Подмена номера через SIP-телефонию в 2026: как это делают и можно ли отследить

Телефонное мошенничество давно перестало быть “случайными звонками”. Это индустрия с воронками, скриптами, аналитикой и инфраструктурой, где доверие человека конвертируется в деньги. Один из самых токсичных инструментов этой индустрии, подмена номера, сегодня чаще всего упирается в SIP-телефонию: жертва видит “банк”, “госорган”, “службу доставки”, а в реальности звонок может прилететь с анонимного сервера, из другой страны и через цепочку транзитных операторов. И да, это специально сделано так, чтобы вам было трудно разобраться “в моменте”.

Что такое SIP-телефония

Источник для изображения: gettyimages

SIP (Session Initiation Protocol) это протокол сигнализации на уровне приложений, который помогает “договориться” о звонке: кто кому звонит, куда доставлять медиа, как начать, изменить и завершить сессию. Он активно используется в IP-телефонии, корпоративных АТС, колл-центрах, VoIP-провайдерах.

Важно: SIP не “передает голос” сам по себе. Голос обычно идет отдельным потоком (RTP/SRTP), а SIP управляет установлением и логикой соединения. Поэтому мошенники любят SIP не за “качество связи”, а за контроль над тем, какие поля сигнализации увидит принимающая сторона, включая то самое, что вы называете “номер на экране”.

В мире телефонии это упирается в понятие CLI/Caller ID (идентификатор вызывающего). Если сеть на входе доверяет тому, что ей сообщили, и не умеет жестко проверять происхождение номера, появляется окно для подмены. Международные регуляторы прямо описывают spoofing как звонки с “ложным calling party number”, в том числе через SIP. Как работает схема?

1. Мошенник арендует SIP-сервер или подключается к нелегальному сервису.
2. В настройках указывается любой номер — банка, полиции или даже знакомого абонента.
3. При звонке жертве отображается подставленный Caller ID.

По сути, это цифровой аналог классического вишинга, когда злоумышленники убеждают человека действовать «здесь и сейчас».

Как реально выглядит подмена номера через SIP

Технически “магия” обычно происходит в одном месте: при формировании SIP-запроса (условно INVITE) злоумышленник задает идентификатор вызывающего в полях сигнализации (в зависимости от схемы и шлюза это могут быть From, P-Asserted-Identity и похожие механизмы). Дальше цепочка может идти через SIP-шлюзы, транзитных операторов и выход в телефонную сеть.

Ваша проблема как абонента в том, что телефон показывает то, что ему передали как Caller ID, а не “истинное происхождение”. В результате “номер на экране” становится элементом психологической атаки, а не доказательством.

Схема как раз про это: где именно в цепочке появляется точка, где подмену проще всего сделать.

Что показано на схеме

Инфографика иллюстрирует типовую архитектуру подмены номера:

➡️ злоумышленник инициирует вызов через SIP-клиент

➡️ вызов проходит через SIP-провайдера или VoIP-шлюз

➡️ на этапе сигнализации передается произвольный Caller ID

➡️ оператор маршрутизирует вызов

➡️ абонент видит подставной номер

Экспертный комментарий

Ключевая уязвимость находится в точке доверия к переданному идентификатору. Если на уровне оператора или транзитного узла нет строгой валидации происхождения номера, Caller ID отображается у абонента как легитимный. Схема показывает, что абонент физически не видит реальный источник вызова. Он видит только то, что ему передали в сигнализации. Именно поэтому подмена номера является не столько технической атакой, сколько атакой на доверие.

Зачем мошенникам подмена номера: не про технику, а про влияние

Источник для изображения: gettyimages

Подмена номера покупается не ради “красивого трюка”. Она покупается ради секунды доверия, которая решает все.

 Зачем используется подмена

• Финансовые атаки. Чаще всего звонят «из банка», убеждая перевести деньги или назвать код из SMS. Схема схожа с мошенничеством с кредитами и займами, где аферисты оформляют чужие обязательства.
• Запугивание от лица госорганов. Под видом прокуратуры или ФНС жертв пугают штрафами и уголовными делами. Это разновидность социальной инженерии, построенной на страхе.
• Спам и реклама. Массовая рассылка звонков от подставных номеров — часть глобального интернет-мошенничества.
• Анонимность преступников. Используется для координации теневых схем, от онлайн-покупок с подделками до фальшивых инвестпроектов.

Чем опасна подмена номера

Источник для изображения: gettyimages

Опасность не в том, что “вас могут обмануть”. Опасность в том, что подмена номера снимает ваш главный защитный рефлекс: сомнение. Вы видите знакомый номер, и мозг дорисовывает “значит, все официально”. Вы слышите уверенный голос и скрипт “по безопасности”. Вы получаете срочность, и рациональность уступает место действиям. Дальше либо деньги, либо доступ, либо данные.

Чем опасна подмена номера

• Жертва видит «настоящий» номер банка и верит звонку.
• Разговоры записываются, чтобы потом использовать данные для новых атак.
• Аферисты могут связать звонок с утечками данных, как в случае с SMS-фродом.

Можно ли отследить подмену номера

Источник для изображения: gettyimages

Абоненту

В моменте, почти никогда. Телефон не показывает вам цепочку маршрутизации и “кто подписал” идентификатор номера. Он показывает красивую картинку, а вы уже решаете, верить или нет.

Операторам и регуляторам

Да, но чаще постфактум и не всегда “одной кнопкой”. Нужны данные сигнализации, точки входа, маршруты, IP-адреса, сопоставление заявленного Caller ID с источником и правом его использования. И даже тогда многое упирается в трансграничные участки и серые шлюзы.

В России для борьбы с подменой работает ИС “Антифрод” Роскомнадзора. По утвержденному документу регулятора: на конец декабря 2024 года к системе было подключено 1 164 оператора, а за 2024 год верифицировано 158 млрд вызовов. 
По данным, которые Роскомнадзор приводил публично, в 2024 году система предотвратила около 606 млн звонков с подменных номеров.

Это много, но это не “конец проблемы”. Это, скорее, доказательство масштаба: если есть что блокировать сотнями миллионов, значит рынок подмены все еще жив.

Что видите вы и что видит оператор

Почему это все еще работает, даже когда везде антифрод

По данным Роскомнадзора, к концу 2024 года к ИС «Антифрод» было подключено 1 164 оператора связи, а за 2024 год верифицировано 158 млрд вызовов. По данным, опубликованным в деловой прессе со ссылкой на РКН, в 2024 году было предотвращено около 606 млн звонков с подменных номеров. Это огромные объемы, но они показывают масштаб атаки, а не ее исчезновение. Но антифрод это гонка, а не кнопка “выключить мошенников”.

Смешанные каналы. Даже если “подмену номера” блокируют, мошенники уходят в мессенджеры, гибридные сценарии и переупаковку легенд. Банк России прямо отмечает активное использование социальной инженерии, фишинговых ссылок и вредоносного ПО в связке со звонками.

Человеческий фактор. Самый дешевый эксплойт.

Трансграничность. Серые шлюзы и зарубежные участки усложняют быструю реакцию.

Экономика схем. Если конверсия хотя бы доли процента, масштабы окупают инфраструктуру.

Показательный фон по финансовой стороне (чтобы не было ощущения “да ну, ерунда”): по данным Банка России банки сообщают о колоссальных объемах предотвращенных мошеннических операций и предотвращенного ущерба, что говорит о постоянном давлении атак на финансовый сектор.

Рост предотвращенных операций не означает, что атак стало меньше. Он означает, что:

1. атак становится больше
2. банки усиливают автоматические механизмы блокировки
3. телефонное мошенничество остается ключевым каналом входа

Телефонный звонок с подменным номером часто является первой точкой контакта, после которой запускается цепочка финансовых операций. График показывает, что борьба идет в режиме постоянной нагрузки, а не в формате “всплеск — спад”.

На диаграмме отображены два ключевых показателя работы государственной системы противодействия подмене номеров:

1. объем верифицированных вызовов (в миллиардах)
2. количество предотвращенных звонков с подменой номера (в миллионах)

Рост объема проверяемых вызовов говорит о масштабировании антифрод-инфраструктуры. Однако сотни миллионов предотвращенных звонков показывают, что проблема не локальная, а системная. Это не “единичные атаки”, а потоковая индустрия, работающая параллельно с легальным телеком-трафиком. График демонстрирует, что даже при централизованной государственной системе фильтрации подмена номера остается массовым явлением.

Выводы и анализ эксперта

Источник для изображения: gettyimages

Подмена номера через SIP-телефонию — один из самых сложных вызовов для абонентов. Caller ID легко фальсифицируется, а отследить это в реальном времени практически невозможно. Единственный способ защиты — критическое мышление: не доверяйте звонкам «из банка» и проверяйте информацию самостоятельно.

SIP-телефония сама по себе не зло. Это нормальная транспортная реальность современного голоса, особенно для бизнеса. Проблема начинается там, где идентификатор вызывающего превращается из технического поля в “доказательство доверия”, и на этом строят социальную инженерию.

Подмена номера через SIP опасна тем, что она атакует не телефон, а вашу уверенность. Она выглядит как “знакомая дверь”, в которую вы сами открываете, потому что номер “правильный”. И пока общество продолжает воспринимать Caller ID как печать подлинности, этот класс атак будет жить.

Главное правило, которое спасает деньги чаще всего: номер на экране не является доказательством личности звонящего.

 ✅ Закончите разговор без конфликта. Мошенникам нужна ваша вовлеченность.

 ✅ Перезвоните по контакту с официального сайта или из приложения, а не по тому, что продиктовали.

 ✅ Не называйте коды из СМС и пушей. Никогда. Даже если “сейчас все отменим”.

 ✅ Если речь про кредиты или “оформлено на вас”, отдельно полезно знать про юридический “период охлаждения”: что это и как действует.

 ✅ Зафиксируйте факт: время, номер, сценарий, запись (если законно в вашей ситуации), обращение в банк/оператору/полицию.

Прогноз на 2027 год

К 2027 году ожидаемо усилятся три линии:

Смещение в гибрид: звонок + СМС/мессенджер + фишинговая ссылка + “подтверждение” кодом. Это уже стандартная связка, и она будет становиться более персонализированной.

Рост “легитимного фасада”: мошенники будут активнее использовать инфраструктуру, похожую на бизнес (аренда номеров, колл-центры, воронки, “службы качества”), чтобы обходить блокировки и держать конверсию.

Ответка рынка: будет расти глубина антифрода у операторов и банков, плюс появятся новые требования к проверке вызовов и реагированию. Но “в реальном времени и безошибочно” это все равно не станет массовой реальностью, потому что часть цепочек остается за пределами одной юрисдикции.

❗️ Материал носит исключительно информационный характер и не является юридической консультацией.

Частые вопросы

1) Может ли мне звонить реальный банк, но номер будет “чужой” или странный?
Да, такое бывает из-за маршрутизации, исходящих платформ и колл-центров. Но это не аргумент “значит, надо продолжать разговор”. Аргументом является только ваша самостоятельная проверка через официальный канал.

2) Если я вижу номер 900 или городской номер банка, это хоть что-то значит?
Это значит ровно одно: такой Caller ID отобразился на вашем экране. Почему он отобразился, без данных сети вы не докажете. Именно поэтому мошенники это и любят.

3) Что самое важное сделать, если я уже поговорил и сомневаюсь?
Сразу закрыть “окно ущерба”: позвонить в банк по официальному номеру, проверить операции и заявки, поменять пароли, отключить/перевыпустить доступы при необходимости. Если звучало “оформлен кредит”, фиксируйте обращение и проверяйте кредитную историю.