Из технических проблем здесь только "как непойми кому сказать, какой телефонный номер у того, кто зашёл на эту страничку".
Проблема решается просто, тупо и в лоб.
Владелец странички заключает договор с оператором связи, мол, хочу видеть телефонные номера заходящих ко мне людей, законы читал, зуб даю - гадить не буду.
После этого, начинает работать операторский DPI.
Как правило, в DPI реализован набор Application Level Gateway (ALG) для наиболее популярных протоколов: HTTP, FTP, DNS. Если по-русски, то ALG - это прозрачный прокси.
Какой телефонный номер у абонента, DPI знает: если DPI встроен в GGSP/PGW (это типа BRAS, но с мобильной спецификой), то знает изначально, а если это отдельная коробка, то получает связку ip-адрес -> телефонный номер, например, по тому же RADIUS. Или же, если DPI включен в разрыв между SGSN и GGSN/SGW и PGW (бывает и такое), подглядывает абонентский номер из полей GTP-C.
В общем, DPI абонентский телефонный номер каким-то образом узнал.
А дальше он его попросту добавляет в виде отдельного HTTP-заголовка в HTTP-запросы к целевой страничке.
Да, в качестве защиты от Злобного хакера где-то посередине, иногда телефонный номер шифруется, дабы никто, кроме владельца странички, разобрать его не мог.
Закрыть такую возможность можно одним способом: сделать абонентский трафик для оператора связи нечитаемым.
Это:
- отказ от HTTP и переход на HTTPS, либо
- работа исключительно через VPN