СМС‑бомбинг — это тип кибератаки, при которой на один номер телефона за короткое время автоматически отправляется большой объём СМС‑сообщений. Поток может достигать сотен и тысяч сообщений, обычно с кодами подтверждения, уведомлениями о «подозрительных операциях», рекламными предложениями или фишинговыми ссылками. Цель атаки — перегрузить пользователя информационным шумом, вызвать стресс и создать условия для применения социальной инженерии.
Чаще всего СМС‑бомбинг используется мошенниками как «фон» для телефонного или онлайн‑мошенничества. На фоне шквала уведомлений жертве звонят «из службы безопасности банка» или «от техподдержки сервиса» и предлагают «помочь остановить атаку». Под этим предлогом у человека выманивают одноразовые коды из СМС, логины и пароли, подтверждение переводов или доступ к аккаунтам. В ряде случаев СМС‑бомбинг применяется и как инструмент травли: злоумышленник запускает массовую рассылку на номер конкретного человека, чтобы вызвать у него постоянную тревогу и дискомфорт.
С технической точки зрения СМС‑бомбинг осуществляется через специализированные программы и онлайн‑сервисы (так называемые СМС‑бомберы). Они могут автоматически:
- отправлять множество однотипных сообщений на один номер;
- регистрировать номер на десятках сайтов (доставка, такси, скидки, микрозаймы) для генерации потока кода подтверждения и рекламных СМС;
- использовать API легальных сервисов массовых рассылок в злоумышленных целях.
Для сервисов, которые используют СМС‑коды в аутентификации и подтверждении операций, СМС‑бомбинг создаёт сразу два вида рисков. Во‑первых, это повышенная нагрузка на инфраструктуру: рост числа запросов кодов, возможные блокировки и ухудшение качества сервиса для добросовестных пользователей. Во‑вторых, это риск компрометации одноразовых кодов: на фоне атаки пользователю проще навязать ложный сценарий («сейчас придёт код, продиктуйте его, мы отменим мошенническую операцию»), что напрямую влияет на безопасность цифровой идентичности и денежных средств.
Что делать пользователю, если начался СМС-бомбинг
Первое правило — не паниковать и не принимать решений под давлением. Большинство таких атак строится именно на ощущении срочности и хаоса.
Не нужно отвечать на сообщения, переходить по ссылкам, вводить коды на сторонних сайтах, пересылать скриншоты СМС и тем более диктовать одноразовые коды по телефону или в мессенджере.
Если параллельно поступает звонок «из банка», «от оператора» или «из службы безопасности», безопасный сценарий только один: завершить разговор и самостоятельно связаться с организацией по официальному номеру или через официальное приложение.
После атаки стоит проверить самые важные аккаунты, сменить пароли там, где это уместно, и по возможности включить более устойчивый второй фактор — например, приложение-аутентификатор или push-подтверждение в доверенном приложении вместо СМС.
Дополнительно имеет смысл включить встроенные фильтры спама, заблокировать ненужных отправителей и, если атака продолжается, обратиться к мобильному оператору.
Что важно запомнить
- СМС-бомбинг — это массовая отправка СМС на один номер, обычно как часть более широкой мошеннической схемы, а не просто «телефонное хулиганство».
- Главная опасность — не сам поток сообщений, а стресс, потеря внимания и вероятность того, что пользователь сам передаст мошеннику код или подтвердит доступ.
- Для бизнеса это ещё и атака на механизмы аутентификации, процедуры восстановления доступа и бюджет на СМС-коммуникации.
- Надёжная защита строится на ограничении слишком частых запросов, защите от ботов, оценке подозрительной активности, понятных сообщениях для пользователя при отправке одноразовых кодов и использовании альтернативных факторов аутентификации.
