Это случилось в обычный четверг
Четверг, около двух дня. Я сижу на работе — я мастер смены на литейном производстве в Челябинске. Телефон лежит на столе экраном вверх. Приходит вызов.
Смотрю на экран — и у меня что-то ёкает внутри.
Звонит мой номер. Мой собственный номер. Тот, с которого я только что звонил жене — спросить, забрала ли она младшего из садика.
Я не ответил. Просто уставился в экран, пока вызов не оборвался. Потом позвонил жене — она ничего не видела, со своего телефона ей ничего не приходило. Потом набрал свой же номер в ответ — никто не взял.
Я рассказал вечером тестю — он работает электриком на заводе, человек практичный, в мистику не верит. Он сказал: «Так это мошенники. У меня брат так деньги потерял». И рассказал историю, от которой я потом не спал нормально дня три.
Вот тогда я и решил разобраться — не «ну и ладно», а именно разобраться. Что это вообще такое? Как технически возможно позвонить с чужого номера — да ещё с твоего собственного? И главное — зачем?
Почему я вообще об этом пишу
После того четверга я написал короткий пост в одну местную группу во ВКонтакте — просто спросил, было ли у кого-то такое. За сутки — больше семидесяти комментариев. Люди из Екатеринбурга, Перми, Уфы, Тюмени писали одно и то же: «да, было», «и мне звонили», «я аж испугалась».
Потом я нашёл тему на крупном форуме — там несколько сотен сообщений, датированных 2022–2024 годами. Люди описывают одинаковую картину: звонок с собственного номера, иногда — просто молчание в трубке, иногда — голос, который пытается что-то продать или выяснить.
Это не городская легенда. Это массовое явление, у которого есть название, механика и цель.
Источники, которыми я пользовался: материалы Роскомнадзора и Центробанка о телефонном мошенничестве, публикации технических изданий о спуфинге, комментарии реальных людей, и — самое важное — разговор с одним знакомым, который работает в отделе информационной безопасности крупного оператора связи. Он объяснил технику «на пальцах». Без имён — он попросил.
Что такое спуфинг — и почему это не магия, а просто услуга
Начну с главного вопроса, который возникает у всех: как вообще можно позвонить с чужого номера? Разве это не технически невозможно?
Тогда, лет десять-пятнадцать назад, это действительно требовало серьёзных технических знаний и доступа к телефонному оборудованию. Это был удел специалистов — в основном, корпоративных IT-отделов, которые настраивали АТС так, чтобы исходящий звонок показывал единый номер компании, а не личный номер сотрудника.
Сейчас это услуга. Буквально — платная услуга, которую предлагают десятки сайтов. Называется она «подмена номера» или по-английски — caller ID spoofing. Стоит от нескольких сотен рублей. Никакого взлома, никакого хакерства. Заходишь на сайт, вводишь номер, с которого хочешь «позвонить», вводишь номер, куда звонить, — и всё. Система делает звонок, а на экране телефона адресата светится тот номер, который ты указал.
Мой знакомый из безопасности объяснил механику чуть подробнее. Суть в том, что протоколы телефонной связи — особенно VoIP, то есть звонки через интернет — не требуют верификации исходящего номера. Это как отправить письмо и написать на конверте любой обратный адрес. Почта доставит — она не проверяет, живёте ли вы по этому адресу на самом деле.
(Это важно понять: оператор связи видит реальный источник звонка — IP-адрес или техническую точку входа. Но на ваш экран он передаёт то, что ему сказала система. И здесь — дыра.)
Мой личный вывод: когда я это понял, мне стало немного не по себе. Потому что получается — любой номер на вашем экране может быть фикцией. Номер банка, номер поликлиники, номер вашей мамы. Технически — всё это можно подделать.
Зачем звонить именно с вашего номера — логика мошенника
Это вопрос, который я долго не понимал. Зачем звонить именно с моего собственного номера? Я же не возьму трубку, думая, что сам себе звоню.
Или возьму?
Вот тут начинается психология.
Тогда классическая схема была простой: звонок с незнакомого номера, голос представляется сотрудником банка. Люди стали осторожнее — видят незнакомый номер, не берут или сразу настораживаются.
Сейчас мошенники ищут способы обойти эту настороженность. И звонок с собственного номера — один из таких способов. Но не потому что они ждут, что вы ответите «сами себе». Логика другая.
Первая цель — проверка номера. Мошенники обзванивают базы данных, чтобы выяснить, какие номера «живые» — то есть реально используются. Если на звонок с вашего же номера вы не берёте — вы всё равно видите его в пропущенных. Иногда — перезваниваете. Тогда мошенник, принявший ваш звонок, начинает разговор.
Вторая цель — психологическая дестабилизация. Получить звонок со своего номера — это странно и пугающе. Человек начинает думать: «Меня взломали? Мой телефон заражён? Что происходит?» В этом состоянии тревоги он более уязвим для следующего звонка — уже от «специалиста», который «поможет разобраться».
Третья цель — тест на доверчивость. Часть людей, получив такой звонок, сами ищут объяснение и звонят на «горячую линию оператора», номер которой им вдруг приходит в СМС. Этот номер, конечно, тоже поддельный.
Мой знакомый из безопасности добавил ещё один сценарий, о котором я раньше не думал. Иногда звонок с вашего номера — это попытка дискредитировать вас в глазах ваших контактов. Например, мошенники обзванивают людей из вашей записной книжки с вашего номера — и предлагают «срочно перевести деньги, я попал в беду». Вы об этом не знаете. Ваши близкие думают, что звонили вы.
(Это важно помнить: если кто-то из ваших знакомых вдруг говорит «ты мне вчера звонил, просил деньги» — а вы не звонили — это именно такая схема.)
История тестя и брата — как это работает на практике
Возвращусь к истории, которую рассказал мне тесть в тот четверг вечером.
Его брат — назову его дядя Саша — живёт в Магнитогорске, работает охранником, мужик крепкий и совсем не производит впечатление человека, которого легко обмануть. Ему за пятьдесят, телефоном пользуется активно, в интернете сидит.
Ему позвонили с незнакомого номера. Потом ещё раз. Он не брал. Потом пришло СМС: «Вам звонили из службы поддержки МТС. Для уточнения ситуации перезвоните по номеру...» Номер был похож на официальный МТС — почти совпадал, отличался одной цифрой.
Он перезвонил.
На другом конце — вежливый голос, представился «Андрей, специалист технического отдела». Сказал, что с его номера идут «несанкционированные звонки» и его SIM-карту, возможно, клонировали. Чтобы «заблокировать клон» и «защитить номер», нужно продиктовать код, который придёт в СМС.
Код пришёл. Дядя Саша продиктовал.
Через две минуты с его номера ушло несколько звонков его знакомым — с просьбой перевести деньги «в долг, срочно, объясню потом». Двое перевели. Один — 8 000 рублей, другой — 12 000.
Дядя Саша потерял не свои деньги — он потерял доверие людей, которые перевели чужому человеку. И несколько месяцев потом объяснял всем, что не он звонил.
Вот как схема работает в реальности: звонок с «вашего» номера — это не финальный удар. Это первый шаг в цепочке, которая может иметь разные варианты окончания.
Технически — можно ли это остановить?
Это вопрос, который я задал знакомому из безопасности напрямую. Ответ неожиданный.
Да, технически можно. В ряде стран — США, Великобритания, некоторые страны ЕС — операторы связи внедрили протоколы верификации номеров. Называются STIR/SHAKEN. Суть: оператор проверяет, действительно ли звонящий авторизован использовать указанный номер. Если нет — звонок помечается как «потенциально поддельный» или блокируется.
В России этот стандарт пока не внедрён повсеместно. Роскомнадзор и операторы обсуждают антиспуфинговые меры — в 2023–2024 годах появились первые нормативные документы. Но массовой работы пока нет.
Почему нет?
— Внедрение требует координации всех операторов одновременно — иначе смысла мало
— Это затрагивает международные вызовы, где верификация ещё сложнее
— Часть корпоративных клиентов легально использует подмену номеров для АТС — нужно не сломать это
— Просто долго, дорого и никто особо не торопится
(Это важно: пока инфраструктурного решения нет — защита лежит на вас лично. Не на операторе, не на банке, не на государстве. На вас.)
Тогда я думал, что если звонок прошёл — значит, он «настоящий». Сейчас я понимаю: прохождение звонка вообще ничего не говорит о реальности номера на экране.
Мой личный вывод после этого разговора: доверять экрану телефона в вопросе «кто звонит» — примерно как доверять надписи на заборе.
Что делать, если вам позвонили с вашего же номера
Вот конкретные шаги — не абстрактные «будьте осторожны», а именно действия.
Шаг первый: не перезванивать.
Если вы увидели пропущенный вызов с вашего номера — не перезванивайте на него. Да, звучит странно — но это может быть ловушкой. Некоторые схемы рассчитаны именно на то, что вы перезвоните.
Шаг второй: не реагировать на СМС «от оператора».
Если после странного звонка приходит СМС с предложением позвонить куда-то для «уточнения» — игнорируйте. Номер для связи ищите сами на официальном сайте оператора, а не из СМС.
Шаг третий: проверить, не звонили ли с «вашего» номера вашим контактам.
Позвоните нескольким близким и спросите прямо: «Я тебе сегодня звонил?» Если кто-то говорит «да, ты просил деньги» — немедленно объясните ситуацию и попросите их никуда ничего не переводить.
Шаг четвёртый: сообщить оператору.
Позвоните в техподдержку своего оператора — Билайн, МТС, Мегафон, Теле2, не важно — и сообщите, что с вашего номера шли звонки без вашего ведома. Они зафиксируют жалобу. Это не решит проблему мгновенно, но создаёт документальный след.
Шаг пятый: предупредить контакты заранее.
Серьёзно — просто отправьте сообщение в общий семейный чат: «Если вам позвонят с моего номера и попросят денег — не верьте, я не звоню с просьбами о переводе». Это занимает тридцать секунд. И может сберечь чужие деньги.
Я так и сделал. Написал в наш семейный чат в воскресенье вечером. Жена ответила: «Ты чего, параноишь?» Тесть написал: «Правильно, давно надо было».
Схема «двойного удара» — о чём почти не говорят
Есть один сценарий, который я встретил в нескольких рассказах и который кажется мне самым коварным. Его условно называют «двойной удар».
Работает так.
Первый звонок — с вашего собственного номера. Вы не берёте или кладёте трубку. Вы озадачены.
Через несколько минут — второй звонок. С номера, похожего на официальный номер вашего оператора или банка. Голос говорит: «Добрый день. Мы фиксируем, что с вашего номера идут несанкционированные вызовы. Наша система засекла угрозу. Чтобы защитить ваш аккаунт, нам нужно...»
И вот здесь — человек уже «подготовлен». Он сам только что видел странный звонок. Ему не нужно ничего объяснять — он уже напуган. Он уже ищет объяснение. И «сотрудник» появляется именно вовремя, с готовым объяснением и готовым решением.
Это называется «прайминг» — психологическая подготовка. Первый звонок сеет тревогу. Второй звонок её «решает». Человек чувствует облегчение от того, что нашёлся кто-то, кто понимает, что происходит. И в этом облегчении — теряет бдительность.
Именно так потерял деньги один мужчина из Екатеринбурга, чью историю я нашёл на форуме. Он пенсионер, бывший инженер-конструктор — человек с техническим образованием, не наивный. Но два звонка подряд, второй с «объяснением», и он сам продиктовал код из СМС. Потерял 63 000 рублей — почти всю пенсию за два месяца.
А вот минусы — то, о чём неудобно говорить
Я должен сказать несколько неудобных вещей. Потому что статья без них будет однобокой.
Первый неудобный факт. Часть людей сами провоцируют проблему.
Да, звонок с собственного номера — это технически мошенничество. Но некоторые люди, получив такой звонок, начинают активно искать «кто это был» — гуглят, заходят на сомнительные сайты, скачивают приложения «для защиты от спуфинга» из непроверенных источников. И эти приложения оказываются малварью. То есть сами, в попытке защититься, устанавливают то, что их и взламывает.
Второй неудобный факт. Операторы связи знают о проблеме годами — и не торопятся.
Технология STIR/SHAKEN существует с 2019 года. В США её начали внедрять принудительно с 2021 года. В России — до сих пор нет обязательного стандарта. Операторы ссылаются на «сложность координации» и «переходный период». Но за это время миллиарды рублей утекли к мошенникам. Где баланс интересов — вопрос не риторический.
Третий неудобный факт. Государство реагирует медленно.
Законы о борьбе с мошенничеством обновляются, но всегда с опозданием на несколько лет от реальных схем. Мошенники — гибкие, быстрые и мотивированные деньгами. Законодатели — неторопливые и мотивированные совсем другим. Это структурная проблема, и она не решится быстро.
Четвёртый неудобный факт. Мы сами плохо учим друг друга.
Я поговорил с тестем про спуфинг. Но я ни разу до того четверга не разговаривал с тёщей — она работает продавцом в «Пятёрочке» на улице Советской, ей шестьдесят два года, телефон она берёт на все звонки подряд. Я про это просто не думал.
А это — моя ответственность, не государства.
Итог в двух столбцах
Где есть прогресс:
— Осведомлённость растёт — люди всё чаще знают слово «спуфинг»
— Некоторые операторы внедряют собственные антиспуфинговые фильтры
— ЦБ и Роскомнадзор начали публично говорить о проблеме
— В ряде телефонов (особенно Xiaomi, Samsung) появляется пометка «возможно мошенник» — хотя работает это нестабильно
— Появляются приложения от проверенных разработчиков для фильтрации звонков
Где проигрываем:
— Технического решения на уровне инфраструктуры в России нет
— Обязательного стандарта верификации номеров — нет
— Юридически доказать факт спуфинга и привлечь к ответственности — крайне сложно
— Пожилые люди остаются практически беззащитны
— Схемы усложняются быстрее, чем растёт осведомлённость
— Деньги, потерянные через «добровольный перевод» после спуфинговой атаки, не возвращаются почти никогда
Маленькое личное послесловие
Я так и не узнал, кто мне звонил в тот четверг. Может, просто проверяли базу. Может, готовили «двойной удар», но я не перезвонил и не оказался полезной целью.
Зато я теперь знаю, что мой номер на экране чужого телефона — не доказательство того, что звонил я. И что мой экран — тоже не доказательство.
Это немного страшное знание. Потому что мы привыкли доверять цифрам на экране. Мы привыкли, что телефон — это личное. Что если высвечивается имя из контактов — это тот человек.
Оказывается — нет.
Два вопроса к вам
Я хочу спросить вас напрямую — и мне правда интересно, что вы ответите в комментариях.
Первый вопрос: Вы уже предупредили своих пожилых родственников о том, что номер на экране можно подделать? Не «вообще говорили про мошенников» — а именно это: звонок с любого номера может быть фейком. Даже с номера ребёнка, мужа, сестры.
Второй вопрос: Если бы вам позвонили с вашего же номера, а через пять минут — «специалист оператора» с объяснением и решением — вы бы устояли? Честно, без «конечно, я умный»?
Я думаю об этом с того четверга. И ответ мне не нравится.