ОСИНТ по номеру телефона: 7 легальных техник проверки контрагента (2026)

ОСИНТ по номеру телефона — это лукап публичной информации, которую владелец сам сделал общедоступной или которую закон обязал быть публичной. Это не «пробив» и не серая зона: B2B-compliance команды, антифрод-отделы, журналисты-расследователи и HR-скрининги делают такие проверки ежедневно, опираясь на ст. 6 ч. 1 п. 7 152-ФЗ и открытые источники.

В этой статье — 7 техник, каждую из которых разбираем по схеме: что именно возвращает, сколько стоит, в каком кейсе применять, и где проходит граница законности по ст. 137 УК РФ.

TL;DR

• 7 техник используют только публичные источники — никакого пробива у инсайдеров операторов или банков
• Что можно: HLR (активность SIM, оператор), регистрация в мессенджерах, публичные профили соцсетей, госреестры (ЕГРЮЛ, kad.arbitr.ru, ФССП), публичные утечки для аудита собственных рисков
• Что нельзя: ФИО без согласия, паспортные данные, билинг, переписка, закрытые операторские базы
• Главная рабочая связка: HLR + проверка мессенджера MAX + ЕГРЮЛ — даёт 85–90% покрытия для B2B-due-diligence за $0.02 на контрагента
• Юридическая база — 152-ФЗ ст. 6, граница — ст. 137 УК РФ

Содержание

1. HLR-lookup: оператор и активность SIM
2. Messenger lookup: MAX, Telegram, WhatsApp
3. Social-media: публичные профили VK, LinkedIn
4. Reverse phone lookup: Truecaller и аналоги
5. Госреестры: ЕГРЮЛ, kad.arbitr.ru, ФССП, банкроты
6. Публичные утечки для аудита своих рисков
7. Расширенная проверка с согласием субъекта
8. Decision tree: какую технику под какой кейс
9. Что является НЕЗАКОННЫМ
10. Этический фреймворк: 4 принципа

1. HLR-lookup: оператор и активность SIM {#hlr-lookup}

HLR (Home Location Register) — служебный запрос к сети мобильного оператора. По спецификации GSM возвращает:

• активна ли SIM (active / absent / unknown)
• MCC + MNC (страна и оператор)
• куда сейчас зарегистрирована SIM (включая роуминг)
• портирован ли номер через MNP (Mobile Number Portability) — особенно важно для РФ, где MNP действует с 2013 года

Что HLR НЕ возвращает: ФИО владельца, адрес, тариф, паспортные данные, билинг, IMSI. Это закрытые данные оператора, и любой сервис, обещающий их через «HLR-запрос», работает нелегально.

Стоимость: $0.005–0.015 за запрос у крупных провайдеров (Twilio Lookup, IPify, HLR Lookup Service). Латентность: 1–3 секунды синхронно.

Когда применять:

• антифрод-проверка перед SMS-OTP (отсеять виртуалы и неактивные SIM)
• валидация базы перед массовой рассылкой
• определение оператора для маршрутизации голосового обзвона

Стандарт описан в 3GPP TS 23.012 и Wikipedia: Home Location Register.

2. Messenger lookup: проверка регистрации в MAX, Telegram, WhatsApp {#messenger-lookup}

Самая ценная для маркетинга и антифрода техника. Лукап возвращает: зарегистрирован ли номер в конкретном мессенджере и — если пользователь сам сделал профиль публичным — публичные поля профиля (имя, фото, server ID, BIO, last seen).

Сравнение возвращаемых данных по мессенджерам:

Для MAX мы делаем это в Max Checker — $0.005 за номер со скидками до 60% на объёмах. Batch до 1М номеров/час. Для Telegram — ссылка https://t.me/+номер, для WhatsApp — https://wa.me/номер.

Юридический статус: лукап публичной части мессенджера законен — это запрос к публичному сервису того, что пользователь сам разрешил видеть посторонним. Это аналог открытия публичного профиля во ВКонтакте. Применяется в антифрод-онбординге, проверке контрагентов и очистке базы перед рассылкой.

3. Social-media: публичные профили VK, LinkedIn {#social-media}

Если номер привязан к публичному аккаунту в социальной сети, и владелец явно разрешил поиск по номеру, это видно через стандартный поиск платформы:

• VK — vk.com/search ищет тех, кто сам разрешил поиск по номеру в настройках приватности
• LinkedIn — Sales Navigator делает это легально для B2B-prospecting, $79/месяц
• Facebook* (Meta признана экстремистской в РФ) — поиск по номеру отключён с 2019; работает только email-cross-match через рекламный кабинет Audience Match
• Одноклассники — публичный поиск работает, ограничения настройками приватности

Юридический статус: ручной поиск через стандартный UI платформы — законен (вы пользователь публичного сервиса). Незаконно: автоматизированный массовый перебор с обходом rate-limit и ToS платформы — нарушение пользовательского соглашения, риск гражданских исков по неосновательному обогащению, в массовых случаях — ст. 272 УК РФ (неправомерный доступ к компьютерной информации с обходом средств защиты).

4. Reverse phone lookup: Truecaller, GetContact и аналоги {#reverse-phone}

Сервисы вроде Truecaller, Kaspersky Who Calls, GetContact работают по принципу краудсорсинга: миллионы пользователей мобильных приложений делятся адресной книгой, сервис строит обратный индекс «номер → как его записал кто-то в контактах».

Что возвращает: имя владельца «глазами других людей» — то, как этот номер сохранён в записных книжках совершенно посторонних. Часто это имя, иногда нет ничего, иногда — «спам», «банк», «мошенник».

Юридический статус в РФ — серая зона. Формально вы не запрашиваете закрытых данных оператора, вы запрашиваете публичный краудсорсинг. Технически — видите ФИО владельца глазами третьих лиц. Использование для бизнес-решений, требующих доказательной базы (отказ в кредите, блокировка аккаунта), — юридически рискованно: данные нельзя верифицировать у источника, что подразумевается ст. 5 ч. 6 152-ФЗ (достоверность).

Стоимость: Truecaller Premium $5/мес, Truecaller API — от $200/мес для бизнеса. Когда применять: дополнительный сигнал для антифрод- скоринга (но не блокирующий), маркетинговый research как «one of many signals».

5. Госреестры: ЕГРЮЛ, kad.arbitr.ru, ФССП {#gos-registries}

В России публично и бесплатно доступны:

• ЕГРЮЛ / ЕГРИП — egrul.nalog.ru — телефон директора, ИНН, ОГРН, юридический адрес. Часто в карточке ИП — личный мобильный
• Реестр банкротов — bankrot.fedresurs.ru — по ФИО + дате рождения, иногда по номеру в материалах дела
• Сайты госзакупок — zakupki.gov.ru — контактные данные участников торгов
• Картотека арбитражных дел — kad.arbitr.ru — телефоны представителей и сторон в карточках дел
• ФССП — fssp.gov.ru — поиск исполнительных производств по ФИО + дате рождения

Эти источники возвращают связки в направлении «ФИО+ИНН → телефон» в публичной выписке, реже — обратное направление. По 152-ФЗ публикация этих данных регламентирована законами «О гос. регистрации юрлиц», «О несостоятельности (банкротстве)», ГПК и АПК.

Когда применять: B2B-due-diligence перед сделкой, проверка контрагента, KYC при открытии счёта, защита от мошенничества через подставные юрлица. Эта связка обязательна в compliance-процедурах любого банка и крупного B2B-SaaS.

6. Публичные утечки для аудита своих рисков {#public-leaks}

Базы данных, попавшие в открытый доступ из-за инцидентов безопасности (утечки СДЭК 2024, Яндекс.Еды 2022, и т.д.). Использование таких баз строго регламентировано:

• Легально: проверка попадания собственных данных в утечки (мониторинг своих email/номеров), аудит собственных доменов на наличие скомпрометированных аккаунтов сотрудников
• Легально: агрегированные индикаторы наличия номера в утечках как сигнал антифрод-скоринга (без раскрытия деталей)
• Незаконно: обогащение коммерческой базы рассылок данными из утечек (нарушение 152-ФЗ ст. 5 ч. 1 — законность сбора + ст. 6 — правовое основание), это ст. 13.11 КоАП и при умысле — 137 УК РФ

Сервисы для собственного аудита:

• Have I Been Pwned — стандарт индустрии, есть API для корпоративных подписок (hibp-api-key)
• Firefox Monitor — на базе HIBP, для индивидуального аудита
• DeHashed — платный, более полный, требует осторожности в legal review

7. Расширенная проверка с согласием субъекта {#with-consent}

Если у вас есть бизнес-сценарий с явным согласием клиента на расширенную проверку (KYC по 115-ФЗ, открытие счёта, выдача SIM, оформление страхового полиса), вы можете получить через MNP-сертификаты, банковский AML и интегрированные операторские API:

• полные данные владельца SIM
• историю смены оператора
• статус активности расширенный

Это не ОСИНТ, а легальная коммерческая проверка с согласием — часто путают. Доступна только организациям, имеющим лицензию на соответствующую деятельность (банковская, страховая, телеком, финансовая) и заключившим соглашение с оператором или квалифицированным аналогом.

8. Decision tree: какую технику под какой кейс {#decision-tree}

Сводная матрица, кому что применять:

Сводная таблица 7 техник:

9. Что является НЕЗАКОННЫМ {#illegal}

Граница принципиальная, и в 2024–2025 годах в РФ были реальные приговоры по статьям ниже:

1. Покупка выгрузок данных абонентов у инсайдеров операторов связи — ст. 183 УК РФ (незаконные получение и разглашение коммерческой, налоговой или банковской тайны) до 7 лет лишения свободы при крупном ущербе. Это и есть «пробив»
2. Неправомерный доступ к компьютерной информации с обходом средств защиты — ст. 272 УК РФ, до 7 лет при отягчающих
3. Нарушение неприкосновенности частной жизни — ст. 137 УК РФ, до 5 лет при использовании служебного положения — если умысел на сбор и распространение
4. Незаконное распространение персональных данных — ст. 13.11 КоАП, штрафы для юрлиц 60–800 тыс. ₽ (с 2025 года — до 18 млн ₽ при крупном ущербе по ФЗ-420)

Подробнее с цитированием статей — в материале 152-ФЗ и проверка номеров.

10. Этический фреймворк: 4 принципа {#ethics}

Любая работа с публичной информацией о людях требует дисциплины. Четыре принципа, по которым работают зрелые compliance-команды:

1. Legitimate interest. Чёткая бизнес-цель: антифрод, защита прав, исполнение договора. Не сталкинг, не «найти бывшего», не «собрать базу для перепродажи».

2. Proportionality. Объём собранных данных пропорционален цели. Для антифрод-онбординга достаточно HLR + messenger lookup; не нужны ЕГРЮЛ-выписки и история арбитражей.

3. Transparency. В политике конфиденциальности явно описано, какие проверки делаются и на каком основании по 152-ФЗ. Субъект может это прочитать и понять.

4. Data retention. Результаты проверок хранятся ровно столько, сколько нужно для бизнес-цели. Антифрод-скоры — 90–180 дней. Логи проверок — год для регулятора. После — удаление.

Применение этих принципов превращает потенциально-серую активность («проверять людей по номеру») в стандартную compliance-операцию, которую не стесняются описывать в публичных документах.

Сравнение инструментов 2026

Из платных API-сервисов и связок в 2026 году для российских операторов лучше всего работают:

• HLR + Max Checker — базовая антифрод-связка, $0.01–0.02 на субъекта, синхронно за 1–2 секунды. Сценарии: SaaS-онбординг, МФО, e-commerce
• ЕГРЮЛ + kad.arbitr.ru + Max Checker — B2B-due-diligence, бесплатно
  • $0.005, минуты. Сценарии: проверка контрагента перед сделкой, compliance-onboarding
• LinkedIn Sales Navigator + Max Checker — B2B-prospecting и outbound, $79/мес + $0.005 на лид. Сценарии: SDR / sales-ops
• ФССП + публичные соцсети + Max Checker — HR-screening, бесплатно + $0.005. Сценарии: проверка кандидата перед оффером

Полезные материалы

• 152-ФЗ и проверка номеров — что можно, что нельзя
• Антифрод по номеру в B2B SaaS
• Как узнать имя по номеру MAX (легально)
• Что такое last seen в MAX
• Use-case: антифрод
• Тарифы Max Checker

Об авторе

Команда CheckMaxApp с 2024 года работает с compliance-отделами B2B-SaaS, МФО и e-commerce-платформ по антифрод-проверкам и due-diligence по телефонным номерам. На 2026 год через инструмент прошло более 14 млн проверок номеров в публичных мессенджерах. Команда консультирует клиентов по соответствию 152-ФЗ при работе с публичной информацией и сотрудничает с юридическими партнёрами по compliance-обзорам процессов.