Cisco Talos lancia l'allarme sull'uso dei numeri VoIP nelle truffe via email

Le tecniche di ingegneria sociale utilizzate dai criminali informatici continuano a evolversi, integrando strumenti di comunicazione tradizionali all'interno di complesse infrastrutture digitali. Una nuova analisi scientifica pubblicata da Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha rivelato un massiccio incremento dell'uso di numeri di telefono all'interno delle campagne di scam diffuse via email. Questa strategia mira a spostare il contatto con la vittima dal canale scritto a quello vocale, sfruttando l'attivazione di falsi call center e centri di supporto tecnico per aumentare la credibilità della truffa e rendere i tentativi di frode sensibilmente più difficili da intercettare da parte dei software di protezione aziendali.

I cybercriminali fanno un uso sistematico di numerazioni collegate a servizi VoIP (Voice over IP), che possono essere acquistati in grandi volumi sul web a costi minimi e gestiti in modo automatizzato tramite API. Le esche digitali analizzate dagli esperti simulano spesso l'invio di fatture, rinnovi automatici di abbonamenti o avvisi di pagamento non autorizzati a nome di marchi iconici e ad alta affidabilità come PayPal, McAfee, Norton LifeLock o Geek Squad. L'obiettivo dell'email non è spingere l'utente a cliccare su un link malevolo, bensì indurlo a chiamare il numero telefonico indicato per chiedere chiarimenti o bloccare l'addebito fittizio, avviando così un'interazione diretta basata sull'urgenza e sulla pressione psicologica.

Il monitoraggio effettuato dai ricercatori di Cisco Talos ha permesso di mappare le peculiarità tecniche di questa minaccia, evidenziando cinque elementi strutturali ricorrenti:

• Evasione dei filtri di sicurezza: Per evitare che i sistemi di protezione delle caselle email intercettino il testo fraudolento, i numeri di telefono vengono inseriti all'interno di allegati PDF o file immagine, eludendo i controlli testuali standard.

• Uso di blocchi sequenziali: I truffatori acquistano blocchi di numeri consecutivi. Non appena una numerazione viene segnalata dalle autorità o bloccata dagli operatori, l'infrastruttura criminale la sostituisce istantaneamente con quella successiva.

• Ciclo di vita ridotto: Le numerazioni restano attive per lassi di tempo estremamente brevi, una tattica che rende complessa l'attività di tracciamento in tempo reale.

• Riutilizzo cross-brand: I medesimi numeri VoIP vengono impiegati contemporaneamente in campagne differenti che impersonano marchi tra loro concorrenti.

• Pressione emotiva: Il contatto vocale diretto permette al truffatore di manipolare la vittima con maggiore efficacia rispetto a una chat, spingendola a installare software di controllo remoto o a dettare credenziali bancarie.

L'analisi di Cisco Talos evidenzia un importante cambio di paradigma sul fronte della difesa informatica. Se i tradizionali indicatori di compromissione (IoC) – come i domini web fasulli o gli indirizzi email dei mittenti – sono diventati volatili e soggetti a modifiche continue, i numeri di telefono rappresentano un elemento infrastrutturale più stabile. Anche se disattivati rapidamente, lo studio di oltre 1.600 numerazioni uniche ha dimostrato che la mappatura dei blocchi telefonici consente ai ricercatori di cybersecurity di collegare tra loro campagne di attacco apparentemente indipendenti, identificando i network criminali condivisi a livello globale. Per contrastare questo fenomeno, le aziende sono chiamate a integrare filtri di riconoscimento ottico dei caratteri (OCR) per scansionare le immagini allegate e a promuovere percorsi di formazione volti a diffondere una cultura del sospetto di fronte a sollecitazioni telefoniche non verificate.