← Zurück zum Blog
Leitfaden

SMS-Pumping-Betrug: AIT erkennen und stoppen (2026)

SMS-Pumping-Betrug: AIT im Jahr 2026 erkennen und stoppen

Kurzantwort: SMS-Pumping — auch künstlich aufgeblähter Traffic (AIT) genannt — ist ein Betrugsschema, bei dem Angreifer mit Bots Tausende SMS (meist Einmalpasswörter) an Rufnummernbereiche auslösen, die sie kontrollieren. Sie kassieren einen Anteil der Terminierungsgebühr jeder Nachricht, während Ihr Unternehmen die vollen Versandkosten trägt. Gestoppt wird es mit OTP-Konversionsmonitoring, Rate-Limiting, geografischen Kontrollen und Bot-Erkennung.

Die weltweiten Verluste durch SMS-Betrug werden für 2026 auf 71 Milliarden US-Dollar geschätzt, und AIT ist die am schnellsten wachsende Kategorie. Ein prominentes Beispiel: Twitter verlor nach eigenen Angaben rund 60 Millionen US-Dollar pro Jahr durch SMS-Pumping, bevor es die SMS-2FA einschränkte. Wenn Ihr Produkt Verifizierungscodes versendet, sind Sie ein Ziel.

Was ist SMS-Pumping?

SMS-Pumping ist eine Form des International Revenue Share Fraud (IRSF), angewandt auf A2P-Messaging. Betrüger nutzen jedes öffentliche Formular aus, das eine SMS auslöst — Registrierungsverifizierung, Login-2FA, „App-Link per SMS" — und automatisieren Anfragen an Nummern in Bereichen, an deren Terminierungserlösen sie beteiligt sind.

Die Ökonomie ist simpel: Eine SMS in ein teures Zielland kann 0,10–0,50 US-Dollar kosten. Ein Bot kann Tausende Codes pro Stunde anfordern. Jede Nachricht ist echter, abrechenbarer Traffic — sie dient nur keinem Nutzer.

Wie funktioniert SMS-Pumping?

Das Schema folgt vier Schritten:

  1. Bereichsbeschaffung. Der Betrüger kooperiert mit einem unseriösen Mobilfunkbetreiber oder Inhaber eines Rufnummernbereichs — meist in einem Land mit hohen Terminierungsgebühren — und vereinbart eine Umsatzbeteiligung pro Nachricht.
  2. Zielauswahl. Gesucht werden Unternehmen mit öffentlichen SMS-Auslösern: Registrierungsformulare, OTP-Login-Flows, Passwort-Resets, Empfehlungseinladungen.
  3. Automatisierung. Bots übermitteln Tausende Nummern aus dem kontrollierten Bereich und rotieren IPs über Residential-Proxys, um einfache Sperren zu umgehen.
  4. Kassieren. Die Nachrichten terminieren im kontrollierten Bereich. Niemand liest sie. Der Betreiber rechnet nach oben ab, der Betrüger erhält seinen Anteil.

Da jede Nachricht technisch zugestellt wird, wirkt der Traffic auf Rechnungen legitim — bis Sie prüfen, ob die Codes jemals verwendet wurden.

Was sind die Warnsignale für SMS-Pumping?

Achten Sie auf diese sieben Signale:

SignalLegitimer TrafficPumping-Traffic
OTP-Konversionsrate70–95% der Codes verifiziertUnter 20% verifiziert
VolumenmusterFolgt NutzeraktivitätPlötzliche Spitzen, nächtliche Wellen
ZielländerEntsprechen Ihrer KundschaftTeure Länder ohne Nutzer
NummernmusterZufällig, verteiltFortlaufende Blöcke, gleiche Präfixe
SitzungsverhaltenFormular in menschlichem TempoÜbermittlung unter einer Sekunde
WiederholungsmusterGelegentliche NeusendungenMaximale Neusendungen je Nummer
IP-VielfaltNormale geografische MischungProxy-/Datacenter-Konzentration

Die zuverlässigste Kennzahl ist die Verifizierungs-Konversionsrate je Zielland. Berechnen Sie sie wöchentlich: verifizierte Codes ÷ gesendete Codes. Jedes Land unter 30% verdient eine Untersuchung; unter 10% ist es fast sicher Betrug.

Wie verhindert man SMS-Pumping? (9 Abwehrmaßnahmen)

  1. Aggressives Rate-Limiting. Begrenzen Sie OTP-Anfragen pro Rufnummer, pro IP-Adresse und pro Sitzung — etwa 3 Codes pro Nummer pro Stunde und 10 pro IP pro Tag.
  2. Geografische Freigaben. Führen Sie eine Whitelist der Ländervorwahlen, in denen Sie tatsächlich tätig sind. Lehnen Sie alles andere auf Anwendungsebene ab.
  3. Konversion je Zielland überwachen. Lösen Sie automatische Alarme aus, wenn die Verifizierungsrate eines Landes unter Ihren Schwellenwert fällt.
  4. Bot-Hürden vor dem Versand. Verlangen Sie CAPTCHA, Proof-of-Work oder Geräte-Attestierung, bevor eine SMS ausgelöst wird. Unsichtbare Challenges stoppen die meiste Automatisierung, ohne echte Nutzer zu stören.
  5. Geräte-Fingerprinting einsetzen. IPs rotieren billig über Residential-Proxys; Geräte- und Browser-Fingerprints bleiben bestehen und entlarven Botnets.
  6. Angriffe mit fortlaufenden Nummern erkennen. Markieren Sie Anfragewellen an benachbarte Nummern desselben Bereichs — ein Muster, das echte Nutzer nie erzeugen.
  7. Verdächtigen Traffic verzögern und bündeln. Betrugs-Bots brauchen sofortige Zustellung als Erfolgsbestätigung. Eine kurze Verzögerung bei verdächtigen Anfragen zerstört ihre Rückkopplungsschleife bei minimalen UX-Kosten.
  8. Alternative Verifizierung anbieten. E-Mail-Links, Authenticator-Apps, Passkeys und stille Netzwerk-Authentifizierung verringern die Abhängigkeit vom SMS-OTP als einzigem Kanal.
  9. Betrugsschutz mit dem Anbieter verhandeln. Fordern Sie AIT-Erkennung in Echtzeit, Ausgabenlimits je Land und automatische Notabschaltungen, die Traffic bei Anomalien pausieren.

Was tun bei einem laufenden Angriff?

Wenn Sie aktives Pumping entdecken:

  1. Pausieren Sie sofort die SMS-Zustellung in die betroffenen Ländervorwahlen.
  2. Aktivieren oder verschärfen Sie CAPTCHA auf allen SMS-auslösenden Formularen.
  3. Senken Sie die Limits pro Nummer und pro IP auf Minimalwerte.
  4. Exportieren Sie die betroffenen Traffic-Logs — Nummern, Zeitstempel, IPs — für Ihren Anbieter.
  5. Prüfen Sie den Abrechnungszeitraum und fragen Sie Ihren Anbieter nach AIT-Gutschriften.

Die meisten Angriffe enden innerhalb von Stunden, sobald keine Nachrichten mehr terminieren — die Einnahmen des Betrügers hängen vollständig von Ihrem weiteren Versand ab.

Wie ViteMobile vor AIT schützt

ViteMobile überwacht Verifizierungs-Konversionsraten je Zielland in Echtzeit, wendet Velocity-Checks auf Netzwerkebene an, bevor Nachrichten die Carrier erreichen, und ermöglicht Ausgabenlimits je Land als automatische Notabschaltung. Verdächtiger Traffic wird in Ihrem Dashboard markiert, bevor er zur Rechnungsüberraschung wird.

Wichtigste Erkenntnisse

  • SMS-Pumping (AIT) bringt Betrügern Geld mit jedem gefälschten OTP Ihrer Plattform — die globalen SMS-Betrugsverluste werden für 2026 auf 71 Milliarden US-Dollar geschätzt.
  • Das klarste Erkennungssignal ist die OTP-Konversionsrate je Land: unter 20% sofort untersuchen.
  • Die stärksten Abwehrmaßnahmen sind Rate-Limiting, Länder-Whitelists, Bot-Prüfungen vor dem Versand und Konversionsmonitoring — gemeinsam eingesetzt.
  • Rückerstattungen sind selten, weil die Nachrichten tatsächlich zugestellt wurden. Prävention und vertraglicher Betrugsschutz sind Ihr echtes Sicherheitsnetz.

Häufig gestellte Fragen

F: Was ist SMS-Pumping-Betrug? A: SMS-Pumping (künstlich aufgeblähter Traffic, AIT) ist ein Schema, bei dem Betrüger mit Bots große SMS-Volumen — meist OTP-Codes — an von ihnen kontrollierte Rufnummernbereiche auslösen und einen Anteil der Terminierungsgebühr kassieren, während Ihr Unternehmen den Versand bezahlt.

F: Woran erkenne ich, dass mein Unternehmen betroffen ist? A: Prüfen Sie Ihre OTP-Konversionsrate je Zielland. Werden weniger als 20–30% der in ein Land gesendeten Codes verifiziert, ist der Traffic wahrscheinlich künstlich. Volumenspitzen ohne Nutzerwachstum und Wellen an fortlaufende Nummern bestätigen es.

F: Wer profitiert vom SMS-Pumping? A: Der Betrüger und ein Komplize in der Zustellkette — meist ein kleiner Betreiber oder Bereichsinhaber in einem Land mit teurer Terminierung — teilen sich die von Ihrem Unternehmen bezahlten Erlöse pro Nachricht.

F: Stoppt das Blockieren von Ländern SMS-Pumping? A: Geo-Blocking ist die schnellste Einzelmaßnahme und eliminiert die meisten Verluste, wenn Sie keine Nutzer in Risikoländern haben. Kombinieren Sie es mit Rate-Limiting und Bot-Erkennung, da Angriffe auf erlaubte Länder ausweichen können.

F: Bekomme ich das Geld für aufgeblähten Traffic zurück? A: In der Regel nein — die Nachrichten wurden zugestellt und sind abrechenbar. Manche Enterprise-Verträge enthalten AIT-Gutschriften oder -Limits; verhandeln Sie diesen Schutz vor einem Vorfall, nicht danach.