Я работаю с мобильными сетями и хорошо знаю, как выглядит нормальное поведение телефона в эфире. Поддельная базовая станция имитирует сеть оператора, чтобы заставить аппарат подключиться к ней. После подключения злоумышленник получает идентификаторы абонента, влияет на режим связи, отслеживает перемещение, а иногда перехватывает часть трафика и сообщений. Чаще всего цель не «взлом телефона», а контроль над радиоинтерфейсом между аппаратом и сетью.
IMSI‑ловушка получила название от IMSI — международного идентификатора абонента в SIM-карте. В нормальном режиме сеть старается не запрашивать его без нужды и использует временные идентификаторы. Ложная сота ведет себя грубее: запрашивает IMSI, принуждает телефон перейти на 2G, отключает шифрование или создает условия, при которых аппарат сам выбирает менее защищенный режим. На экране телефона пользователь обычно не видит прямого предупреждения. Поэтому искать нужно косвенные признаки.
Признаки атаки
Первый тревожный сигнал — внезапное понижение сети. Если телефон уверенно работал в LTE или 5G, а потом без причины перескочил в 2G или 3G в месте с нормальным покрытием, я отношусь к этому внимательно. Сам по себе переход еще ничего не доказывает: связь у операторов устроена сложно. Но если переход повторяется в одном и том же месте, держится дольше обычного и совпадает с проблемами звонков или мобильных данных, риск уже реальный.
Второй признак — странное поведение голосовой связи. Поддельная станция нередко обслуживает только базовые процедуры регистрации и вызова. Тогда звонки срываются, соединение устанавливается медленно, интернет пропадает, USSD-запросы ведут себя нестабильно. Иногда телефон показывает высокий уровень сигнала, но качество связи при этом плохое. Для нормальной сети такая связка нетипична: сильный сигнал обычно сопровождается предсказуемой работой сервисов.
Третий сигнал — исчезновение шифрования на старых стандартах. В 2G защита слабее, а отключение шифрования возможно по воле сети. Обычный смартфон почти никогда не показывает это явно. Но служебные приложения для диагностики сети иногда выводят параметры соты, технологию доступа и смену идентификаторов. Если аппарат внезапно видит новую соту с необычным набором параметров, нестабильным кодом зоны или подозрительным приоритетом выбора, картину стоит проверить внимательнее. Я говорю именно о проверке, а не о поспешном выводе: в реальных сетях бывают ремонтные работы, перенастройка оборудования и временные сбои.
Четвертый признак — резкий рост расхода батареи без понятной причины в конкретной точке. При попытках регистрации на нестабильной или ложной станции телефон многократно повторяет обмен служебными сообщениями. Энергия уходит быстрее. По одному этому симптому ничего не определить, но в связке с провалами связи и прыжками между стандартами он полезен.
Как защититься
Самая практичная мера — отключить 2G, если телефон и оператор дают такую настройку. Для голоса и данных в LTE и 5G действуют более сильные механизмы взаимной аутентификации. Это не абсолютная защита, но ценность IMSI‑ловушки заметно падает. Если отключить 2G нельзя, хотя бы проверьте, не включается ли он как предпочтительный режим после обновления, сброса сети или смены SIM-карты.
Для чувствительных разговоров и переписки я советую опираться не на базовые сервисы оператора, а на приложения со сквозным шифрованием. При таком подходе перехват радиоканала не дает содержимое сообщений и звонков. Но метаданные — факт связи, время, примерное место — злоумышленник еще способен увидеть, если контролирует радиообмен. Полной невидимости мобильная сеть не дает.
Есть смысл следить за тем, какие разрешения и функции включены на устройстве. Если задача — снизить объем данных, уходящих наружу при подозрительной активности сети, на время можно отключить мобильные данные, Wi‑Fi Calling и автоматический выбор сети, а затем вручную выбрать оператора из списка. Ложная сота иногда выдает себя тем, что телефон перестает стабильно держаться за выбранную сеть или теряет регистрацию при ручной фиксации.
Я не советую ориентироваться на мифы вроде «поддельную станцию видно по полным делениям сигнала» или «она всегда стоит в машине рядом». Реальная атака выглядит прозаичнее. Гораздо надежнее смотреть на сочетание признаков: деградация стандарта связи, нестабильная регистрация, сбои сервисов, повторяемость в конкретной локации.
Если подозрение уже возникло
Сначала зафиксируйте обстановку. Полезно записать время, адрес, режим сети, уровень сигнала, поведение звонков и мобильного интернета. Если у вас есть приложение для чтения параметров соты, сохраните идентификаторы клетки, частоту и код сети. Потом сравните картину в соседней точке через несколько сотен метров. Поддельная станция нередко работает локально и теряет влияние после выхода из зоны атаки.
Дальше я бы переключил телефон в LTE/5G без 2G, заново зарегистрировал его в сети и проверил, повторяется ли проблема. Для разговоров и передачи файлов в подозрительном месте лучше временно использовать защищенные каналы поверх интернета либо отложить связь до выхода из зоны. Если есть второй аппарат другого производителя или с другой SIM-картой, сравнение поведения даст полезную развилку: проблема в конкретном устройстве, у оператора или в эфире вокруг.
При серьезном риске — слежка, давление, работа с чувствительной информацией — полезен отдельный телефон для поездок, минимальный набор приложений, новая SIM-карта под задачу и отключение лишних радиомодулей вне сеанса связи. Такой режим неудобен, зато сокращает площадь атаки. IMSI‑ловушка эффективна против предсказуемого поведения абонента. Когда аппарат реже раскрывает идентификаторы, меньше перемещает данные в фоне и не падает в 2G, злоумышленнику труднее получить результат.
Поддельная базовая станция опасна не загадочностью, а тем, что она пользуется штатной логикой сотовой связи. Телефон ищет сеть, доверяет сигналу оператора и старается сохранить доступность. Защита строится на обратном подходе: убрать лишнее доверие, ограничить слабые режимы и внимательно смотреть на повторяющиеся сбои, которые не укладываются в обычные проблемы покрытия.
