← Назад к блогу
Руководство

SMS-пампинг: как обнаружить и остановить AIT (2026)

SMS-пампинг: как обнаружить и остановить AIT в 2026 году

Краткий ответ: SMS-пампинг — он же искусственно раздутый трафик (AIT) — это мошенническая схема, при которой злоумышленники с помощью ботов инициируют тысячи SMS (обычно одноразовых кодов) на диапазоны номеров под их контролем. Они получают долю платы за терминацию каждого сообщения, а ваш бизнес оплачивает полную стоимость отправки. Остановить это помогают мониторинг конверсии OTP, ограничение частоты запросов, географические фильтры и детекция ботов.

Мировые потери от SMS-мошенничества в 2026 году прогнозируются на уровне 71 миллиарда долларов, и AIT — самая быстрорастущая категория. Известный пример: Twitter сообщал о потерях порядка 60 миллионов долларов в год из-за SMS-пампинга, прежде чем ограничил SMS-двухфакторную аутентификацию. Если ваш продукт отправляет коды подтверждения — вы мишень.

Что такое SMS-пампинг?

SMS-пампинг — это разновидность международного мошенничества с разделением доходов (IRSF), применённая к A2P-сообщениям. Мошенники эксплуатируют любую публичную форму, инициирующую SMS: подтверждение регистрации, 2FA при входе, ссылки «получить приложение по SMS» — и автоматизируют запросы на номера из диапазонов, с терминации которых они получают долю дохода.

Экономика проста: SMS в дорогое направление может стоить 0,10–0,50 доллара. Бот способен запрашивать тысячи кодов в час. Каждое сообщение — реальный, оплачиваемый трафик, просто он не служит ни одному пользователю.

Как работает SMS-пампинг?

Схема состоит из четырёх шагов:

  1. Получение диапазона. Мошенник договаривается с недобросовестным мобильным оператором или держателем диапазона номеров — обычно в стране с высокой платой за терминацию — о разделе дохода за каждое сообщение.
  2. Выбор цели. Ищутся компании с публичными триггерами SMS: формы регистрации, OTP-вход, сброс пароля, реферальные приглашения.
  3. Автоматизация. Боты отправляют тысячи номеров из контролируемого диапазона, ротируя IP через резидентные прокси, чтобы обойти простые блокировки.
  4. Получение денег. Сообщения терминируются в контролируемом диапазоне. Их никто не читает. Оператор выставляет счёт вверх по цепочке, мошенник получает свою долю.

Поскольку каждое сообщение технически доставлено, трафик выглядит легитимным в счетах — пока вы не проверите, использовались ли коды вообще.

Каковы тревожные сигналы SMS-пампинга?

Следите за этими семью сигналами:

СигналЛегитимный трафикПампинг-трафик
Конверсия OTP70–95% кодов подтвержденоМенее 20% подтверждено
Профиль объёмаСледует активности пользователейВнезапные всплески, ночные серии
НаправленияСовпадают с клиентской базойДорогие страны без пользователей
Паттерны номеровСлучайные, распределённыеПоследовательные блоки, общий префикс
Поведение сессииФорма заполняется с человеческой скоростьюОтправка быстрее секунды
Повторные запросыРедкие повторные отправкиМаксимум повторов на каждый номер
Разнообразие IPОбычное географическое распределениеКонцентрация прокси/дата-центров

Самая надёжная метрика — конверсия подтверждения по стране назначения. Считайте её еженедельно: подтверждённые коды ÷ отправленные коды. Любая страна ниже 30% заслуживает проверки; ниже 10% — почти наверняка мошенничество.

Как предотвратить SMS-пампинг? (9 мер защиты)

  1. Агрессивное ограничение частоты. Ограничьте запросы OTP на номер телефона, IP-адрес и сессию — например, 3 кода на номер в час и 10 на IP в сутки.
  2. Географические разрешения. Ведите белый список кодов стран, где вы реально работаете. Отклоняйте всё остальное на уровне приложения.
  3. Мониторинг конверсии по направлениям. Настройте автоматические оповещения, когда конверсия подтверждения по стране падает ниже порога.
  4. Антибот-барьер до отправки. Требуйте CAPTCHA, proof-of-work или аттестацию устройства перед любой отправкой SMS. Невидимые проверки останавливают большинство автоматизации, не мешая реальным пользователям.
  5. Отпечатки устройств. IP дёшево ротируются через резидентные прокси; отпечатки устройств и браузеров устойчивы и выдают ботнеты.
  6. Детекция атак по последовательным номерам. Помечайте серии запросов на соседние номера одного диапазона — реальные пользователи такого паттерна не создают.
  7. Задержка и группировка подозрительного трафика. Ботам нужна мгновенная доставка, чтобы убедиться, что схема работает. Небольшая задержка подозрительных запросов ломает их обратную связь при минимальных издержках для UX.
  8. Альтернативные способы подтверждения. Ссылки на почту, приложения-аутентификаторы, passkey и тихая сетевая аутентификация снижают зависимость от SMS-OTP как единственного канала.
  9. Антифрод-условия с провайдером. Требуйте детекцию AIT в реальном времени, лимиты расходов по странам и автоматические «предохранители», приостанавливающие трафик при аномалиях.

Что делать во время активной атаки?

Если вы обнаружили пампинг в процессе:

  1. Немедленно приостановите доставку SMS в затронутые коды стран.
  2. Включите или ужесточите CAPTCHA на всех формах, инициирующих SMS.
  3. Снизьте лимиты на номер и на IP до минимальных значений.
  4. Выгрузите логи затронутого трафика — номера, время, IP — для вашего провайдера.
  5. Проверьте расчётный период и спросите провайдера о компенсации AIT.

Большинство атак прекращается за часы, как только сообщения перестают терминироваться: доход мошенника целиком зависит от того, продолжаете ли вы отправлять.

Как ViteMobile защищает от AIT

ViteMobile отслеживает конверсию подтверждений по направлениям в реальном времени, применяет сетевые проверки скорости до того, как сообщения достигнут операторов, и позволяет задавать лимиты расходов по странам, работающие как автоматические предохранители. Подозрительный трафик помечается в панели управления до того, как станет сюрпризом в счёте.

Ключевые выводы

  • SMS-пампинг (AIT) приносит мошенникам деньги с каждого фальшивого OTP вашей платформы — мировые потери от SMS-мошенничества в 2026 году прогнозируются на уровне 71 миллиарда долларов.
  • Самый явный сигнал — конверсия OTP по странам: ниже 20% — немедленно расследуйте.
  • Сильнейшая защита — ограничение частоты, белые списки стран, антибот-проверки до отправки и мониторинг конверсии, применяемые вместе.
  • Возвраты редки, потому что сообщения действительно доставлены. Профилактика и договорные антифрод-гарантии — ваша настоящая страховка.

Часто задаваемые вопросы

В: Что такое SMS-пампинг? О: SMS-пампинг (искусственно раздутый трафик, AIT) — схема, при которой мошенники с помощью ботов генерируют большие объёмы SMS (обычно OTP-кодов) на контролируемые ими диапазоны номеров, получая долю платы за терминацию, пока ваш бизнес оплачивает отправку.

В: Как понять, что мой бизнес затронут? О: Проверьте конверсию OTP по странам назначения. Если менее 20–30% кодов, отправленных в страну, подтверждаются, трафик, скорее всего, искусственный. Всплески объёма без роста пользователей и серии на последовательные номера это подтверждают.

В: Кто зарабатывает на SMS-пампинге? О: Мошенник и сообщник в цепочке доставки — обычно мелкий оператор или держатель диапазона в стране с дорогой терминацией — делят доход за сообщения, которые оплачивает ваш бизнес.

В: Останавливает ли блокировка стран SMS-пампинг? О: Геоблокировка — самая быстрая мера, устраняющая большинство потерь, если у вас нет пользователей в рискованных направлениях. Сочетайте её с ограничением частоты и детекцией ботов: атаки могут сместиться в разрешённые страны.

В: Можно ли вернуть деньги за накрученный трафик? О: Обычно нет — сообщения доставлены и подлежат оплате. Некоторые корпоративные контракты включают компенсации или лимиты AIT; договаривайтесь об этой защите до инцидента, а не после.