Телефонный номер как уязвимость для целевых вишинговых атак

«Зачем в SMS приходит код, а потом звонит робот, который якобы его проверяет? Потому что номер телефона больше не ваш. Он стал активом в теневой экономике данных. Система знает, что вы клиент конкретного банка, получила код доступа и сейчас звонит вам от его имени. Это не колл-центр звонит, это автоматический конвейер для фишинга, где ваш номер — последний пазл в схеме обхода защиты.»

Почему телефонный номер — самый ценный аргумент

Пароли сливают миллионами, e-mail можно создать за минуту, но телефонный номер остаётся уникальным идентификатором, привязанным к физическому лицу. Его структура E.164 уже содержит код страны и оператора. В России по номеру часто можно определить регион выдачи, а порой и примерный срок активности. Для социального инжиниринга это готовый досье: прямая голосовая связь, привязка к банковским операциям, юридическая значимость.

Когда вы указываете номер для «безопасного восстановления», он начинает жить параллельной жизнью в инфраструктуре сервиса. Он мигрирует из основной таблицы users в таблицы audit_logs, backup_contacts и сырые логи Nginx. Его маскированная версия отправляется в аналитические системы, а хеш может передаваться «агрегаторам данных» для «сопоставления cross-device поведения». Фактически вы один раз вводите номер, а он прописывается в десятке внутренних и внешних систем, каждая из которых — потенциальная точка утечки.

Регуляторное давление в виде 152-ФЗ и требований ФСТЭК заставляет хранить логи входа и изменения учётных данных. Эти логи часто содержат полные номера телефонов. В результате даже сервис с идеальной защитой основной базы может сливать номера через свои же системы мониторинга и технической поддержки.

Как создаются базы для целевых атак

Современные базы для фишинга, это не просто списки номеров из взломанной соцсети. Это структурированные датасеты с контекстом, которые собираются легальными методами. Процесс работает как воронка:

1. Первичный сбор через легитимные каналы. Сервисы такси, доставки еды, онлайн-записи к врачу. Формы обратной связи на сайтах, где номер — «обязательное поле для связи». Все эти данные идут в базы клиентов, которые позже могут быть проданы как «обезличенные для маркетингового анализа».
2. Агрегация и обогащение. Дата-брокеры покупают и склеивают данные из десятков источников. Если из сервиса такси известен ваш номер и примерный район проживания, а из данных онлайн-магазина — e-mail и модель телефона, эти профили объединяются. К ним добавляются данные из публичных реестров и предыдущих утечек.
3. Сегментация и оценка ценности. Отдельно формируются сегменты: номера, привязанные к интернет-банкам определённых кредитных организаций, номера из корпоративных баз сотрудников IT-компаний, номера из записей на платные медицинские услуги. Такие сегменты стоят дороже, так как владелец номера с высокой вероятностью имеет доступ к значимым ресурсам или деньгам.

В итоге злоумышленник покупает не список, а базу с пометками: «Номер принадлежит менеджеру среднего звена, клиенту банка X, недавно интересовался услугами доставки». Это полностью меняет сценарий атаки.

Vishing AI: от скрипта к адаптивному диалогу

Звонок больше не делают люди с бумажным скриптом. Это автоматизированный конвейер, где синтез речи и обработка естественного языка создают иллюзию общения с человеком.

Техническая цепочка современной vishing-атаки выглядит так:

1. Автодозвон и преданализ. Система совершает массовый обзвон. В первые секунды после ответа фоновый шум и интонация первого слова анализируются для определения вероятного возраста, пола и настроения абонента. Эти данные корректируют заранее заготовленный сценарий.
2. Загрузка контекста. Перед началом диалога в систему загружается профиль жертвы из обогащённой базы. Если известно, что номер привязан к банку «Точка», сценарий будет о «подозрительной операции в вашем расчётном счёте». Если номер найден в базе сотрудников «Яндекса», скрипт переключится на «проблему с доступом к корпоративному VPN».
3. Синтез речи и NLP. Современные движки синтеза имитируют естественные паузы, дыхание, региональные акценты. NLP-модуль в реальном времени извлекает ключевые слова из ответов жертвы: «перевод», «код подтверждения», «банк-клиент». По этим ключам система выбирает следующую реплику из дерева диалога, уточняя детали.
4. Эскалация к оператору. Если диалог заходит в тупик или жертва проявляет сильные сомнения, система может «перевести вас на специалиста» — живого мошенника, которому передаётся полная расшифровка разговора и контекст.

Что делать в российском контексте

Советы «никому не сообщать номер» в России не работают. Регистрация на Госуслугах, в банках, во многих корпоративных системах требует номер телефона. Задача — не скрыть номер, а управлять рисками его компрометации.

Сегментация номеров как базовый принцип

Минимум два номера, это не опция, а необходимость.

Критический анализ пользовательских соглашений

При регистрации ищите не только основное соглашение, но и документы с названиями вроде «Согласие на обработку ПДн» или «Политика конфиденциальности». Ключевой пункт — условия передачи данных партнёрам. Формулировки «для улучшения сервиса» или «в обезличенном виде для аналитики» часто маскируют передачу хешей телефонных номеров и сопутствующих метаданных агрегаторам. Отказ от такого соглашения иногда возможен, но часто спрятан в настройках профиля.

Отказ от SMS в пользу устойчивых методов 2FA

SMS-код — самое слабое звено двухфакторной аутентификации. Он уязвим к перехвату через SS7, подмене SIM-карты и именно он является целевым объектом vishing-атаки. Где возможно, заменяйте его на:

• TOTP-приложения (Google Authenticator, Aegis). Код генерируется локально на устройстве, не передаётся по сети. Поддержка есть у многих российских банков и IT-сервисов.
• Аппаратные токены (FIDO2/U2F). Максимальная безопасность. В корпоративном сегменте и некоторых банках (например, Тинькофф) уже можно использовать.
• Криптография на смарт-картах. Решение для организаций, соответствующее требованиям ФСТЭК. Токен физически неотделим от носителя.

Важно понимать: если ваш номер уже попал в базу для вишинга, сменить его в сервисе недостаточно. Старые данные останутся в резервных копиях и аналитических системах партнёров. Стратегия — не в исправлении прошлого, а в построении новой, изолированной цепочки аутентификации для критически важных сервисов.

Технические меры для организаций (разработчиков и администраторов)

Если ваш сервис собирает номера телефонов, вы отвечаете не только за их хранение по 152-ФЗ, но и за предотвращение их использования в качестве инструмента для атак на ваших же пользователей.

• Принцип минимального хранения. Исключите попадание полных номеров в лог-файлы приложения, фронтенд-логи (Sentry), системы аналитики (AmoCRM, Яндекс.Метрика). Вместо номера используйте его необратимый хеш (например, HMAC с серверным ключом) для внутренних нужд.
• Жёсткий контроль API и микросервисов. Любой внутренний API, который отдаёт данные пользователя, должен маскировать или исключать номер телефона. Доступ к полной базе номеров должен быть под жёстким RBAC, с обязательным логированием каждого запроса.
• Мониторинг теневого сегмента. Настройте автоматический поиск в открытых источниках и на специализированных форумах упоминаний вашего домена, структуры ваших данных или слитых дампов с характерными признаками. Это позволит обнаружить утечку до того, как она станет массовой.
• Проактивное информирование пользователей. В интерфейсе подтверждения операций прямо указывайте: «Наш сотрудник никогда не запросит у вас полный код из SMS. Мы можем только уточнить детали операции для её верификации». Это сбивает сценарий стандартной vishing-атаки.

Номер телефона сегодня, это не контактные данные, а вектор атаки. Его компрометация запускает цепочку событий, где техническая уязвимость систем сервиса соединяется с психологическим давлением через голосовой канал. Защита строится не на запретах, а на грамотной архитектуре данных: изоляции, минимизации и жёстком контроле их жизненного цикла на стороне организации и осознанной сегментации на стороне пользователя.