Дисклеймер

Меня зовут Николай, я работаю проектировщиком в вентиляционной компании. Моя работа — это расчёты вентсистем, BIM-модели, чертежи в Revit и выезд на объекты. И разводил бы я дальше воздуховоды по комнатам, если бы в апреле мне не написал клиент, с которым я общался по проекту, с претензией, что кто-то слил его контакты. Он предположил, что это либо мои коллеги, либо я сам, потому что беспокоили его только конкуренты из сферы вентиляции.

Меня это немного задело. Потому что я точно ничего не сливал. Я вообще проектировщик, у меня других забот полно. Но за других я не мог ручаться. Что если среди нас реально есть недобросовестный сотрудник, который сливает данные?

Я рассказал об этом своему коллеге, и он ответил, что «это классика». Оказывается, жалоба моего клиента была далеко не первой. Я пошёл к тем, кто мог знать больше, но вместо ответов нашёл только больше вопросов. И на время забыл обо всём этом.

Спустя примерно месяц тайное стало явным — мы разобрались, кто сливает номера клиентов, и решили проблему. А в июле я захотел в подробностях рассказать об этом вам. Сразу отмечу, что к этой истории я причастен косвенно, поэтому мне пришлось «погулять» по старым задачам, взять интервью у коллег из разных отделов и сопоставить их хронологию событий, чтобы воссоздать картину полностью.

Так, в общем-то, и родился текст ниже. Это не официальная позиция компании, а я не программист и не безопасник. Я просто хотел понять, откуда у клиентов берутся эти звонки. И понял.

Пролог

Всё началось в начале марта, с сообщения в отдел контроля качества. Наш инженер переслал скрин переписки с клиентом. Текст был следующим:

Дальше — второй клиент. Потом третий. Все с одной и той же историей: оставляют нам заявку, а на следующий день им названивают какие-то ребята и предлагают то же самое.

Зачастую клиенты не спрашивали — они обвиняли. И их можно понять. Если вы позвонили в компанию, которую считаете экспертной, доверили свой номер, а через пару часов вам звонит непонятно кто… Естественно, вы думаете: «Эти ***** продали мой номер».

Всё это вполне логично, и некоторые компании действительно так поступают. Но для нас репутация — не пустой звук. И когда нам посыпались жалобы, мы лишь покачали головой и ответили, что ничем подобным не занимаемся. А потом пошли доказывать это сами себе — так и началось расследование.

Глава 1: Совесть чиста, но что насчёт кода?

Самая очевидная версия — утечка с сайта.

Первым делом мы подняли команду разработки. Поставленная задача звучала просто: найти, откуда утекают номера.

Начали с серверной части. Перерыли весь бэкенд: все обработчики форм, все вебхуки, все скрипты, которые принимают и передают данные. Проверили каждую строчку кода, которая имеет отношение к пользовательским данным. Потом проверили CRM-систему, где хранятся все заявки.

Процесс был долгим и нудным, а в итоге — ничего! Никаких подозрительных действий. Никаких попыток выгрузить базу. Никаких скриптов-шпионов. Сайт был чист. CRM — тоже.

Но жалобы продолжали поступать.

Глава 2: Кроткая охота на крота

Теория номер два — кто-то из сотрудников сливает номера вручную.

Мы перепроверили все логи. Кто мог иметь доступ к номерам? Менеджеры, инженеры, маркетологи, сервисная служба. Да все, кто работает с клиентами.

Но тут было одно «но». Скорость, с которой клиентам начинали звонить конкуренты, не совпадала с ручным сливом.

Некоторые клиенты говорили, что им перезванивали в течение нескольких минут после обращения к нам. Иногда даже до того, как наш менеджер успевал нажать кнопку «сохранить контакт».

За пару минут невозможно вручную найти номер в CRM, скопировать его, передать третьим лицам и организовать звонок. Значит, дело не в сотрудниках.

Это автоматика. Причём быстрая.

Глава 3: Паранойя крепчает, но мы копаем дальше

Если это автоматика, то какая?

Мы перебирали варианты:

  • Расширения браузера. Было предположение, что какое-то расширение может перехватывать данные форм. Проверили — нет.

  • Сторонние сервисы сбора номеров. Теоретически они существуют. Но у нас на сайтах и лендингах — защита. Скрипты не проходили.

  • Взлом колл-трекинга. Мы используем динамический коллтрекинг — номера подменяются в зависимости от источника. Возможно, кто-то перехватывает звонки?

Параллельно мы вспомнили, что зимой наш сайт пытались взломать. Мы задумались: вдруг это часть какой-то схемы? Может, всё-таки хакеры аккуратно оставили закладку?

На отдел разработки легла задача усилить безопасность. Они настроили CSP (политику безопасности контента), зашифровали IP, ограничили передачу данных об устройстве пользователя. Сделали всё, чтобы даже гипотетические скрипты не могли слить номер.

Мы немного выдохнули. И… спустя месяц очередная жалоба.

Глава 4: Москвичи были слепы, пока регионы смотрели

Клиент возмущён: он позвонил из региона в нашу сервисную службу, а после этого ему начали названивать с предложениями вентиляции. Всего с ним связались 6 раз за один день! Мы взяли этот случай под микроскоп и сперва попытались выяснить, кто все эти люди.

Попросили клиента предоставить номера, с которых его беспокоили. Но при попытке перезвонить по всем номерам — либо никто не отвечал, либо отвечал бот, а одна девушка вообще сказала, что это её личный номер, и моментально повесила трубку.

Тогда мы вернулись к варианту с коллтрекингом.

И вот первые зацепки! Оказалось, что у нас на сайте неверно работал коллтрекинг, который должен был подменять номер, но из-за ошибки в настройках это было актуально только для Москвы. Все клиенты из регионов и с VPN видели «голый» основной номер компании — без подмены.

Мы предположили, что основной номер уже давно был в какой-то базе, и решили проверить всё с нуля. Взяли новый номер телефона, который никогда не светился в нашей CRM. Никаких заявок, никаких контактов — чистый лист. Оставили заявку на нашем сайте с этого номера. Через некоторое время нам перезвонил наш инженер. Всё штатно. Больше никто не звонил.

Потом мы сделали второй шаг. С этого же нового номера мы позвонили на основной телефон компании, который какое-то время видели все, кроме москвичей. Поговорили с менеджером, задали пару вопросов, положили трубку.

И вот — звонок с незнакомого номера, причём довольно быстро. Мы взяли трубку. На том конце сказали: «Здравствуйте, вы интересовались вентиляцией?»

Совпадение? Нет. Закономерность.

Мы повторили эксперимент несколько раз с разными номерами. Результат всегда был одинаковым: если просто оставить заявку на сайте — никто кроме нас не звонит. Если позвонить на основной номер компании — через какое-то время поступают звонки от «других».

Гипотеза подтвердилась — мы нащупали причину. Оставалось только понять, кто и как это делает.

Глава 5: Операторы знают о вас всё — и продают это!

К нашему удивлению, ответ лежал на поверхности. И всё оказалось куда более прозаично, чем мы могли подумать.

Операторы связи запустили сервисы таргетированных обзвонов и рассылок.

МТС, МегаФон, Билайн, Ростелеком, Tеле2 — по клику можно перейти на страницы с этими предложениями.

Как это работает? Очень просто. Операторы знают о своих абонентах практически всё:

  • ваше имя, пол и возраст

  • модель телефона и тип устройства

  • географию ваших передвижений

  • места, куда вы звоните и откуда принимаете звонки

  • сайты и приложения, которые вы посещаете

  • время вашей активности в сети и категории интересов

  • объём расходов на связь и банковскую активность

Теперь представьте, что есть компания — производитель вентиляции. Есть её номер. Оператор видит, что на этот номер регулярно звонят люди. Оператор делает соответствующий вывод: «Ага, эти люди интересуются вентиляцией! Да это же потенциальные клиенты для любого, кто продаёт вентиляцию!»

Логично, правда?

Далее оператор предлагает другим компаниям (нашим конкурентам) купить таргетированный обзвон на этих людей. Конкурент выбирает параметры целевой аудитории, оператор подбирает абонентов по этим критериям, а затем ваш телефон начинает разрываться от звонков. Механика предельно простая и циничная.

Удобно, правда?

При этом сам номер телефона никуда не передаётся. Звонок идёт через инфраструктуру оператора, и конкурент даже не видит вашего номера.

Глава 6: «А какого ***? Это вообще законно?»

…спросите вы.

К сожалению, да. Всё происходит в рамках закона. По крайней мере, так считают операторы, и у них есть аргументы.

С 1 сентября 2025 года действует статья 44.1-1 Федерального закона «О связи». Вот что гласит первый пункт этой статьи:

То есть закон вроде бы защищает абонента — без явного согласия звонить нельзя. Но закон не устанавливает единых требований к форме согласия, и каждый оператор определяет её сам. Что конкретно считать «действиями, однозначно идентифицирующими абонента и позволяющими достоверно установить его волеизъявление» — остаётся на усмотрение оператора.

А теперь самое интересное!

Когда вы подключали сим-карту или устанавливали приложение оператора, то согласились на получение рекламных предложений. Как? Где-то глубоко в оферте был такой пункт. Среди множества других, которые вы, скорее всего, не читали или уже забыли.

Или вы случайно поставили галочку там, где не нужно. Или наоборот — не поставили. Разумеется, прямым текстом вас никто не предупредит, что вам будут надоедать десятки компаний, но фактически именно это и происходит. И вы на это подписались. А то, что вы не знали, на что подписываетесь — это уже ваши проблемы.

Вот пример такого пункта у МегаФон:

А вот пример от T2:

Обратите внимание, что вы можете отказаться от получения рекламы, как указано в скобках. Чтобы сделать это при заключении договора, вам нужно поставить галочку вот здесь:

Вы можете найти аналогичные схемы и у других операторов — формулировки могут слегка отличаться, но суть одна.

Далее. Из первого пункта статьи 44.1-1 следует, что вызовы признаются незаконными, если они были совершены без предварительного согласия от абонента. Но бремя доказывания лежит на звонящих — весьма удобно. На практике это означает, что если вы решите пожаловаться, оператор должен доказать, что вы давали согласие. И он докажет — той самой подписью, галочкой (или её отсутствием) в договоре. А у большинства абонентов нет ни времени, ни желания, чтобы это оспаривать.

Наконец, как я уже сказал, оператор не передаёт ваш номер рекламодателю — и это важная юридическая уловка. Звонок идёт через сеть оператора, ваши данные никуда не уходят, номер не разглашается, поэтому нет никаких нарушений Федерального закона «О персональных данных». По крайней мере, я понял это так.

Оператор просто использует свои внутренние алгоритмы и определяет, что человек интересуется вентиляцией. А затем предлагает другим компаниям позвонить ему. Формально — это не утечка персональных данных.

Но с точки зрения здравого смысла — это, конечно же, бред. Вы обращаетесь в конкретную компанию, а ваш собственный оператор решает: «А дай-ка я продам эту информацию другим, но косвенно». И вы получаете спам-звонки от непонятно кого.

Глава 7: Как уйти из-под прицела рекламных обзвонов?

Вот что гласит второй пункт статьи 44.1-1:

Мы не можем заставить операторов отказаться от таргетированного обзвона. И, честно говоря, это бесит. Но я могу рассказать вам, как защититься самостоятельно.

Ниже краткая инструкция, как отключить массовые рекламные прозвоны у каждого оператора:

МТС: Зайдите в личный кабинет или приложение, найдите услугу «Запрет массовых автоматизированных вызовов» и подключите её

МегаФон: Зайдите в личный кабинет или приложение, найдите услугу «Блокировка массовых вызовов» и подключите её

Билайн: Позвоните на горячую линию (8 800 700-06-11) или обратитесь в салон связи с запросом на отключение массовых вызовов / блокировку рекламных звонков

Ростелеком: Позвоните на горячую линию (8 800 100-08-00) с запросом на отключение таргетированных вызовов / блокировку рекламных звонков

Tele2: Зайдите в личный кабинет или приложение, напишите в чат поддержки запрос на отключение массовых вызовов. Или обратитесь в салон связи с аналогичным запросом и составьте заявление, только не забудьте взять паспорт

Глава 8: Загадка решена. Что дальше?

Я понимаю, что обо всём этом знают немногие. Для нас самих это стало открытием. Но мы постарались сделать всё, что в наших силах, чтобы прикрыть эту лавочку:

  1. Починили динамический коллтрекинг — теперь он работает для всех, независимо от региона и VPN

  2. Сменили основной номер телефона — на официальном сайте и на всех посадочных страницах

  3. Прозвонили новые номера на предмет слива — и убедились, что они чистые, когда не получили обратной связи от конкурентов

И — о чудо — с мая жалобы клиентов прекратились!

Это, безусловно, хороший знак. Однако нет гарантий, что новый номер навсегда решит проблему и конкуренты перестанут беспокоить наших клиентов. Вероятно, со временем операторы снова всё разнюхают, и нам снова будут приходить гневные сообщения.

Но мы не ждём у моря погоды и уже подготовили решение. Если хотя бы одна жалоба повторится, то мы поймём, что операторы снова вышли на наш след. И тогда мы планируем ввести поквартальную замену номеров, чтобы всегда быть на шаг впереди.

Эпилог

Всё началось с того, что я просто хотел разобраться, откуда берутся эти звонки. Разобрался — с задачей справился. А теперь ещё и поделился результатами с вами.

Вся эта ситуация — классическая подстава. Только подстава не от конкурентов, не от хакеров и даже не от своих. А от операторов, которым вы платите деньги за связь. Они же вас и продают. Косвенно, юридически чисто, но всё равно продают.

Я лишь не хотел, чтобы на меня или моих коллег вешали чужой косяк. И если бы мы не начали копать, клиенты так бы и думали, что мы торгуем номерами.

Сейчас я знаю правду. И вы знаете. Вот, в принципе, и всё.

Напоследок лишь скажу: отключайте массовые обзвоны и рассылки. И пусть вам звонят только те, кому вы действительно доверяете.

Спасибо за прочтение!

Комментарии (1)


  1. DennisP
    15.07.2026 12:15

    Там у них очень много интересных фильтров, в т.ч. по геолокации и посещенным сайтом. Вот было тут уже по этой теме: https://habr.com/ru/companies/timeweb/articles/861510/