Телефонное мошенничество давно перестало быть “случайными звонками”. Это индустрия с воронками, скриптами, аналитикой и инфраструктурой, где доверие человека конвертируется в деньги. Один из самых токсичных инструментов этой индустрии, подмена номера, сегодня чаще всего упирается в SIP-телефонию: жертва видит “банк”, “госорган”, “службу доставки”, а в реальности звонок может прилететь с анонимного сервера, из другой страны и через цепочку транзитных операторов. И да, это специально сделано так, чтобы вам было трудно разобраться “в моменте”.
Что такое SIP-телефония
Источник для изображения: gettyimages
SIP (Session Initiation Protocol) это протокол сигнализации на уровне приложений, который помогает “договориться” о звонке: кто кому звонит, куда доставлять медиа, как начать, изменить и завершить сессию. Он активно используется в IP-телефонии, корпоративных АТС, колл-центрах, VoIP-провайдерах.
Важно: SIP не “передает голос” сам по себе. Голос обычно идет отдельным потоком (RTP/SRTP), а SIP управляет установлением и логикой соединения. Поэтому мошенники любят SIP не за “качество связи”, а за контроль над тем, какие поля сигнализации увидит принимающая сторона, включая то самое, что вы называете “номер на экране”.
В мире телефонии это упирается в понятие CLI/Caller ID (идентификатор вызывающего). Если сеть на входе доверяет тому, что ей сообщили, и не умеет жестко проверять происхождение номера, появляется окно для подмены. Международные регуляторы прямо описывают spoofing как звонки с “ложным calling party number”, в том числе через SIP. Как работает схема?
- Мошенник арендует SIP-сервер или подключается к нелегальному сервису.
- В настройках указывается любой номер — банка, полиции или даже знакомого абонента.
- При звонке жертве отображается подставленный Caller ID.
По сути, это цифровой аналог классического вишинга, когда злоумышленники убеждают человека действовать «здесь и сейчас».
Как реально выглядит подмена номера через SIP
Технически “магия” обычно происходит в одном месте: при формировании SIP-запроса (условно INVITE) злоумышленник задает идентификатор вызывающего в полях сигнализации (в зависимости от схемы и шлюза это могут быть From, P-Asserted-Identity и похожие механизмы). Дальше цепочка может идти через SIP-шлюзы, транзитных операторов и выход в телефонную сеть.
Ваша проблема как абонента в том, что телефон показывает то, что ему передали как Caller ID, а не “истинное происхождение”. В результате “номер на экране” становится элементом психологической атаки, а не доказательством.
Схема как раз про это: где именно в цепочке появляется точка, где подмену проще всего сделать.
Что показано на схеме
Инфографика иллюстрирует типовую архитектуру подмены номера:
➡️ злоумышленник инициирует вызов через SIP-клиент
➡️ вызов проходит через SIP-провайдера или VoIP-шлюз
➡️ на этапе сигнализации передается произвольный Caller ID
➡️ оператор маршрутизирует вызов
➡️ абонент видит подставной номер
Экспертный комментарий
Ключевая уязвимость находится в точке доверия к переданному идентификатору. Если на уровне оператора или транзитного узла нет строгой валидации происхождения номера, Caller ID отображается у абонента как легитимный. Схема показывает, что абонент физически не видит реальный источник вызова. Он видит только то, что ему передали в сигнализации. Именно поэтому подмена номера является не столько технической атакой, сколько атакой на доверие.
Зачем мошенникам подмена номера: не про технику, а про влияние
Источник для изображения: gettyimages
Подмена номера покупается не ради “красивого трюка”. Она покупается ради секунды доверия, которая решает все.
Зачем используется подмена
- Финансовые атаки. Чаще всего звонят «из банка», убеждая перевести деньги или назвать код из SMS. Схема схожа с мошенничеством с кредитами и займами, где аферисты оформляют чужие обязательства.
- Запугивание от лица госорганов. Под видом прокуратуры или ФНС жертв пугают штрафами и уголовными делами. Это разновидность социальной инженерии, построенной на страхе.
- Спам и реклама. Массовая рассылка звонков от подставных номеров — часть глобального интернет-мошенничества.
- Анонимность преступников. Используется для координации теневых схем, от онлайн-покупок с подделками до фальшивых инвестпроектов.
Чем опасна подмена номера
Источник для изображения: gettyimages
Опасность не в том, что “вас могут обмануть”. Опасность в том, что подмена номера снимает ваш главный защитный рефлекс: сомнение. Вы видите знакомый номер, и мозг дорисовывает “значит, все официально”. Вы слышите уверенный голос и скрипт “по безопасности”. Вы получаете срочность, и рациональность уступает место действиям. Дальше либо деньги, либо доступ, либо данные.
Чем опасна подмена номера
- Жертва видит «настоящий» номер банка и верит звонку.
- Разговоры записываются, чтобы потом использовать данные для новых атак.
Можно ли отследить подмену номера
Источник для изображения: gettyimages
Абоненту
В моменте, почти никогда. Телефон не показывает вам цепочку маршрутизации и “кто подписал” идентификатор номера. Он показывает красивую картинку, а вы уже решаете, верить или нет.
Операторам и регуляторам
Да, но чаще постфактум и не всегда “одной кнопкой”. Нужны данные сигнализации, точки входа, маршруты, IP-адреса, сопоставление заявленного Caller ID с источником и правом его использования. И даже тогда многое упирается в трансграничные участки и серые шлюзы.
В России для борьбы с подменой работает ИС “Антифрод” Роскомнадзора. По утвержденному документу регулятора: на конец декабря 2024 года к системе было подключено 1 164 оператора, а за 2024 год верифицировано 158 млрд вызовов.
По данным, которые Роскомнадзор приводил публично, в 2024 году система предотвратила около 606 млн звонков с подменных номеров.
Это много, но это не “конец проблемы”. Это, скорее, доказательство масштаба: если есть что блокировать сотнями миллионов, значит рынок подмены все еще жив.
Что видите вы и что видит оператор
Почему это все еще работает, даже когда везде антифрод
По данным Роскомнадзора, к концу 2024 года к ИС «Антифрод» было подключено 1 164 оператора связи, а за 2024 год верифицировано 158 млрд вызовов. По данным, опубликованным в деловой прессе со ссылкой на РКН, в 2024 году было предотвращено около 606 млн звонков с подменных номеров. Это огромные объемы, но они показывают масштаб атаки, а не ее исчезновение. Но антифрод это гонка, а не кнопка “выключить мошенников”.
Уточнить данные о человеке по всем доступным государственным базам
GETSCAM| Проверка Граждан РФ по открытым базам данных: МВД, ФМС, ФНС, ФССП, ГИС ГМП, ФНП, ЕФРСБ, ГИБДД и других государственных органов.
Смешанные каналы. Даже если “подмену номера” блокируют, мошенники уходят в мессенджеры, гибридные сценарии и переупаковку легенд. Банк России прямо отмечает активное использование социальной инженерии, фишинговых ссылок и вредоносного ПО в связке со звонками.
Человеческий фактор. Самый дешевый эксплойт.
Трансграничность. Серые шлюзы и зарубежные участки усложняют быструю реакцию.
Экономика схем. Если конверсия хотя бы доли процента, масштабы окупают инфраструктуру.
Показательный фон по финансовой стороне (чтобы не было ощущения “да ну, ерунда”): по данным Банка России банки сообщают о колоссальных объемах предотвращенных мошеннических операций и предотвращенного ущерба, что говорит о постоянном давлении атак на финансовый сектор.
Рост предотвращенных операций не означает, что атак стало меньше. Он означает, что:
- атак становится больше
- банки усиливают автоматические механизмы блокировки
- телефонное мошенничество остается ключевым каналом входа
Телефонный звонок с подменным номером часто является первой точкой контакта, после которой запускается цепочка финансовых операций. График показывает, что борьба идет в режиме постоянной нагрузки, а не в формате “всплеск — спад”.
На диаграмме отображены два ключевых показателя работы государственной системы противодействия подмене номеров:
- объем верифицированных вызовов (в миллиардах)
- количество предотвращенных звонков с подменой номера (в миллионах)
Рост объема проверяемых вызовов говорит о масштабировании антифрод-инфраструктуры. Однако сотни миллионов предотвращенных звонков показывают, что проблема не локальная, а системная. Это не “единичные атаки”, а потоковая индустрия, работающая параллельно с легальным телеком-трафиком. График демонстрирует, что даже при централизованной государственной системе фильтрации подмена номера остается массовым явлением.
Выводы и анализ эксперта
Источник для изображения: gettyimages
Подмена номера через SIP-телефонию — один из самых сложных вызовов для абонентов. Caller ID легко фальсифицируется, а отследить это в реальном времени практически невозможно. Единственный способ защиты — критическое мышление: не доверяйте звонкам «из банка» и проверяйте информацию самостоятельно.
SIP-телефония сама по себе не зло. Это нормальная транспортная реальность современного голоса, особенно для бизнеса. Проблема начинается там, где идентификатор вызывающего превращается из технического поля в “доказательство доверия”, и на этом строят социальную инженерию.
Подмена номера через SIP опасна тем, что она атакует не телефон, а вашу уверенность. Она выглядит как “знакомая дверь”, в которую вы сами открываете, потому что номер “правильный”. И пока общество продолжает воспринимать Caller ID как печать подлинности, этот класс атак будет жить.
Главное правило, которое спасает деньги чаще всего: номер на экране не является доказательством личности звонящего.
✅ Закончите разговор без конфликта. Мошенникам нужна ваша вовлеченность.
✅ Перезвоните по контакту с официального сайта или из приложения, а не по тому, что продиктовали.
✅ Не называйте коды из СМС и пушей. Никогда. Даже если “сейчас все отменим”.
✅ Если речь про кредиты или “оформлено на вас”, отдельно полезно знать про юридический “период охлаждения”: что это и как действует.
✅ Зафиксируйте факт: время, номер, сценарий, запись (если законно в вашей ситуации), обращение в банк/оператору/полицию.
Прогноз на 2027 год
К 2027 году ожидаемо усилятся три линии:
Смещение в гибрид: звонок + СМС/мессенджер + фишинговая ссылка + “подтверждение” кодом. Это уже стандартная связка, и она будет становиться более персонализированной.
Рост “легитимного фасада”: мошенники будут активнее использовать инфраструктуру, похожую на бизнес (аренда номеров, колл-центры, воронки, “службы качества”), чтобы обходить блокировки и держать конверсию.
Ответка рынка: будет расти глубина антифрода у операторов и банков, плюс появятся новые требования к проверке вызовов и реагированию. Но “в реальном времени и безошибочно” это все равно не станет массовой реальностью, потому что часть цепочек остается за пределами одной юрисдикции.
❗️ Материал носит исключительно информационный характер и не является юридической консультацией.