Le campagne di phishing stanno cambiando pelle. Non si tratta più solo di link malevoli da cliccare: secondo un’analisi di Cisco Talos, i truffatori puntano sempre più spesso a un contatto diretto con la vittima, via telefono.
Lo strumento? Email che imitano comunicazioni ufficiali di aziende come PayPal, Norton LifeLock, Geek Squad o McAfee, false fatture, rinnovi di abbonamenti, avvisi di pagamento sospetti , con un numero di telefono bene in evidenza e un messaggio chiaro: chiama subito, o perderai dei soldi.
Dall’altra parte del filo, ovviamente, non c’è nessun servizio clienti. C’è un truffatore.
Il business dei numeri VoIP
Il vero motore di questa evoluzione è l’infrastruttura VoIP. I servizi di telefonia su IP permettono di acquistare grandi quantità di numeri virtuali a costi irrisori e di ruotarli rapidamente appena vengono segnalati. Cisco Talos ha individuato oltre 1.600 numeri unici utilizzati nell’arco di poche settimane, spesso in blocchi sequenziali.
Il risultato è un sistema scalabile, difficile da tracciare e quasi invisibile ai filtri anti-spam tradizionali. Paradossalmente, però, proprio i numeri telefonici stanno diventando uno degli strumenti più utili agli investigatori: a differenza di domini ed email usa-e-getta, tendono a essere riutilizzati, rivelando connessioni tra campagne apparentemente distinte.
Come evitano i filtri di sicurezza
I truffatori non inseriscono i numeri nel testo dell’email — li nascondono dentro PDF, immagini e documenti allegati, dove le scansioni automatiche faticano ad arrivare. A questo si aggiunge l’uso di API e piattaforme cloud per lanciare nuove campagne in tempi rapidissimi e a costi minimi.
La telefonata come arma
Una volta che la vittima chiama, il gioco si fa molto più pericoloso. La voce umana abbassa le difese: i falsi operatori possono fare leva su urgenza, paura e autorevolezza del marchio impersonato per convincere l’utente a installare software di controllo remoto, condividere password, comunicare dati bancari o fornire codici di autenticazione.
È social engineering allo stato puro, ma in tempo reale.
Come riconoscerle
Cisco Talos è chiara su un punto: nessuna azienda legittima chiede di installare software o condividere credenziali tramite supporto telefonico non richiesto. Ogni email che spinge a chiamare un numero sconosciuto, segnala pagamenti urgenti o usa toni allarmistici merita massima diffidenza.
Il phishing classico era già difficile da gestire. Questa nuova generazione di truffe ibride — che combina email, telefonate, VoIP e strumenti cloud — lo è ancora di più. Il vettore d’attacco non è più un link: è una conversazione.
