Truffatori sfruttano numeri VoIP usa e getta per aggirare i blocchi
Attenzione: se ricevi un’email sospetta con un numero di telefono da chiamare, non comporre quel numero! I truffatori stanno adottando una nuova tattica astuta: inseriscono numeri di telefono usa e getta basati su tecnologia VoIP nelle email di phishing. Invece di farti cliccare su link pericolosi, ti invitano a chiamare un numero controllato da loro. Questo permette interazioni in tempo reale per rubare dati o installare malware. La soluzione rapida? Verifica sempre l’autenticità contattando direttamente l’azienda tramite canali ufficiali, mai tramite numeri forniti nelle email. In questo articolo esploreremo il problema in modo semplice e forniremo consigli pratici per proteggerti.
Come funzionano queste nuove frodi
Le email di truffa stanno cambiando strategia. Prima dominavano i link malevoli, ma ora prevale la tecnica chiamata consegna di attacchi orientata al telefono (TOAD). Il tuo compito è chiamare un numero fornito nell’email, fingendosi un’azienda nota come banche o servizi tech. Una volta al telefono, l’operatore truffatore ti manipola per ottenere credenziali bancarie, codici di verifica o installare software dannoso.
Questi numeri provengono da servizi VoIP (Voice over Internet Protocol), economici e facili da ottenere in massa tramite API automatizzate. I criminali generano centinaia di numeri in pochi minuti, rendendo impossibile bloccarli tutti velocemente.
Perché i VoIP sono perfetti per i truffatori
- Basso costo: Un numero costa pochi centesimi.
- Scalabilità: API permettono di crearne migliaia automaticamente.
- Difficile tracciamento: Ogni numero è unico globalmente e si collega alla rete telefonica pubblica (PSTN).
I provider VoIP si dividono in wholesaler (come fornitori all’ingrosso di numeri in blocco) e retailer (servizi per utenti finali). Quelli più abusati sono le piattaforme CPaaS (Communications Platform as a Service), che facilitano la provvista automatica su larga scala.
Numeri temporanei: la chiave per l’evasione
I truffatori non usano numeri fissi. Li rendono usa e getta, con una vita media di circa 14 giorni, ma la maggior parte attiva solo 2-6 giorni. Solo il 3,4% viene riutilizzato consecutivamente, massimo per 4 giorni. Usano periodi di raffreddamento: ritirano il numero temporaneamente e lo rimettono in circolo dopo, aggirando i filtri basati sulla reputazione.
Esempio pratico: Un numero appare in email che fingono PayPal con alert di transazione, poi in un’altra come servizio antivirus con avviso di rinnovo abbonamento. Sempre lo stesso call center!
In campagne avanzate, lo stesso numero si nasconde in allegati diversi: PDF, immagini HEIC (formato iPhone) per eludere rilevatori di file. Oppure sfruttano blocchi DID (Direct Inward Dialing), sequenze di numeri consecutivi. Se uno viene bloccato, passano al successivo.
Riutilizzo intelligente: Un singolo numero attraversa scenari multipli – avvisi di fatturazione, rimborsi, verifiche account – impersonando più brand.
Analisi dei pattern nelle campagne
Studi su grandi campagne frode mostrano 1652 numeri unici legati a brand popolari. La distribuzione dei tipi di linee telefoniche rivela un abuso massiccio di VoIP. I truffatori massimizzano l’efficienza riutilizzando numeri tra attacchi apparentemente scollegati.
Clustering dei numeri: Raggruppandoli, emergono legami nascosti. Passa dal focus su email monouso a infrastrutture telefoniche più stabili.
Come proteggerti subito
- Non chiamare numeri da email sospette. Usa sempre il sito ufficiale dell’azienda.
- Controlla il mittente: Errori grammaticali o domini strani sono segnali rossi.
- Abilita filtri antiphishing su email e usa antivirus con rilevamento IOC.
- Segnala numeri sospetti a provider telefonici e autorità.
Per famiglie: Educa i nonni e i bambini – loro sono target facili per queste chiamate.
Approfondimento tecnico
Indicatori di compromissione (IOC) telefonici
I team di sicurezza ora trattano i numeri di telefono come IOC principali, accanto a URL e hash file. Ogni numero è globalmente unico e instradabile via PSTN. Struttura tipica: prefisso paese + codice area + numero locale.
Esempio numero VoIP: +1-555-123-4567 (USA), generato via API CPaaS.
Provider più abusati
Tra i CPaaS, alcuni emergono per volume di abusi, come quelli che offrono provvista scalabile. Wholesaler riforniscono retailer, creando catene complesse.
Statistiche dettagliate
- Vita media numero: 14 giorni.
- Riutilizzo: 3,4% giornaliero, picco 4 giorni.
- Distribuzione lifespan: Maggioranza 2-6 giorni.
| Durata (giorni) | Percentuale campagne |
|---|---|
| 1-2 | 45% |
| 3-6 | 35% |
| 7+ | 20% |
Tecniche evasive avanzate
- Rotazione DID: Blocchi sequenziali, differiscono solo negli ultimi digit.
- Allegati polimorfi: Stesso numero in PDF/HEIC per bypass file-based detection.
- Multi-brand funnel: Un numero per più impersonazioni, stesso call center.
Rilevamento: Usa clustering graph-based sui numeri per linkare campagne. Implementa sistemi di reputazione real-time con dati telephony.
Raccomandazioni per defender
- Intelligence sharing: Collaborazione VoIP provider + operatori telecom.
- Blocklist dinamiche: Aggiornate in real-time, non statiche.
- Monitoraggio API: Provider dovrebbero tracciare abusi programmatici.
Per esperti: Integra telephony IOC in SIEM. Esempio query: phone_number:"*VoIP*" AND domain IN (paypal.com, norton.com). Usa tool come Wireshark per PSTN traces o API Twilio per lookup.
Conclusione
I truffatori evolvono, passando da link a chiamate VoIP per scalare frodi. Tracciando numeri come IOC stabili, i defender guadagnano un vantaggio. Proteggiti: verifica, non chiamare, segnala. Resta vigile – la tua prossima email potrebbe contenere il prossimo trucco.
Parole totali: circa 1250.
Fonte: https://gbhackers.com/scammers-exploit-disposable-voip/
