Фрод SMS pumping (AIT): что это и как остановить в 2026 году

Что такое фрод SMS pumping?

SMS pumping — также известный как искусственно раздутый трафик (AIT) или SMS-фрод на премиум-номерах — это схема, в которой злоумышленники с помощью ботов запускают массовые объёмы сообщений из вашего приложения на номера, с которых они получают доход. Типичная цель — ваша форма OTP или «пришлите мне ссылку по SMS»: она отправляет сообщение мгновенно, без аутентификации, на любой введённый посетителем номер. Каждое доставленное сообщение приносит доход за терминацию соучастнику — оператору или владельцу диапазона, — который отдаёт долю мошеннику.

Экономика для жертвы жестока. Одна атака может умножить ваши месячные расходы на SMS в 5–50 раз за несколько часов, и если вы не следите за правильными метриками, первым сигналом станет счёт. Отраслевые оценки исчисляют потери бизнеса от AIT миллиардами долларов в год, а к 2026 году фрод расширился за пределы OTP — на реферальные приглашения, ссылки на скачивание и формы опросов: на любой публичный эндпоинт, отправляющий SMS.

Как устроена атака SMS pumping?

  1. Атакующий получает диапазон номеров. Он договаривается с недобросовестным оператором, MVNO или реселлером, контролирующим блоки премиум-номеров или номеров с высокой платой за терминацию — обычно в странах с дорогими входящими SMS.
  2. Он находит ваш триггер. Любая неаутентифицированная форма, отправляющая SMS: OTP при регистрации, 2FA при входе, «пришлите ссылку», реферальное приглашение.
  3. Боты массово отправляют номера. Скрипты перебирают диапазон атакующего — часто последовательно, — запрашивая тысячи сообщений в час, нередко ночью или в выходные.
  4. Деньги текут. Ваш шлюз доставляет сообщения; терминирующий оператор собирает плату; мошенник получает долю. Никто и никогда не вводит код подтверждения.
  5. Счёт приходит вам. При стоимости $0,05–$0,30 за сообщение на целевых направлениях 100 000 фейковых запросов сжигают пятизначную сумму до понедельника.

Как обнаружить SMS pumping?

Четыре метрики выдают атаку на раннем этапе. Выведите их все на дашборд с оповещениями — инструменты описаны в нашем гиде по мониторингу доставляемости:

СигналНормаПод атакой
Соотношение отправок к верификациям70–95 % подтвержденоНиже 40 %, на затронутых коридорах часто около 0 %
Запросы по стране в часСтабильно, соответствует базе пользователейВнезапные всплески в страны без пользователей
Уникальные номера на IP / устройство~1Десятки и тысячи
Стоимость успешной верификацииСтабильная базаРезкий рост при неизменных регистрациях

Дополнительные почти стопроцентные индикаторы:

  • Последовательные номера: +263 71 000 0001, 0002, 0003…
  • Нулевая верификация по целому диапазону или оператору
  • Нечувствительный к задержке трафик: настоящие пользователи повторяют попытку, когда код запаздывает; боты — нет
  • Всплески во внерабочее время, не совпадающие с кривой использования продукта

Как предотвратить SMS pumping?

Ни один контроль в одиночку не остановит AIT; цель — наслаивать дешёвые меры, пока ROI атакующего не умрёт. Пройдитесь по чек-листу:

  1. Гео-разрешения (максимальный эффект, минимальные усилия). Разрешайте SMS только в страны, где у вас реально есть пользователи. Большинство бизнесов может закрыть 80 % рискованных направлений мира с нулевым влиянием на пользователей. Пересматривайте список ежеквартально.
  2. Лимитируйте всё. По номеру телефона (максимум 3 кода за 15 минут), по IP, по отпечатку устройства и по сессии. Добавьте экспоненциальную задержку на кнопки повторной отправки.
  3. Детекция ботов до отправки. Невидимая CAPTCHA или proof-of-work-задача на форме OTP отсекают скриптовые запросы без трения для людей.
  4. Блокируйте рискованные типы номеров. Отклоняйте премиум-, VoIP- и известные злоупотребляемые диапазоны на этапе запроса по данным lookup-сервисов. Детекция последовательных паттернов ловит перебор диапазонов.
  5. Отложенные и асимметричные сценарии. Небольшие задержки перед отправкой (500–1500 мс) или требование подтвердить e-mail при подозрительных сигналах разрушают экономику ботов, оставаясь незаметными для людей.
  6. Оповещения о расходах и предохранители. Ограничьте часовые расходы на SMS по каждому направлению и автоматически приостанавливайте любое, чей объём подскочил, скажем, на 500 % выше базовой линии. Предохранитель, ставящий Зимбабве на паузу для проверки, стоит вам минут; альтернатива — тысяч долларов.
  7. Выбирайте шлюз, который борется с AIT вместе с вами. Важны фрод-скрининг на уровне маршрутов, детекция аномалий по коридорам и честные данные о доставке. Провайдеры с маршрутизацией под операторов также замечают, когда трафик терминируется на диапазонах, которые никогда не конвертируются, — дешёвые общие агрегаторы часто на это неспособны, а некоторые тихо зарабатывают на раздутом объёме.

Что делать во время активной атаки?

  1. Немедленно приостановите затронутые направления — шлюз должен позволять блокировать страны назначения одним действием.
  2. Сохраните доказательства: логи запросов, IP, диапазоны номеров, временные метки.
  3. Ужесточите лимиты и включите анти-бот проверки на уязвимом эндпоинте.
  4. Свяжитесь с провайдером, чтобы оспорить трафик, где это возможно, и подтвердить задействованные диапазоны.
  5. Проведите разбор эндпоинта: каждый путь в продукте, отправляющий SMS, должен получить перечисленные выше контроли до повторного открытия направления.

FAQ: фрод SMS pumping

Что такое фрод SMS pumping?

Схема, в которой злоумышленники ботами запускают большие объёмы SMS — обычно OTP — из вашего приложения на номерные диапазоны, с которых получают доход. Также называется искусственно раздутым трафиком (AIT).

Как обнаружить SMS pumping?

Мониторьте соотношение отправок к верификациям (ниже ~40 % — подозрительно), всплески запросов по странам, уникальные номера на IP и стоимость успешной верификации. Последовательные номера назначения — почти стопроцентная улика.

Как остановить SMS pumping, не блокируя настоящих пользователей?

Наслаивайте меры с низким трением: гео-разрешения, лимиты по номеру и IP, невидимую детекцию ботов, блокировку премиум/VoIP-диапазонов, задержки повторов и предохранители расходов.

Кто зарабатывает на SMS pumping?

Мошенник и соучастник — оператор или владелец диапазона, получающий плату за терминацию каждого доставленного сообщения и делящийся выручкой.

SMS pumping затрагивает только OTP-эндпоинты?

Нет — целью является любая публичная форма, инициирующая SMS: ссылки на скачивание приложений, реферальные приглашения, опросы.

Вывод: сделайте себя нерентабельными

SMS pumping живёт потому, что большинство жертв облегчают ему жизнь: открытые эндпоинты, отсутствие гео-лимитов, никакого мониторинга доли верификаций и провайдер без стимула помечать раздутый объём. Каждый слой выше повышает издержки атакующего и режет его доход; два-три слоя вместе обычно выталкивают его к более мягкой цели. Сочетайте контроль на эндпоинтах со шлюзом, дающим аналитику по коридорам и честные данные о доставке, — а затем проверьте свою настройку доставки OTP, чтобы оставшийся легитимный трафик действительно конвертировался.

Dach SMS Lab

Dach SMS Lab