Как защитить sms-рассылку от bruteforce?

Приветствую.

На сайте есть страница регистрации, на которой присутствует поле ввода моб. номера. Для проекта важно чтобы указанный номер был настоящим и обслуживаемым, посему было принято решение добавить проверку посредством кода, присылаемого в SMS.

Проблема:
SMS платные, и очень не хочется чтобы кто-то недобросовестный воспользовался этим для просадки бюджета проекта. Основная трудность состоит в том, как защитится от целенаправленной атаки подкованными в IT людьми?

Ясно, что стойкую защиту в данных условиях реализовать почти невозможно, поскольку триггером выступает не сервис, а запрос от клиента. В таком случае можно обходиться только ограничениями, построенными на вычурных схемах. Но, может быть, есть какой-нибудь вариант. Все-таки такая проверка популярна на ряде сервисов.

Рассматривались варианты:
1. Ограничить кол-во сообщений на один номер — недостаточно эффективно: запросы можно слать на разные номера, даже если учесть, что процедура забивания полей рег. формы достаточно долгая. Этот процес можно автоматизировать.
2. Ограничить кол-во сообщений на один iр-адрес — тоже не эффективно: мало того, что в одной ip-подсети могут сидеть десятки клиентов (могу ошибаться), так еще и анонимайзеры никто не отменял.
3. Ограничить кол-во сообщений в день/час — могут пострадать обычные пользователи и сервис недополучит клиентов.

Одним словом, вопрос сводиться к такому:
Есть ли какая-нибудь схема (пусть сложная), позволяющая с вероятностью > 90% и разогревом за несколько десятков запросов вычленить нежелательные запросы из общего потока?