短信泵送欺诈:如何检测并阻止AIT(2026)
短信泵送欺诈:2026年如何检测并阻止AIT
快速解答: 短信泵送——也称人为膨胀流量(AIT)——是一种欺诈手法:攻击者利用机器人向其控制的号码段触发成千上万条短信(通常是一次性验证码),从每条消息的终止费用中分成,而您的企业则支付全部发送成本。阻止它的方法是:监控OTP转化率、实施速率限制、地理管控和机器人检测。
2026年全球短信欺诈损失预计将达到710亿美元,而AIT是增长最快的类别。一个著名案例:Twitter在限制短信双因素认证之前,每年因短信泵送损失约6000万美元。只要您的产品发送验证码,您就是目标。
什么是短信泵送?
短信泵送是国际收入分成欺诈(IRSF)在应用到个人(A2P)消息领域的一种形式。欺诈者利用任何会触发短信的公开表单——注册验证、登录双因素认证、"短信发送应用链接"——并自动向能让他们分成终止收入的号码段发起请求。
其经济逻辑很简单:发往高成本目的地的一条短信可能花费0.10至0.50美元。一个机器人每小时可以请求数千个验证码。每条消息都是真实、可计费的流量——只是不为任何用户服务。
短信泵送如何运作?
该骗局分四步:
- 获取号码段。 欺诈者与不法移动运营商或号码段持有者合作——通常位于终止费高昂的国家——约定按消息分成收入。
- 选择目标。 他们寻找拥有公开短信触发点的企业:注册表单、OTP登录流程、密码重置、推荐邀请。
- 自动化。 机器人提交受控号码段中的数千个号码,并通过住宅代理轮换IP以规避基础封锁。
- 收款。 消息终止于受控号码段。没有人阅读它们。运营商向上游计费,欺诈者收取分成。
由于每条消息在技术上都已送达,流量在账单上看似合法——直到您核查这些验证码是否曾被使用。
短信泵送有哪些警告信号?
注意以下七个信号:
| 信号 | 正常流量 | 泵送流量 |
|---|---|---|
| OTP转化率 | 70–95%的验证码被验证 | 低于20%被验证 |
| 发送量模式 | 跟随用户活动曲线 | 突然激增、非工作时间爆发 |
| 目的地 | 与客户群匹配 | 无用户的高成本国家 |
| 号码模式 | 随机、分散 | 连续号段或相同前缀 |
| 会话行为 | 人类速度填写表单 | 亚秒级提交 |
| 重发模式 | 偶尔请求重发 | 每个号码都达到重发上限 |
| IP多样性 | 正常地理分布 | 代理/数据中心集中 |
最可靠的指标是按目的地国家统计的验证转化率。每周计算:已验证的验证码 ÷ 已发送的验证码。任何低于30%的国家都值得调查;低于10%几乎可以肯定是欺诈。
如何防范短信泵送?(9项防御)
- 激进的速率限制。 按手机号、IP地址和会话限制OTP请求——例如每号码每小时3个验证码、每IP每天10个。
- 地理准入管控。 维护一份您实际运营的国家代码白名单,在应用层拒绝其他所有请求。
- 按目的地监控转化率。 当任一国家的验证率跌破阈值时自动告警。
- 发送前增加防机器人门槛。 在触发任何短信之前要求CAPTCHA、工作量证明或设备认证。隐形验证可以拦截绝大多数自动化而不影响真实用户。
- 使用设备指纹。 IP可以通过住宅代理低成本轮换;设备和浏览器指纹持久存在,能暴露僵尸网络。
- 检测连续号码攻击。 标记对同一号段相邻号码的请求爆发——真实用户绝不会产生这种模式。
- 延迟并批处理可疑流量。 欺诈机器人需要即时投递来确认骗局有效。对可疑请求稍加延迟即可打断其反馈循环,而用户体验代价极小。
- 提供替代验证方式。 电子邮件链接、认证器应用、通行密钥(passkey)和静默网络认证可减少对短信OTP作为唯一渠道的依赖。
- 与供应商谈判反欺诈条款。 要求实时AIT检测、按国家设置支出上限,以及在检测到异常时自动暂停流量的熔断机制。
遭遇攻击时该怎么办?
如果发现泵送正在进行:
- 立即暂停向受影响国家代码的短信投递。
- 在所有触发短信的表单上启用或加强CAPTCHA。
- 将每号码和每IP的限额降至最低值。
- 导出受影响的流量日志——号码、时间戳、IP——提供给您的供应商。
- 核查账单周期,并向供应商询问AIT抵扣。
一旦消息停止终止,大多数攻击会在数小时内停止——欺诈者的收入完全依赖于您持续发送。
ViteMobile如何防护AIT
ViteMobile实时监控各目的地的验证转化率,在消息到达运营商之前实施网络级速率检查,并允许您按国家设置支出上限作为自动熔断器。可疑流量会在仪表板中被标记,避免账单上的意外。
关键要点
- 短信泵送(AIT)让欺诈者从您平台发送的每条虚假OTP中获利——2026年全球短信欺诈损失预计达710亿美元。
- 最清晰的检测信号是按国家统计的OTP转化率:低于20%应立即调查。
- 最强的防御是速率限制、国家白名单、发送前机器人检查和转化率监控——需组合部署。
- 退款很少见,因为消息确实已送达。预防和合同中的反欺诈保护才是真正的安全网。
常见问题
问:什么是短信泵送欺诈? 答:短信泵送(人为膨胀流量,AIT)是欺诈者利用机器人向其控制的号码段发送大量短信(通常是OTP验证码)、从每条消息的终止费中分成、而您的企业支付发送费用的骗局。
问:如何判断我的企业是否受影响? 答:检查按目的地国家统计的OTP转化率。如果发往某国的验证码只有不到20–30%被验证,该流量很可能是人为的。无用户增长的发送量激增和连续号码请求爆发可以进一步确认。
问:谁从短信泵送中获利? 答:欺诈者与投递链中的同谋——通常是终止费高昂国家的小型运营商或号码段持有者——瓜分您企业支付的每条消息收入。
问:屏蔽国家能阻止短信泵送吗? 答:地理屏蔽是最快的单项措施,如果您在风险目的地没有用户,可消除大部分损失。请与速率限制和机器人检测结合,因为攻击可能转移到被允许的国家。
问:被泵送的流量能退款吗? 答:通常不能——消息已送达且可计费。部分企业合同包含AIT抵扣或上限;请在事故发生前谈妥这些保护,而不是事后。