Le attuali minacce via email si sono evolute attraverso la tattica definita Telephone-Oriented Attack Delivery (TOAD), in cui gli aggressori spostano intenzionalmente la vittima da una comunicazione scritta a una conversazione vocale in tempo reale, gestita da call center fraudolenti organizzati in modo impeccabile e quindi credibili, capaci di manipolare gli utenti per indurli a rilevare dati sensibili o a installare software malevoli.
Una tendenza che Cisco Talos – centro di intelligence sulle minacce di Cisco – ha approfondito esaminando i numeri di telefono contenuti nelle email e nei messaggi, trattandoli come indicatori di compromissione utili per rivelare le infrastrutture nascoste dietro le operazioni organizzate di scam.
Il lavoro svolto da Cisco Talos identifica i numeri telefonici e il riuso strategico delle numerazioni VoIP per fare luce su un ecosistema organizzato capace di aggirare i filtri tradizionali per settimane.
L’adozione di difese basate sull’intelligenza artificiale permette oggi di neutralizzare queste campagne di scam agendo direttamente sulle loro fondamenta operative.
Gli attaccanti puntano sull’interattività, un cambiamento in corso che Salvatore Lombardo, esperto ICT e membro Clusit, ci aiuta a descrivere.
Indice degli argomenti
La tecnologia VoIP e i call center fraudolenti
Dall’analisi condotta da Cisco Talos tra il 26 febbraio e il 31 marzo 2026 emerge che il 55% dei numeri utilizzati nelle campagne fraudolente è di tipo VoIP, tecnologia scelta dagli attaccanti grazie alla facilità di acquisizione tramite API e grazie ai costi ridotti che consentono operazioni di massa difficili da tracciare.
Al contrario, i numeri cellulari rappresentano il 31% del campione analizzato, mentre le linee fisse si attestano al 14%, impiegate principalmente per simulare una legittimità locale impersonando banche, enti pubblici o uffici governativi.
La ricerca ha permesso di identificare 1.652 numeri unici che, in misura del 3-4% circa, vengono utilizzati per un numero di giorni consecutivi sufficienti a condurre le vittime nelle trappole ordite, prima di essere messi in pausa per periodi variabili tesi a evitare che i servizi di reputazione li segnalino come fraudolenti.
Per condurre in porto le operazioni, i gruppi criminali tendono ad acquistare grandi blocchi di numeri sequenziali che consentono l’automazione delle telefonate e aggirano il blocco di un numero di telefono, sia questo applicato dai carrier telefonici o dall’utente finale.
Come funziona un Telephone-Oriented Attack Delivery
Un’offensiva Telephone-Oriented Attack Delivery mira a spostare il canale di comunicazione dall’email a una conversazione telefonica, scenario nel quale gli aggressori utilizzano l’interazione vocale per manipolare psicologicamente le vittime con maggiore efficacia, inducendole a rivelare informazioni sensibili, a effettuare pagamenti non dovuti o a installare software dannosi sui rispettivi sistemi.
La vittima riceve un’email o un messaggio che, di norma, oltre a impersonare un’azienda nota, ha un tono allarmante e perentorio, annunciando un evento quale un finto addebito da centinaia di euro e spingendola a chiamare un numero di telefono per annullare la transazione.
Al posto di inserire nelle email link sui quali cliccare, gli attaccanti prediligono numeri a cui telefonare, perché i primi possono essere bloccati dai filtri antispam mentre i numeri telefonici possono essere inseriti in immagini che gli antivirus non intercettano come pericolose.
Un paradigma nuovo che lascia le organizzazioni impreparate. Infatti, come sottolinea Salvatore Lombardo: “Gli attaccanti hanno capito che il punto critico per le loro campagne di phishing non è più tanto come far arrivare un messaggio, ma piuttosto convincere la persona a fidarsi. Il TOAD ribalta infatti il modello tradizionale del phishing.
Il messaggio diventa solo un pretesto che invece di contenere un link o un allegato malevolo, invita l’utente a chiamare un numero per risolvere una problematica.
Ciò consente innanzitutto alle e-mail di superare con maggiore facilità filtri antispam e controlli automatici e di spostare il focus dell’attacco sulla conversazione telefonica in tempo reale dove entrano in gioco pressione psicologica, urgenza e social engineering adattivo.
Quindi l’attacco diventa interattivo perché il criminale può adattare il discorso in tempo reale in base alle reazioni della vittima.
In questo senso non sorprende che molte organizzazioni risultino ancora impreparate al TOAD, poiché gran parte delle difese aziendali è ancora progettata per intercettare indicatori tecnici statici e tradizionali”.
Come difendersi dai call center fraudolenti
La difesa contro gli attacchi di questo tipo impone un cambio di paradigma che sposta l’attenzione dagli indirizzi email dei mittenti ai numeri di telefono, trattandoli come veri e propri indicatori di compromissione.
È essenziale implementare sistemi di monitoraggio della reputazione in tempo reale e creare database centralizzati capaci di tracciare e segnalare le numerazioni ad alto rischio su più piattaforme attraverso la correlazione delle campagne. La sicurezza collettiva dipende anche dalla collaborazione attiva tra i fornitori di telecomunicazioni e di servizi VoIP per la condivisione di intelligence sulle infrastrutture telefoniche malevole.
La difesa più efficace è anche la più semplice, ossia non chiamare numeri presenti in messaggi sospetti, usare solo contatti ufficiali trovati sul sito reale dell’azienda emulata dagli attaccanti e non installare software suggeriti al telefono da sconosciuti.
Va da sé che, in aggiunta, è fuori da ogni logica comunicare credenziali d’accesso o codici temporanei al telefono. Inoltre, se un messaggio o una telefonata hanno toni allarmistici ed esercitano fretta o pressione psicologica, ci si trova quasi certamente davanti a una truffa.
Le soluzioni per le aziende
Sul mercato diversi vendor – e Cisco è tra questi – propongono soluzioni che fanno leva sulle intelligenze artificiali e il Natural language processing (NLP) per esaminare le comunicazioni individuando i tentativi di social engineering prima che l’utente coinvolto compia azioni indesiderate.
Ci sono però limiti tecnici irrisolti nella detection basata sulla reputazione telefonica, come spiega Salvatore Lombardo: “I sistemi di scoring funzionano bene contro numerazioni già note o riutilizzate, ma gli attori criminali sfruttano infrastrutture VoIP estremamente dinamiche, numeri temporanei, spoofing del caller ID e rotazione continua delle numerazioni.
Questo riduce drasticamente la finestra temporale utile per classificare un numero come malevolo. Inoltre manca ancora un sistema globale e interoperabile di threat intelligence in ambito telefonico paragonabile a quello esistente per domini IP e URL”.
