Сергей

Ограничение по кол-ву запросов с одного IP + капча.
Первое защитит от простых случаев, второе от случаев, когда злоумышленник использует прокси.
Можно сделать сложнее - активировать капчу, если поток запросов SMS по всей системе возрос. Например, всё время средний поток запросов 10 в минуту а тут скакнул до 100 - включаем всем капчу.
Ну и капча не является 100% защитой - на antigate.com их разгадывают по 1$ за 1000 штук. Но сама необходимость работать с антигейтом существенно усложняет бота.
P.S.: я сам защиту строить не пробовал, но ботов часто пишу.

Есть вариант независимую от IP куку держать на одном домене, зависимую от IP на другом основном. В случае смены IP у пользователя делать кроссдоменную авторизацию. Вконтакие так делают. Как реализовать смотрите, например, в докладе Ильи Кантора addconf.ru/event.sdf/ru/add_2010/authors/136/174