Номер определен: как мошенники используют виртуальные АТС

В парламенте и Минцифры обсуждают возможность ввести обязательную идентификацию пользователей этой услуги связи

Одним из популярных инструментов телефонных мошенников в последнее время стали виртуальные автоматические телефонные станции (ВАТС) — устройства, которые генерируют сотни городских номеров, сообщили «Известиям» в компаниях по кибербезопасности. Это вполне легальная услуга связи, которую может купить любое юридическое лицо. Но ею зачастую пользуются и преступники — например, если хотят, чтобы их звонки, идущие якобы с городских номеров, доверчивые граждане принимали за официальные. Проблема в том, что конечный пользователь, который с помощью ВАТС генерирует номера, неизвестен, отмечают эксперты. В Госдуме предложили ввести обязательную их идентификацию, но в Минцифры предложили обсудить эту инициативу с отраслевым сообществом операторов.

Что такое виртуальная АТС

Виртуальные автоматические телефонные станции стали одним из инструментов, которые активно используют мошенники, сообщили «Известиям» в компаниях по кибербезопасности.

Услугу виртуальной АТС предоставляют операторы проводной связи. Она позволяет компаниям, купившим такую услугу, пользоваться телефонной станцией через интернет без приобретения специализированного коммутационного оборудования — и их звонки отображаются как «городские». При поступлении такого звонка с виртуального номера пользователь считает, что ему звонят из какой-либо организации, и теряет бдительность, пояснил руководитель направления информационной безопасности iTPROTECT Кай Михайлов.

Виртуальный АТС — это IP-телефония, реализованная через интернет или какой-то сервис, пояснил директор компании «Интернет-розыск» Игорь Бедеров.

— Ключевой вопрос — на чьих мощностях и за чьи деньги хостится эта виртуальная АТС, — сказал он. — Ими пользуются и мошенники.

Юридические лица могут использовать с помощью ВАТС сотни номеров, рассказал «Известиям» член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин. И по его словам, сейчас нет возможности отследить, какой конкретно сотрудник пользуется номером, что создает условия для реализации мошеннических схем.

Для установки виртуальных АТС к операторам связи может обратиться юридическое лицо, напомнил главный эксперт «Лаборатории Касперского» Сергей Голованов.

— Чтобы получить эти услуги, компания должна будет предоставить учредительные документы, заключить договор. Если в какой-то момент обнаружится, что с такой АТС идет мошеннический трафик, только оператор сможет быстро идентифицировать это юридическое лицо и заблокировать ему все услуги связи, — пояснил он.

Будущее ВАТС

Виртуальные автоматические телефонные станции (ВАТС) в ближайшее время могут стать более привлекательными для мошенников, опасаются в Совете Федерации.

После принятия в августе этого года закона, ограничивающего количество сим-карт на одного пользователя, злоумышленники могут перейти от использования сим-боксов (устройство для работы большого количества сим-карт) к другим методам, сказал «Известиям» Артем Шейкин.

Согласно ограничениям, в 2025 году на гражданина России может быть зарегистрировано не более двадцати абонентских номеров, а на иностранца — не более десяти. Кроме того, пользоваться корпоративными сим-картами смогут только сотрудники организаций и ИП, работающие по договору, при условии внесения сведений в ЕСИА (Единая система идентификации и аутентификации). Операторы связи должны будут проверять достоверность сведений об абоненте до начала оказания ему услуг связи.

Поэтому, полагает Артем Шейкин, возрастет востребованность ВАТС у мошенников, которые будут искать альтернативные каналы для совершения преступлений.

Для операторов фиксированной связи, предлагающих компаниям услуги ВАТС, нужны такие же требования, как и для юридических лиц с сим-картами, считает сенатор. Соответствующее письмо он направил в департамент государственного регулирования рынка телекоммуникаций Минцифры (есть у «Известий»). Артем Шейкин предложил, чтобы в ЕСИА добавлялась и информация о трудоустройстве конечного пользователя ВАТС.

«В целях противодействия неправомерным действиям представляется важным распространить требования по конечной идентификации абонентов и на операторов фиксированной связи», — говорится в обращении.

А сейчас, отметил он, виртуальные номера не привязаны к конкретному человеку, что позволяет использовать их анонимно, создавая временные аккаунты.

Инициатива по идентификации абонентов ВАТС призвана повысить ответственность операторов сотовой связи и самих юридических лиц в том числе и за утечки данных, сказал «Известиям» первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев.

— Чаще всего, к сожалению, утечка персональных данных происходит не от первых лиц компании: директоров, замов и так далее. А условно от новых сотрудников, которые буквально недавно устроились на работу и получили доступ к той или иной базе персональных данных или информации, — отметил он.

Поэтому если виртуальные номера будут закреплены за конкретными лицами, работающими в компании, то найти правонарушителя будет намного легче, полагает он.

— Облегчается жизнь органов силовых структур и сотрудников внутренней службы безопасности, — сказал Антон Ткачев.

Минцифры отправило к операторам

Однако в Минцифры считают, что предлагаемую меру нужно дополнительно проработать с отраслевым сообществом. Это следует из ответа ведомства сенатору. Аналогичный ответ ведомство направило и на запрос «Известий».

При этом борьба с телефонным мошенничеством, фишинговыми сайтами, подменными номерами, серыми сим-картами — одни из приоритетов Минцифры, заверили в пресс-службе ведомства. Эти инициативы, в частности, войдут в новый нацпроект «Экономика данных и цифровая трансформация государства».

«Также совместно с ЦБ, МВД и другими ведомствами планируем создать единую антифрод-платформу, которая позволит обеспечить онлайн-взаимодействие госорганов, банков, операторов связи, цифровых платформ для борьбы с телефонным мошенничеством», — подчеркнули в министерстве.

Кай Михайлов из iTPROTECT отметил, что Роскомнадзор в последние годы далеко продвинулся в распознавании типа трафика.

— Допускаю, что может быть создана единая система блокировки виртуальных АТС при нарушениях с их адресов и при жалобах на мошенничество, — считает он.

Если удастся консолидировать усилия со стороны регуляторов, операторов связи, банков, то в ближайшем будущем может появиться полный запрет на продажу виртуальных АТС без идентификации пользователей, считает Кай Михайлов. По его мнению, это не позволит мошенникам массово использовать подобный инструментарий.