нечувствительный к задержке трафик: настоящие пользователи повторяют попытку, когда код запаздывает; боты — нет
- Всплески во внерабочее время, не совпадающие с кривой использования продукта
Как предотвратить SMS pumping?
Ни один контроль в одиночку не остановит AIT; цель — наслаивать дешёвые меры, пока ROI атакующего не умрёт. Пройдитесь по чек-листу:
- Гео-разрешения (максимальный эффект, минимальные усилия). Разрешайте SMS только в страны, где у вас реально есть пользователи. Большинство бизнесов может закрыть 80 % рискованных направлений мира с нулевым влиянием на пользователей. Пересматривайте список ежеквартально.
- Лимитируйте всё. По номеру телефона (максимум 3 кода за 15 минут), по IP, по отпечатку устройства и по сессии. Добавьте экспоненциальную задержку на кнопки повторной отправки.
- Детекция ботов до отправки. Невидимая CAPTCHA или proof-of-work-задача на форме OTP отсекают скриптовые запросы без трения для людей.
- Блокируйте рискованные типы номеров. Отклоняйте премиум-, VoIP- и известные злоупотребляемые диапазоны на этапе запроса по данным lookup-сервисов. Детекция последовательных паттернов ловит перебор диапазонов.
- Отложенные и асимметричные сценарии. Небольшие задержки перед отправкой (500–1500 мс) или требование подтвердить e-mail при подозрительных сигналах разрушают экономику ботов, оставаясь незаметными для людей.
- Оповещения о расходах и предохранители. Ограничьте часовые расходы на SMS по каждому направлению и автоматически приостанавливайте любое, чей объём подскочил, скажем, на 500 % выше базовой линии. Предохранитель, ставящий Зимбабве на паузу для проверки, стоит вам минут; альтернатива — тысяч долларов.
- Выбирайте шлюз, который борется с AIT вместе с вами. Важны фрод-скрининг на уровне маршрутов, детекция аномалий по коридорам и честные данные о доставке. Провайдеры с маршрутизацией под операторов также замечают, когда трафик терминируется на диапазонах, которые никогда не конвертируются, — дешёвые общие агрегаторы часто на это неспособны, а некоторые тихо зарабатывают на раздутом объёме.
Что делать во время активной атаки?
- Немедленно приостановите затронутые направления — шлюз должен позволять блокировать страны назначения одним действием.
- Сохраните доказательства: логи запросов, IP, диапазоны номеров, временные метки.
- Ужесточите лимиты и включите анти-бот проверки на уязвимом эндпоинте.
- Свяжитесь с провайдером, чтобы оспорить трафик, где это возможно, и подтвердить задействованные диапазоны.
- Проведите разбор эндпоинта: каждый путь в продукте, отправляющий SMS, должен получить перечисленные выше контроли до повторного открытия направления.
FAQ: фрод SMS pumping
Что такое фрод SMS pumping?
Схема, в которой злоумышленники ботами запускают большие объёмы SMS — обычно OTP — из вашего приложения на номерные диапазоны, с которых получают доход. Также называется искусственно раздутым трафиком (AIT).
Как обнаружить SMS pumping?
Мониторьте соотношение отправок к верификациям (ниже ~40 % — подозрительно), всплески запросов по странам, уникальные номера на IP и стоимость успешной верификации. Последовательные номера назначения — почти стопроцентная улика.
Как остановить SMS pumping, не блокируя настоящих пользователей?
Наслаивайте меры с низким трением: гео-разрешения, лимиты по номеру и IP, невидимую детекцию ботов, блокировку премиум/VoIP-диапазонов, задержки повторов и предохранители расходов.
Кто зарабатывает на SMS pumping?
Мошенник и соучастник — оператор или владелец диапазона, получающий плату за терминацию каждого доставленного сообщения и делящийся выручкой.
SMS pumping затрагивает только OTP-эндпоинты?
Нет — целью является любая публичная форма, инициирующая SMS: ссылки на скачивание приложений, реферальные приглашения, опросы.
Вывод: сделайте себя нерентабельными
SMS pumping живёт потому, что большинство жертв облегчают ему жизнь: открытые эндпоинты, отсутствие гео-лимитов, никакого мониторинга доли верификаций и провайдер без стимула помечать раздутый объём. Каждый слой выше повышает издержки атакующего и режет его доход; два-три слоя вместе обычно выталкивают его к более мягкой цели. Сочетайте контроль на эндпоинтах со шлюзом, дающим аналитику по коридорам и честные данные о доставке, — а затем проверьте свою настройку доставки OTP, чтобы оставшийся легитимный трафик действительно конвертировался.
Dach SMS Lab