Nuove minacce via email: l'evoluzione del TOAD e l'uso strategico dei numeri VoIP
Le minacce via email stanno evolvendo con una tattica definita Telephone-Oriented Attack Delivery (TOAD), in cui gli aggressori spostano intenzionalmente le vittime da una comunicazione scritta a una conversazione vocale in tempo reale. Questo approccio sfrutta call center fraudolenti organizzati in modo impeccabile e credibili, capaci di manipolare gli utenti per indurli a rivelare dati sensibili o a installare software malevoli.
L'analisi di Cisco Talos
Cisco Talos, il centro di intelligence sulle minacce di Cisco, ha approfondito questa tendenza esaminando i numeri di telefono contenuti nelle email e nei messaggi, trattandoli come indicatori di compromissione utili per rivelare le infrastrutture nascoste dietro le operazioni organizzate di scam. La ricerca ha identificato i numeri telefonici e il riuso strategico delle numerazioni VoIP, mettendo in luce un ecosistema organizzato capace di aggirare i filtri tradizionali per settimane.
Dati e statistiche
L'analisi condotta da Cisco Talos tra il 26 febbraio e il 31 marzo 2026 ha rivelato che il 55% dei numeri utilizzati nelle campagne fraudolente è di tipo VoIP, grazie alla facilità di acquisizione tramite API e ai costi ridotti che consentono operazioni di massa difficili da tracciare. I numeri cellulari rappresentano il 31% del campione analizzato, mentre le linee fisse si attestano al 14%, impiegate principalmente per simulare una legittimità locale impersonando banche, enti pubblici o uffici governativi.
La ricerca ha permesso di identificare 1.652 numeri unici, con il 3-4% circa di essi utilizzati per un numero di giorni consecutivi sufficienti a condurre le vittime nelle trappole ordite, prima di essere messi in pausa per periodi variabili tesi a evitare che i servizi di reputazione li segnalino come fraudolenti.
L'offensiva TOAD
Un'offensiva Telephone-Oriented Attack Delivery mira a spostare il canale di comunicazione dall'email a una conversazione telefonica, scenario nel quale gli aggressori utilizzano l'interazione vocale per manipolare psicologicamente le vittime con maggiore efficacia. La vittima riceve un'email o un messaggio che, di norma, oltre a impersonare un'azienda nota, ha un tono allarmante e perentorio, annunciando un evento quale un finto addebito da centinaia di euro e spingendola a chiamare un numero di telefono per annullare la transazione.
Gli attaccanti prediligono numeri a cui telefonare perché i link possono essere bloccati dai filtri antispam, mentre i numeri telefonici possono essere inseriti in immagini che gli antivirus non intercettano come pericolose.
Le sfide per le organizzazioni
Il TOAD ribalta il modello tradizionale del phishing, rendendo il messaggio un pretesto che invita l'utente a chiamare un numero per risolvere una problematica. Questo consente alle email di superare con maggiore facilità i filtri antispam e controlli automatici, spostando il focus dell'attacco sulla conversazione telefonica in tempo reale dove entrano in gioco pressione psicologica, urgenza e social engineering adattivo.
Molte organizzazioni risultano ancora impreparate al TOAD, poiché gran parte delle difese aziendali è progettata per intercettare indicatori tecnici statici e tradizionali.
Strategie di difesa
La difesa contro gli attacchi di questo tipo impone un cambio di paradigma che sposta l'attenzione dagli indirizzi email dei mittenti ai numeri di telefono, trattandoli come veri e propri indicatori di compromissione. È essenziale implementare sistemi di monitoraggio della reputazione in tempo reale e creare database centralizzati capaci di tracciare e segnalare le numerazioni ad alto rischio su più piattaforme attraverso la correlazione delle campagne.
La sicurezza collettiva dipende anche dalla collaborazione attiva tra i fornitori di telecomunicazioni e di servizi VoIP per la condivisione di intelligence sulle infrastrutture telefoniche malevole. La difesa più efficace è anche la più semplice: non chiamare numeri presenti in messaggi sospetti, usare solo contatti ufficiali trovati sul sito reale dell'azienda emulata dagli attaccanti e non installare software suggeriti al telefono da sconosciuti.
Limitazioni tecniche
Ci sono limiti tecnici irrisolti nella detection basata sulla reputazione telefonica, come spiega Salvatore Lombardo: "I sistemi di scoring funzionano bene contro numerazioni già note o riutilizzate, ma gli attori criminali sfruttano infrastrutture VoIP estremamente dinamiche, numeri temporanei, spoofing del caller ID e rotazione continua delle numerazioni. Questo riduce drasticamente la finestra temporale utile per classificare un numero come malevolo. Inoltre manca ancora un sistema globale e interoperabile di threat intelligence in ambito telefonico paragonabile a quello esistente per domini IP e URL".
L'evoluzione del TOAD nel panorama cybercriminale
Il TOAD rappresenta una delle evoluzioni più significative nel panorama delle minacce informatiche degli ultimi anni. La sua diffusione è legata alla capacità degli attori criminali di adattarsi rapidamente alle contromisure tecnologiche. Questo tipo di attacco è particolarmente efficace perché sfrutta la fiducia innata che gli utenti ripongono nelle comunicazioni vocali rispetto a quelle scritte.
Impatto economico e sociale
Le conseguenze del TOAD non si limitano al singolo utente truffato. Le organizzazioni che subiscono attacchi di questo tipo possono incorrere in perdite finanziarie significative, danni alla reputazione e violazioni di dati sensibili. Inoltre, l'aumento di questi attacchi sta creando un clima di sfiducia generale verso le comunicazioni digitali.
Tecnologie emergenti e nuove minacce
Con l'avvento delle tecnologie di intelligenza artificiale e machine learning, gli attacchi TOAD stanno diventando ancora più sofisticati. Gli attori criminali stanno sperimentando con chatbot avanzati e sistemi di riconoscimento vocale che possono simulare conversazioni umane in modo convincente. Questo rende ancora più difficile per le vittime riconoscere una chiamata fraudolenta.
Il ruolo delle autorità e delle normative
Le autorità di regolamentazione stanno iniziando a prendere sul serio la minaccia rappresentata dal TOAD. In molti paesi, sono in discussione nuove normative che obbligherebbero i fornitori di servizi telefonici a implementare misure di sicurezza più robuste e a collaborare più strettamente con le forze dell'ordine. Tuttavia, l'implementazione di queste misure richiede tempo e risorse.
Casi studio e analisi di attacchi reali
Uno studio recente ha analizzato un caso di TOAD che ha preso di mira un'azienda finanziaria. Gli attaccanti hanno utilizzato un numero VoIP temporaneo per contattare i dipendenti, simulando una chiamata da un numero interno. Grazie a un'attenta analisi delle chiamate inbound, l'azienda è riuscita a identificare e bloccare l'attacco in tempo.
Strumenti di difesa avanzati
Oltre alle misure preventive già menzionate, esistono strumenti avanzati che possono aiutare a identificare e bloccare le chiamate fraudolente. Tra questi, i sistemi di analisi del traffico vocale in tempo reale e i database di numeri sospetti. Tuttavia, questi strumenti richiedono un investimento significativo in termini di tecnologia e competenze.
Formazione e consapevolezza
La formazione degli utenti è una delle armi più efficaci contro il TOAD. Le organizzazioni dovrebbero investire in programmi di sensibilizzazione che insegnino ai dipendenti a riconoscere i segnali di un attacco e a seguire le procedure di sicurezza. La simulazione di attacchi è un metodo particolarmente efficace per testare la prontezza degli utenti.
Prospettive future
Il TOAD è destinato a evolversi ulteriormente, con l'adozione di tecnologie sempre più avanzate. Tuttavia, la crescente consapevolezza e la collaborazione tra settori pubblico e privato possono aiutare a mitigare l'impatto di queste minacce. La chiave del successo risiede nella capacità di adattarsi rapidamente e di anticipare le mosse degli attaccanti.
Il TOAD rappresenta una sfida significativa per la sicurezza informatica, ma non è insormontabile. Con le giuste misure preventive, strumenti avanzati e una formazione adeguata, le organizzazioni possono proteggersi efficacemente da questo tipo di attacco. La collaborazione tra settori e l'adozione di normative rigorose saranno fondamentali per garantire un futuro più sicuro.
Nota Editoriale e Disclaimer
Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.
GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.
Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.
Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.