Добавить в корзинуПозвонить
Найти в Дзене

Эволюция угроз A2P и мошенничества в SMS-каналах: почему бизнесу нужна комплексная защита

Application-to-Person (A2P) — это сообщения, которые бизнес отправляет пользователям через автоматизированные системы: одноразовые коды подтверждения, уведомления о транзакциях, информация о доставке. Именно этот канал, изначально созданный для удобства и безопасности, стал одной из главных мишеней для злоумышленников в 2026 году. Глобальные потери от SMS-мошенничества в 2025 году достигли 80 миллиардов долларов, а в 2026-м аналитики прогнозируют их снижение до 71 миллиарда долларов — однако это не повод для спокойствия, а сигнал о миграции угроз в новые, более изощрённые формы. Ниже разбираются ключевые векторы атак на SMS-каналы, почему они эволюционируют и как бизнесу выстроить комплексную защиту. Современные атаки на SMS-каналы делятся на два основных направления: атаки на пользователей и атаки на бизнес. Первые направлены на конечного получателя сообщений — это фишинг (смишинг), социальная инженерия и перехват одноразовых кодов для захвата учётных записей. Вторые нацелены на саму
Оглавление
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI

Application-to-Person (A2P) — это сообщения, которые бизнес отправляет пользователям через автоматизированные системы: одноразовые коды подтверждения, уведомления о транзакциях, информация о доставке. Именно этот канал, изначально созданный для удобства и безопасности, стал одной из главных мишеней для злоумышленников в 2026 году. Глобальные потери от SMS-мошенничества в 2025 году достигли 80 миллиардов долларов, а в 2026-м аналитики прогнозируют их снижение до 71 миллиарда долларов — однако это не повод для спокойствия, а сигнал о миграции угроз в новые, более изощрённые формы. Ниже разбираются ключевые векторы атак на SMS-каналы, почему они эволюционируют и как бизнесу выстроить комплексную защиту.

Как устроены атаки на SMS-каналы

Современные атаки на SMS-каналы делятся на два основных направления: атаки на пользователей и атаки на бизнес. Первые направлены на конечного получателя сообщений — это фишинг (смишинг), социальная инженерия и перехват одноразовых кодов для захвата учётных записей. Вторые нацелены на саму компанию-отправителя — это схемы искусственного накручивания трафика (SMS pumping, или AIT), которые опустошают бюджет на отправку сообщений.

Ключевая особенность атак на бизнес заключается в том, что злоумышленникам не нужно взламывать внутренние системы компании. Достаточно найти публичный интерфейс, инициирующий отправку SMS, и автоматизировать поток запросов на подконтрольные номера. При этом жертва замечает проблему только когда приходит счет от оператора.

SMS Pumping: как бюджеты тают за минуты

SMS Pumping, также известный как Artificially Inflated Traffic (AIT), эволюционировал в одну из наиболее дорогостоящих угроз для бизнеса в 2026 году. Схема атаки выглядит так: злоумышленники находят публичные формы регистрации, восстановления пароля или другие интерфейсы, которые инициируют отправку SMS. Затем с помощью ботов они запускают массовые запросы на подконтрольные им premium-rate номера. Каждое отправленное сообщение приносит мошенникам долю от тарифа за терминацию трафика, а бизнес оплачивает полную стоимость отправки.

Масштаб проблемы иллюстрирует случай Илона Маска, который в 2023 году публично заявил, что его компания теряла 60 миллионов долларов в год на SMS-pumping. С тех пор тактика злоумышленников только эволюционировала — в 2026 году эра медленных атак уступила место «флэш-атакам»: мошенники научились генерировать сотни тысяч запросов за считанные минуты, оставляя бизнесу счёт в десятки тысяч долларов ещё до того, как сработают стандартные оповещения о превышении бюджета.

Наиболее уязвимы для SMS-pumping компании, использующие SMS-верификацию через публичные формы без дополнительных механизмов защиты. По разным оценкам, от 42 до 70 процентов организаций применяют SMS-аутентификацию, что создает значительную поверхность для атак такого типа.

Почему традиционные методы защиты перестают работать

Многие компании до сих пор полагаются на простые методы фильтрации трафика — IP-based рейт-лимитинг и блокировку по геопризнаку. В 2026 году оба подхода демонстрируют свою неэффективность по нескольким причинам.

Современные бот-сети используют резидентские прокси-серверы, маскируясь под миллионы легитимных домашних IP-адресов. Каждый запрос выглядит так, будто пришёл от реального, уникального пользователя, что делает IP-ориентированные защитные механизмы бесполезными.

Второй фактор, усложняющий защиту, — использование злоумышленниками генеративного ИИ. Большие языковые модели позволяют имитировать человеческое поведение на регистрационных формах — от неравномерной скорости ввода до хаотичных движений мыши. Традиционные файрволы, полагающиеся на сопоставление с простыми шаблонами, не способны отличить такого бота от реального пользователя.

Отдельного внимания заслуживает проблема «серых маршрутов» — нелегальной доставки A2P-трафика в обход официальных межоператорских соглашений. По данным отраслевых аналитиков, глобальные потери от такого мошенничества достигают 37 миллиардов долларов ежегодно, а доля серого трафика может составлять от 15 до 40 процентов международного SMS-трафика, что также создаёт благоприятную среду для мошеннических схем.

Смишинг и социальная инженерия: эволюция продолжается

Параллельно с атаками на бюджеты компаний совершенствуются и атаки на конечных пользователей. Смишинг (SMS-фишинг) в 2026 году переживает качественный скачок: использование генеративного ИИ позволяет создавать грамматически безупречные, контекстуально точные сообщения на любом языке за считанные минуты. По некоторым данным, click-through rate у таких кампаний может быть в разы выше, чем у традиционных фишинговых рассылок.

Аналитики Juniper Research отмечают, что операторы должны внедрять межсетевые экраны с глубокой проверкой контента — именно такие механизмы позволяют выявлять новые паттерны мошенничества в реальном времени, анализируя не только отправителя, но и само содержимое сообщения.

Показательно, что снижение общего объёма потерь от SMS-мошенничества (с 80 до 71 миллиарда долларов) не означает, что индустрия побеждает. Скорее наоборот: преступники переключаются на каналы, которые сложнее фильтровать — RCS, iMessage, WhatsApp. При этом сама инфраструктура для проведения атак (фишинговые платформы, SIM-фермы, партнёрские сети) никуда не делась — она просто переориентируется.

Как выстроить комплексную защиту SMS-каналов

Эффективная стратегия защиты SMS-каналов в 2026 году требует многоуровневого подхода, охватывающего технические, организационные и контрактные аспекты.

Первый уровень: превентивная фильтрация. Наиболее действенный метод — остановить мошенничество до того, как SMS будет отправлено. Для этого применяются современные методы, выходящие за рамки IP-анализа: device fingerprinting, формирующий уникальную сигнатуру устройства, и поведенческая аналитика, отслеживающая естественность взаимодействия пользователя с формой отправки — скорость ввода, траекторию движений мыши и другие биометрические паттерны.

Второй уровень: мониторинг в реальном времени. Необходимо отслеживать подозрительные паттерны SMS-трафика: резкие всплески объёмов без соответствующего роста числа активных пользователей, высокую концентрацию сообщений на конкретные коды стран (особенно premium-rate направления), аномально низкую конверсию верификационных сообщений (много отправлено — мало подтверждено), а также повторяющиеся запросы на последовательные телефонные номера в пределах одного диапазона.

Третий уровень: технологические решения. Рынок предлагает как операторские, так и клиентские инструменты защиты. Решения уровня оператора перехватывают мошеннический трафик до того, как он достигнет абонента. Корпоративные платформы интегрируют защиту непосредственно в бизнес-процессы. По данным разработчиков, современные системы способны выявлять значительную долю мошеннического SMS-трафика без нарушения доставки легитимных сообщений.

Четвёртый уровень: организационные меры. Каждой компании, использующей SMS-канал, следует внедрить несколько обязательных практик: настроить лимиты на отправку сообщений по географическому признаку; отключить возможность отправки на premium-rate номера, если это не требуется бизнес-процессом; регулярно аудировать формы, инициирующие SMS, на предмет возможности автоматизации запросов; и разработать чёткий алгоритм действий при обнаружении признаков pumping-атаки.

Наконец, важный, но часто недооцениваемый аспект — страхование рисков. Как показывает международная практика, страховое покрытие в рамках полисов кибербезопасности может распространяться на убытки от SMS-pumping, и этот инструмент стоит учитывать при построении комплексной стратегии защиты.

Типовой сценарий: атака на финтех-платформу

Финтех-платформа среднего размера, обслуживающая около полумиллиона пользователей, использовала SMS для верификации при регистрации и подтверждении транзакций. Защита была выстроена по классической модели: IP-based рейт-лимитинг и гео-ограничения на отправку в страны за пределами основного рынка. В начале 2026 года компания столкнулась с флэш-атакой: за десять минут было сгенерировано около ста тысяч запросов на верификацию через форму регистрации, доступную без предварительной аутентификации. Злоумышленники использовали резидентские прокси, распределив запросы по десяткам тысяч IP-адресов.

Стандартная система мониторинга среагировала только когда счёт за SMS превысил дневной лимит. Прямые потери составили около сорока тысяч долларов за одну ночь. После инцидента компания внедрила многоуровневую систему: капчу на формах, device fingerprinting, поведенческий анализ и отключение отправки на premium-rate направления. Затраты на доработку защиты окупились в течение трёх месяцев только за счёт отсутствия повторных инцидентов.

Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.

Вопрос для обсуждения: Сталкивались ли ваши системы с атаками типа SMS-pumping, и какие методы защиты оказались наиболее эффективными на практике?