What is callback phishing or a TOAD attack?

Callback phishing, also called a TOAD (Telephone-Oriented Attack Delivery) attack, is a phishing technique where the email contains no malicious links or attachments. Instead, it includes a phone number and an urgent reason to call, like a fake subscription charge or invoice. When the victim calls, the attacker impersonates support staff and walks them through installing malware or handing over credentials.

How do you identify a callback phishing email?

Callback phishing emails typically contain a fake invoice or subscription renewal notice with an unusually high charge. They include a phone number as the only way to "cancel" or "dispute" the charge, and deliberately avoid links or attachments to bypass email security filters. The urgency is artificial. Legitimate companies always let you manage billing through their official website or app, not through a number buried in an unexpected email.

Terugbelphishing

Handle a fake invoice designed to make you call.

Wat is Terugbelphishing?

Callback phishing (ook wel TOAD, of Telephone-Oriented Attack Delivery, genoemd) is een hybride aanval die begint met een e-mail en eindigt met een telefoongesprek. In tegenstelling tot traditionele phishing bevat het bericht geen schadelijke link. In plaats daarvan doet de e-mail zich voor als een factuur, abonnementsverlening of accountmelding en bevat een telefoonnummer voor 'klantenservice.' De val klapt dicht wanneer u het nummer belt. In deze simulatie ontvangt u een realistische callback phishing-e-mail die beweert dat een bedrag van $499,99 op uw rekening is afgeschreven. Het bericht ziet er professioneel uit. Geen typefouten, geen verdachte links, niets wat uw spamfilter zou markeren. Uw enige optie lijkt het bellen van het opgegeven nummer te zijn. Aan de andere kant leidt een getrainde social engineer u door het 'annuleren' van de afschrijving, wat in werkelijkheid betekent dat u toegang tot uw extern bureaublad of uw inloggegevens overhandigt. U oefent het evalueren van de e-mail aan de hand van callback phishing-indicatoren: ongevraagde facturen voor diensten die u nooit heeft aangeschaft, ontbrekende accountgegevens, telefoonnummers die niet overeenkomen met officiële bedrijfsgidsen en kunstmatige urgentie rond factureringsdeadlines. De simulatie behandelt ook wat er gebeurt als u toch belt, zodat u de manipulatietechnieken herkent die tijdens het gesprek worden gebruikt, waaronder neppe wachtmuziek, ingestudeerde empathie en stapsgewijze instructies om tools voor externe toegang te installeren.

Wat je leert in Terugbelphishing

Herken de structuur van een callback phishing-e-mail, inclusief nepfacturen en ingebedde telefoonnummers die op links gebaseerde detectie omzeilen
Verifieer factuurclaims zelfstandig via officiële bedrijfswebsites en bekende supportkanalen voordat u reageert
Identificeer gesprekstechnische manipulatietactieken die aanvallers aan de telefoon gebruiken, zoals ingestudeerde urgentie en valse geruststelling
Begrijp waarom callback phishing traditionele e-mailbeveiligingsfilters omzeilt die op schadelijke URL's en bijlagen scannen
Volg het incidentmeldingsproces van uw organisatie wanneer u een vermoedelijke TOAD-aanval tegenkomt

Terugbelphishing — Trainingsstappen

Een drukke woensdag

Het is een drukke woensdagmiddag. Je hebt vandaag een drukke agenda: twee klantbezoeken vanmiddag en een zakenreis die je voor volgende week moet boeken.
Het fraudealarm

Er arriveert een nieuwe e-mail in de inbox van Alice. De onderwerpregel springt meteen in het oog: iets over haar bedrijfskaartje.
Er ontstaat paniek

Het hart van Alice gaat tekeer. $ 2.847 is een aanzienlijk bedrag, en ze heeft die aankoop absoluut niet gedaan. In de e-mail wordt melding gemaakt van accountopschorting - dat zou een ramp zijn met de klantenreis volgende week. Ondanks de waarschuwingssignalen gaat de paniek boven de voorzichtigheid. Alice pakt haar telefoon en belt het nummer uit de e-mail: 1-888-445-9127 .
Identiteitsverificatie

‘Michael’ klinkt professioneel en geruststellend. Hij vraagt Alice om haar identiteit te verifiëren voordat ze de aanklacht kunnen bespreken - standaardprocedure, legt hij uit.
Het beveiligde portaal

Michael legt uit dat Alice, om de fraudeclaim af te ronden, haar kaartgegevens moet verifiëren via hun 'beveiligde online portal'. Hij geeft een URL op en blijft aan de lijn om haar door het proces te leiden.
Het portaal openen

Alice opent haar browser en navigeert naar de URL die Michael heeft opgegeven. De website ziet er professioneel uit met een bedrijfskaartlogo en een veilig ogend ontwerp.
Begeleid door het formulier

Michael begeleidt Alice door het formulier op het scherm en vraagt haar haar volledige kaartnummer, vervaldatum en beveiligingscode in te voeren om 'de aangetaste kaart te markeren en een vervangende kaart uit te geven'.
Kaartgegevens invoeren

Alice voert de gegevens van haar bedrijfskaart in zoals aangegeven door Michael via de telefoon.
Het laatste stuk

Michael bedankt Alice voor haar geduld. Hij legt uit dat er “nog een stap” is: ze moeten haar bankgegevens verifiëren om te controleren of er ook gekoppelde accounts zijn gecompromitteerd.
Bankgegevens

De pagina toont nu een formulier waarin wordt gevraagd om in te loggen op de corporate banking-portal van Alice. Michael verzekert haar dat dit de laatste stap is om de fraudeclaim af te ronden.

Wat is Terugbelphishing?

Wat je leert in Terugbelphishing

Terugbelphishing — Trainingsstappen

Een drukke woensdag

Het fraudealarm

Er ontstaat paniek

Identiteitsverificatie

Het beveiligde portaal

Het portaal openen

Begeleid door het formulier

Kaartgegevens invoeren

Het laatste stuk

Bankgegevens