«Подмена номеров и звонок «от банка», это не взлом АТС, а эксплуатация доверия, встроенного в телефонную сеть с 1970-х годов. Сама технология проста и доступна, а её опасность заключается в том, что мы привыкли принимать номер на экране как истину. От этого рефлекса нужно отказаться.»
Какой номер может подменить мошенник
Подмена, это инструмент для создания доверия, поэтому выбираются номера, вызывающие наименьшее количество подозрений. Список ограничен и предсказуем:
- Номера колл-центров банков и служб поддержки (8-800 или короткие федеральные номера).
- Номера государственных служб, налоговой, полиции.
- Номера крупных курьерских служб или интернет-магазинов.
- Личные номера (родственников, коллег), если данные получены из слитых баз.
Технически, подмена обычного мобильного номера (+7) через устаревшую систему сигнализации проще. Подмена федерального номера 8-800 требует дополнительных шагов, но также осуществима. Самый сложный вариант — звонок с того номера, с которого банк отправляет SMS, но это скорее исключение, подтверждающее правило: телефонная сеть не гарантирует идентификацию источника.
Техника подмены номера: эксплуатация протокола, не взлом
Мошенник не взламывает оборудование оператора. Он использует легитимный, но неконтролируемый доступ к глобальной системе сигнализации SS7 (Signaling System No. 7). Этот протокол, разработанный для закрытой сети операторов, до сих передает информацию о звонках между компаниями без проверки её подлинности.
Чтобы отправлять команды в эту сеть, достаточно арендовать доступ у одного из множества мелких операторов связи, это продается как услуга. Никаких сложных технических действий не требуется.
Процесс выглядит так:
- Мошенник формирует стандартный сигнал на установление вызова (Initial Address Message, IAM).
- В поле «Calling Party Number» он указывает номер, который нужно подменить (например, номер банка).
- Сигнал проходит через сеть SS7 к оператору и телефону жертвы.
- Телефон и сеть принимают указанный номер как истинный и отображают его.
Тот же механизм работает для подмены номера в SMS, это основа для SMiShing.
Сценарий атаки: звонок, давление, перевод
Подмена номера — лишь первый шаг. Основную работу выполняет социальная инженерия, построенная на создании срочности и страха. Типичный сценарий состоит из четких этапов.
Этап 1: Инициирование контакта и создание срочности
Звонок часто начинается с автоматического сообщения: «Служба безопасности банка. Зафиксирована попытка несанкционированного списания. Для блокировки подтвердите последние транзакции. Соединяю со специалистом». Уже здесь используются триггеры: угроза (потеря денег) и срочность (действовать немедленно). Цель — не дать времени на анализ ситуации.
Этап 2: «Верификация» и сбор кодов
«Специалист» просит назвать коды из SMS для «подтверждения личности» или «отмены операции». На деле мошенник уже имеет доступ к интернет-банку жертвы (через фишинг или покупку данных) и сам инициирует перевод. Код из SMS нужен ему для завершения этой операции.
Сценарий может усложняться: жертву просят установить «защитное приложение» (фактически предоставить удаленный доступ к устройству) или перевести средства на «безопасный счет» (карту дропа).
Этап 3: Завершение и маскировка следов
После получения кода и успешного перевода звонок обрывается. Номер, с которого происходил вызов, часто становится недоступным для обратного звонка. Деньги мгновенно выводятся через цепочку посредников.
Почему это всё ещё работает: системные причины
- Отсутствие сквозной аутентификации в SS7. Протокол не проверяет подлинность источника сигнала. Фильтрация на уровне крупных операторов существует, но тысячи мелких операторов по всему миру остаются слабым звеном.
- Психологическая уязвимость. Доверие к номеру на экране — устойчивый рефлекс. Техническая подоплека процесса неочевидна для пользователя, поэтому звонок с «правильного» номера воспринимается как абсолютное доказательство.
- Рассогласованность ответственности. Банки улучшают безопасность своих приложений, но не контролируют телефонную сеть. Операторы связи медленно внедряют защитные меры, так как это требует инвестиций без прямой прибыли. Этот пробел в безопасности (security gap) активно используется.
Как защититься: перестать доверять номеру
Эффективная защита требует изменения поведения. Номер телефона не может быть надежным идентификатором.
- Никогда не сообщайте коды из SMS, пуш-уведомлений или голосовые пароли, даже если звонящий представляется сотрудником банка. Банк никогда не запросит полный код подтверждения перевода.
- Инициатива разговора должна быть вашей. Прервите подозрительный звонок. Найдите официальный номер банка на его сайте или на оборотной стороне карты и перезвоните сами. Уточните, есть ли для вас сообщение.
- Не поддавайтесь давлению. Фразы «срочно», «сейчас спишут», «иначе счет заблокируют» — классические признаки мошенничества. Реальные проблемы решаются по процедурам, без паники.
- Используйте дополнительную аутентификацию. Подключите подтверждение операций через мобильное приложение банка с пуш-уведомлением, если такая возможность есть. Для критических операций некоторые банки используют звонок от робота с кодом на записанный голос, это сложнее перехватить.
Что делать, если деньги уже перевели
- Немедленно позвоните в банк. Сообщите о мошеннической операции и заблокируйте карту или счет.
- Напишите заявление в полицию. Получите талон-уведомление. Это необходимо для оспаривания операции и возможных страховых случаев.
- Обратитесь к оператору связи. Запросите детализацию входящего звонка. Хотя номер был подменен, в технических логах оператора может остаться информация о реальном источнике вызова, что поможет следствию.
Вернуть деньги удается редко, особенно при быстром обналичивании. Главная цель — документально зафиксировать факт и предотвратить дальнейшие попытки.
Уязвимости в SS7 — системная особенность глобальной инфраструктуры, которая будет существовать еще долго. Защита сводится не к ожиданию технического исправления, а к смещению точки доверия: от номера на экране к самостоятельным действиям по проверке.