What is callback phishing or a TOAD attack?

Callback phishing, also called a TOAD (Telephone-Oriented Attack Delivery) attack, is a phishing technique where the email contains no malicious links or attachments. Instead, it includes a phone number and an urgent reason to call, like a fake subscription charge or invoice. When the victim calls, the attacker impersonates support staff and walks them through installing malware or handing over credentials.

How do you identify a callback phishing email?

Callback phishing emails typically contain a fake invoice or subscription renewal notice with an unusually high charge. They include a phone number as the only way to "cancel" or "dispute" the charge, and deliberately avoid links or attachments to bypass email security filters. The urgency is artificial. Legitimate companies always let you manage billing through their official website or app, not through a number buried in an unexpected email.

Phishing di richiamata

Handle a fake invoice designed to make you call.

Cos’è Phishing di richiamata?

Il callback phishing (chiamato anche TOAD, o Telephone-Oriented Attack Delivery) e un attacco ibrido che inizia con un'email e termina con una telefonata. A differenza del phishing tradizionale, non c'e alcun link malevolo nel messaggio. Invece, l'email si presenta come una fattura, un rinnovo di abbonamento o un avviso sull'account, e include un numero di telefono per il 'servizio clienti'. La trappola scatta quando componi quel numero. In questa simulazione, ricevi un'email realistica di callback phishing che afferma che un addebito di 499,99 dollari e stato applicato al tuo account. Il messaggio appare pulito. Nessun errore di battitura, nessun link sospetto, niente che il tuo filtro antispam segnalerebbe. La tua unica opzione sembra essere chiamare il numero fornito. Dall'altra parte, un ingegnere sociale addestrato ti guida nella 'cancellazione' dell'addebito, che in realta significa cedere l'accesso al desktop remoto o le tue credenziali di login. Praticherai la valutazione dell'email rispetto agli indicatori del callback phishing: fatture non richieste per servizi che non hai mai acquistato, dettagli dell'account mancanti, numeri di telefono che non corrispondono alle directory ufficiali dell'azienda e urgenza artificiale intorno alle scadenze di fatturazione. La simulazione copre anche cosa succede se chiami, cosi potrai riconoscere le tattiche di manipolazione utilizzate durante la conversazione, inclusa musica d'attesa falsa, empatia da copione e istruzioni passo-passo per installare strumenti di accesso remoto.

Cosa imparerai in Phishing di richiamata

Riconoscere la struttura di un'email di callback phishing, incluse fatture false e numeri di telefono incorporati che aggirano il rilevamento basato sui link
Verificare le affermazioni di fatturazione in modo indipendente utilizzando i siti web ufficiali dell'azienda e i canali di supporto noti prima di rispondere
Identificare le tattiche di manipolazione conversazionale utilizzate dagli attaccanti al telefono, come l'urgenza costruita e la falsa rassicurazione
Comprendere perche il callback phishing elude i tradizionali filtri di sicurezza email che analizzano URL e allegati malevoli
Seguire il processo di segnalazione degli incidenti della tua organizzazione quando incontri un sospetto attacco TOAD

Phishing di richiamata — Fasi della formazione

Un mercoledì impegnativo

È un mercoledì pomeriggio impegnativo. Hai un programma fitto di impegni oggi: due chiamate da parte di clienti questo pomeriggio e un viaggio d'affari da prenotare per la prossima settimana.
L'allarme frode

Una nuova email arriva nella casella di posta di Alice. L'oggetto attira immediatamente la sua attenzione: qualcosa che riguarda la sua carta aziendale.
Si scatena il panico

Il cuore di Alice batte forte. $ 2.847 sono una cifra significativa e sicuramente non ha effettuato quell'acquisto. L'e-mail menziona la sospensione dell'account: sarebbe un disastro con il viaggio del cliente la prossima settimana. Nonostante le bandiere rosse, il panico prevale sulla cautela. Alice prende il telefono e compone il numero dall'e-mail: 1-888-445-9127 .
Verifica dell'identità

'Michael' sembra professionale e rassicurante. Chiede ad Alice di verificare la sua identità prima che possano discutere dell'accusa: procedura standard, spiega.
Il portale sicuro

Michael spiega che per completare la denuncia di frode, Alice deve verificare i dettagli della sua carta attraverso il loro 'portale online sicuro'. Fornisce un URL e rimane in linea per guidarla attraverso il processo.
Apertura del Portale

Alice apre il browser e accede all'URL fornito da Michael. Il sito Web ha un aspetto professionale con il logo di una carta aziendale e un design dall'aspetto sicuro.
Guidato attraverso il modulo

Michael guida Alice attraverso il modulo sullo schermo, chiedendole di inserire il numero completo della carta, la data di scadenza e il codice di sicurezza per 'contrassegnare la carta compromessa ed emetterne una sostitutiva'.
Immissione dei dettagli della carta

Alice inserisce i dati della sua carta aziendale come indicato da Michael al telefono.
Il pezzo finale

Michael ringrazia Alice per la sua pazienza. Spiega che c'è 'un altro passo': devono verificare le sue credenziali bancarie aziendali per verificare se anche eventuali conti collegati sono stati compromessi.
Credenziali bancarie

La pagina ora mostra un modulo che richiede l'accesso al portale bancario aziendale di Alice. Michael le assicura che questo è il passo finale per completare la denuncia di frode.

Cos’è Phishing di richiamata?

Cosa imparerai in Phishing di richiamata

Phishing di richiamata — Fasi della formazione

Un mercoledì impegnativo

L'allarme frode

Si scatena il panico

Verifica dell'identità

Il portale sicuro

Apertura del Portale

Guidato attraverso il modulo

Immissione dei dettagli della carta

Il pezzo finale

Credenziali bancarie