What is callback phishing or a TOAD attack?

Callback phishing, also called a TOAD (Telephone-Oriented Attack Delivery) attack, is a phishing technique where the email contains no malicious links or attachments. Instead, it includes a phone number and an urgent reason to call, like a fake subscription charge or invoice. When the victim calls, the attacker impersonates support staff and walks them through installing malware or handing over credentials.

How do you identify a callback phishing email?

Callback phishing emails typically contain a fake invoice or subscription renewal notice with an unusually high charge. They include a phone number as the only way to "cancel" or "dispute" the charge, and deliberately avoid links or attachments to bypass email security filters. The urgency is artificial. Legitimate companies always let you manage billing through their official website or app, not through a number buried in an unexpected email.

Rückruf-Phishing

Handle a fake invoice designed to make you call.

What Is Rückruf-Phishing?

Callback-Phishing (auch TOAD oder Telephone-Oriented Attack Delivery genannt) ist ein hybrider Angriff, der mit einer E-Mail beginnt und mit einem Telefonanruf endet. Im Gegensatz zu herkömmlichem Phishing enthält die Nachricht keinen schädlichen Link. Stattdessen stellt die E-Mail eine Rechnung, eine Abonnementverlängerung oder eine Kontobenachrichtigung dar und enthält eine Telefonnummer für den „Kundensupport“. Die Falle springt auf, wenn man sie wählt. In dieser Simulation erhalten Sie eine realistische Rückruf-Phishing-E-Mail mit der Behauptung, dass Ihrem Konto eine Gebühr in Höhe von 499,99 US-Dollar belastet wurde. Die Nachricht sieht sauber aus. Keine Tippfehler, keine verdächtigen Links, nichts, was Ihr Spam-Filter markieren würde. Ihre einzige Möglichkeit scheint darin zu bestehen, die angegebene Nummer anzurufen. Am anderen Ende führt Sie ein ausgebildeter Social Engineer durch die „Stornierung“ der Gebühr, was eigentlich die Übergabe des Remote-Desktop-Zugriffs oder Ihrer Anmeldedaten bedeutet. Sie üben, die E-Mail anhand von Callback-Phishing-Indikatoren zu bewerten: unerwünschte Rechnungen für Dienste, die Sie nie gekauft haben, fehlende Kontodaten, Telefonnummern, die nicht mit offiziellen Firmenverzeichnissen übereinstimmen, und künstliche Dringlichkeit bei Rechnungsfristen. Die Simulation deckt auch ab, was passiert, wenn Sie anrufen, sodass Sie die während des Gesprächs verwendeten Manipulationstaktiken erkennen können, einschließlich gefälschter Wartemusik, geskripteter Empathie und Schritt-für-Schritt-Anleitungen zur Installation von Fernzugriffstools.

What You'll Learn in Rückruf-Phishing

Erkennen Sie die Struktur einer Rückruf-Phishing-E-Mail, einschließlich gefälschter Rechnungen und eingebetteter Telefonnummern, die die linkbasierte Erkennung umgehen
Überprüfen Sie Rechnungsansprüche unabhängig auf offiziellen Unternehmenswebsites und bekannten Supportkanälen, bevor Sie antworten
Identifizieren Sie Gesprächsmanipulationstaktiken, die Angreifer am Telefon anwenden, wie z. B. skriptgesteuerte Dringlichkeit und falsche Beruhigung
Erfahren Sie, warum Callback-Phishing herkömmliche E-Mail-Sicherheitsfilter umgeht, die nach schädlichen URLs und Anhängen suchen
Befolgen Sie den Vorfallmeldeprozess Ihrer Organisation, wenn Sie auf einen mutmaßlichen TOAD-Angriff stoßen

Rückruf-Phishing — Training Steps

Ein arbeitsreicher Mittwoch

Es ist ein arbeitsreicher Mittwochnachmittag. Sie haben heute einen vollen Terminkalender – zwei Kundenanrufe heute Nachmittag und eine Geschäftsreise, die Sie für nächste Woche buchen müssen.
Der Betrugsalarm

Eine neue E-Mail kommt in Alices Posteingang an. Die Betreffzeile fällt ihr sofort ins Auge – etwas über ihre Firmenkarte.
Panik macht sich breit

Alices Herz rast. 2.847 US-Dollar sind ein beträchtlicher Betrag, und sie hat diesen Kauf definitiv nicht getätigt. In der E-Mail steht die Kontosperrung – das wäre bei der Kundenreise nächste Woche eine Katastrophe. Trotz der Warnsignale überwiegt Panik die Vorsicht. Alice schnappt sich ihr Telefon und wählt die Nummer aus der E-Mail: 1-888-445-9127 .
Identitätsprüfung

„Michael“ klingt professionell und beruhigend. Er bittet Alice, ihre Identität zu überprüfen, bevor sie über die Anklage sprechen können – ein Standardverfahren, erklärt er.
Das sichere Portal

Michael erklärt, dass Alice ihre Kartendaten über ihr „sicheres Online-Portal“ verifizieren muss, um den Betrugsanspruch abzuschließen. Er gibt eine URL an und bleibt in der Leitung, um sie durch den Prozess zu führen.
Öffnen des Portals

Alice öffnet ihren Browser und navigiert zu der von Michael angegebenen URL. Die Website sieht mit einem Firmenkartenlogo und einem sicher aussehenden Design professionell aus.
Durch das Formular geführt

Michael führt Alice durch das Formular auf dem Bildschirm und bittet sie, ihre vollständige Kartennummer, das Ablaufdatum und den Sicherheitscode einzugeben, um „die gefährdete Karte zu kennzeichnen und einen Ersatz auszustellen“.
Eingeben von Kartendetails

Alice gibt ihre Firmenkartendaten gemäß den Anweisungen von Michael am Telefon ein.
Das letzte Stück

Michael dankt Alice für ihre Geduld. Er erklärt, dass es „noch einen weiteren Schritt“ gibt: Sie müssen ihre Firmenbankdaten überprüfen, um zu prüfen, ob auch verknüpfte Konten kompromittiert wurden.
Bankzugangsdaten

Auf der Seite wird nun ein Formular angezeigt, in dem Sie nach dem Login für Alices Firmenbanking-Portal gefragt werden. Michael versichert ihr, dass dies der letzte Schritt zur Vervollständigung der Betrugsklage sei.

What Is Rückruf-Phishing?

What You'll Learn in Rückruf-Phishing

Rückruf-Phishing — Training Steps

Ein arbeitsreicher Mittwoch

Der Betrugsalarm

Panik macht sich breit

Identitätsprüfung

Das sichere Portal

Öffnen des Portals

Durch das Formular geführt

Eingeben von Kartendetails

Das letzte Stück

Bankzugangsdaten