SMS-пампинг: как обнаружить и остановить AIT (2026)
SMS-пампинг: как обнаружить и остановить AIT в 2026 году
Краткий ответ: SMS-пампинг — он же искусственно раздутый трафик (AIT) — это мошенническая схема, при которой злоумышленники с помощью ботов инициируют тысячи SMS (обычно одноразовых кодов) на диапазоны номеров под их контролем. Они получают долю платы за терминацию каждого сообщения, а ваш бизнес оплачивает полную стоимость отправки. Остановить это помогают мониторинг конверсии OTP, ограничение частоты запросов, географические фильтры и детекция ботов.
Мировые потери от SMS-мошенничества в 2026 году прогнозируются на уровне 71 миллиарда долларов, и AIT — самая быстрорастущая категория. Известный пример: Twitter сообщал о потерях порядка 60 миллионов долларов в год из-за SMS-пампинга, прежде чем ограничил SMS-двухфакторную аутентификацию. Если ваш продукт отправляет коды подтверждения — вы мишень.
Что такое SMS-пампинг?
SMS-пампинг — это разновидность международного мошенничества с разделением доходов (IRSF), применённая к A2P-сообщениям. Мошенники эксплуатируют любую публичную форму, инициирующую SMS: подтверждение регистрации, 2FA при входе, ссылки «получить приложение по SMS» — и автоматизируют запросы на номера из диапазонов, с терминации которых они получают долю дохода.
Экономика проста: SMS в дорогое направление может стоить 0,10–0,50 доллара. Бот способен запрашивать тысячи кодов в час. Каждое сообщение — реальный, оплачиваемый трафик, просто он не служит ни одному пользователю.
Как работает SMS-пампинг?
Схема состоит из четырёх шагов:
- Получение диапазона. Мошенник договаривается с недобросовестным мобильным оператором или держателем диапазона номеров — обычно в стране с высокой платой за терминацию — о разделе дохода за каждое сообщение.
- Выбор цели. Ищутся компании с публичными триггерами SMS: формы регистрации, OTP-вход, сброс пароля, реферальные приглашения.
- Автоматизация. Боты отправляют тысячи номеров из контролируемого диапазона, ротируя IP через резидентные прокси, чтобы обойти простые блокировки.
- Получение денег. Сообщения терминируются в контролируемом диапазоне. Их никто не читает. Оператор выставляет счёт вверх по цепочке, мошенник получает свою долю.
Поскольку каждое сообщение технически доставлено, трафик выглядит легитимным в счетах — пока вы не проверите, использовались ли коды вообще.
Каковы тревожные сигналы SMS-пампинга?
Следите за этими семью сигналами:
| Сигнал | Легитимный трафик | Пампинг-трафик |
|---|---|---|
| Конверсия OTP | 70–95% кодов подтверждено | Менее 20% подтверждено |
| Профиль объёма | Следует активности пользователей | Внезапные всплески, ночные серии |
| Направления | Совпадают с клиентской базой | Дорогие страны без пользователей |
| Паттерны номеров | Случайные, распределённые | Последовательные блоки, общий префикс |
| Поведение сессии | Форма заполняется с человеческой скоростью | Отправка быстрее секунды |
| Повторные запросы | Редкие повторные отправки | Максимум повторов на каждый номер |
| Разнообразие IP | Обычное географическое распределение | Концентрация прокси/дата-центров |
Самая надёжная метрика — конверсия подтверждения по стране назначения. Считайте её еженедельно: подтверждённые коды ÷ отправленные коды. Любая страна ниже 30% заслуживает проверки; ниже 10% — почти наверняка мошенничество.
Как предотвратить SMS-пампинг? (9 мер защиты)
- Агрессивное ограничение частоты. Ограничьте запросы OTP на номер телефона, IP-адрес и сессию — например, 3 кода на номер в час и 10 на IP в сутки.
- Географические разрешения. Ведите белый список кодов стран, где вы реально работаете. Отклоняйте всё остальное на уровне приложения.
- Мониторинг конверсии по направлениям. Настройте автоматические оповещения, когда конверсия подтверждения по стране падает ниже порога.
- Антибот-барьер до отправки. Требуйте CAPTCHA, proof-of-work или аттестацию устройства перед любой отправкой SMS. Невидимые проверки останавливают большинство автоматизации, не мешая реальным пользователям.
- Отпечатки устройств. IP дёшево ротируются через резидентные прокси; отпечатки устройств и браузеров устойчивы и выдают ботнеты.
- Детекция атак по последовательным номерам. Помечайте серии запросов на соседние номера одного диапазона — реальные пользователи такого паттерна не создают.
- Задержка и группировка подозрительного трафика. Ботам нужна мгновенная доставка, чтобы убедиться, что схема работает. Небольшая задержка подозрительных запросов ломает их обратную связь при минимальных издержках для UX.
- Альтернативные способы подтверждения. Ссылки на почту, приложения-аутентификаторы, passkey и тихая сетевая аутентификация снижают зависимость от SMS-OTP как единственного канала.
- Антифрод-условия с провайдером. Требуйте детекцию AIT в реальном времени, лимиты расходов по странам и автоматические «предохранители», приостанавливающие трафик при аномалиях.
Что делать во время активной атаки?
Если вы обнаружили пампинг в процессе:
- Немедленно приостановите доставку SMS в затронутые коды стран.
- Включите или ужесточите CAPTCHA на всех формах, инициирующих SMS.
- Снизьте лимиты на номер и на IP до минимальных значений.
- Выгрузите логи затронутого трафика — номера, время, IP — для вашего провайдера.
- Проверьте расчётный период и спросите провайдера о компенсации AIT.
Большинство атак прекращается за часы, как только сообщения перестают терминироваться: доход мошенника целиком зависит от того, продолжаете ли вы отправлять.
Как ViteMobile защищает от AIT
ViteMobile отслеживает конверсию подтверждений по направлениям в реальном времени, применяет сетевые проверки скорости до того, как сообщения достигнут операторов, и позволяет задавать лимиты расходов по странам, работающие как автоматические предохранители. Подозрительный трафик помечается в панели управления до того, как станет сюрпризом в счёте.
Ключевые выводы
- SMS-пампинг (AIT) приносит мошенникам деньги с каждого фальшивого OTP вашей платформы — мировые потери от SMS-мошенничества в 2026 году прогнозируются на уровне 71 миллиарда долларов.
- Самый явный сигнал — конверсия OTP по странам: ниже 20% — немедленно расследуйте.
- Сильнейшая защита — ограничение частоты, белые списки стран, антибот-проверки до отправки и мониторинг конверсии, применяемые вместе.
- Возвраты редки, потому что сообщения действительно доставлены. Профилактика и договорные антифрод-гарантии — ваша настоящая страховка.
Часто задаваемые вопросы
В: Что такое SMS-пампинг? О: SMS-пампинг (искусственно раздутый трафик, AIT) — схема, при которой мошенники с помощью ботов генерируют большие объёмы SMS (обычно OTP-кодов) на контролируемые ими диапазоны номеров, получая долю платы за терминацию, пока ваш бизнес оплачивает отправку.
В: Как понять, что мой бизнес затронут? О: Проверьте конверсию OTP по странам назначения. Если менее 20–30% кодов, отправленных в страну, подтверждаются, трафик, скорее всего, искусственный. Всплески объёма без роста пользователей и серии на последовательные номера это подтверждают.
В: Кто зарабатывает на SMS-пампинге? О: Мошенник и сообщник в цепочке доставки — обычно мелкий оператор или держатель диапазона в стране с дорогой терминацией — делят доход за сообщения, которые оплачивает ваш бизнес.
В: Останавливает ли блокировка стран SMS-пампинг? О: Геоблокировка — самая быстрая мера, устраняющая большинство потерь, если у вас нет пользователей в рискованных направлениях. Сочетайте её с ограничением частоты и детекцией ботов: атаки могут сместиться в разрешённые страны.
В: Можно ли вернуть деньги за накрученный трафик? О: Обычно нет — сообщения доставлены и подлежат оплате. Некоторые корпоративные контракты включают компенсации или лимиты AIT; договаривайтесь об этой защите до инцидента, а не после.