What is callback phishing or a TOAD attack?

Callback phishing, also called a TOAD (Telephone-Oriented Attack Delivery) attack, is a phishing technique where the email contains no malicious links or attachments. Instead, it includes a phone number and an urgent reason to call, like a fake subscription charge or invoice. When the victim calls, the attacker impersonates support staff and walks them through installing malware or handing over credentials.

How do you identify a callback phishing email?

Callback phishing emails typically contain a fake invoice or subscription renewal notice with an unusually high charge. They include a phone number as the only way to "cancel" or "dispute" the charge, and deliberately avoid links or attachments to bypass email security filters. The urgency is artificial. Legitimate companies always let you manage billing through their official website or app, not through a number buried in an unexpected email.

Фішинг зворотного виклику

Handle a fake invoice designed to make you call.

Що таке Фішинг зворотного виклику?

Callback phishing (також відомий як TOAD, або Telephone-Oriented Attack Delivery) — це гібридна атака, яка починається з електронного листа та закінчується телефонним дзвінком. На відміну від традиційного phishing, у повідомленні немає шкідливого посилання. Натомість лист маскується під рахунок, поновлення підписки або сповіщення про обліковий запис і містить номер телефону 'служби підтримки'. Пастка спрацьовує, коли Ви набираєте цей номер. У цій симуляції Ви отримуєте реалістичний callback phishing лист із повідомленням про списання $499.99 з Вашого рахунку. Лист виглядає бездоганно. Жодних помилок, жодних підозрілих посилань, нічого, що міг би позначити спам-фільтр. Єдиний варіант — зателефонувати за вказаним номером. На іншому кінці дроту підготовлений соціальний інженер проведе Вас через процедуру 'скасування' списання, що насправді означає надання доступу до віддаленого робочого столу або Ваших облікових даних. Ви навчитесь оцінювати лист за індикаторами callback phishing: непрохані рахунки за послуги, яких Ви ніколи не купували, відсутність деталей облікового запису, номери телефонів, які не збігаються з офіційними довідниками компаній, та штучна терміновість навколо платіжних термінів. Симуляція також охоплює те, що відбувається, якщо Ви все ж зателефонуєте, щоб Ви могли розпізнати маніпулятивні тактики під час розмови, включаючи фальшиву музику очікування, відрепетирувану емпатію та покрокові інструкції з встановлення засобів віддаленого доступу.

Що ви дізнаєтесь у Фішинг зворотного виклику

Розпізнавати структуру callback phishing листа, включаючи фальшиві рахунки та вбудовані номери телефонів, які обходять виявлення на основі посилань
Самостійно перевіряти платіжні претензії через офіційні вебсайти компаній та відомі канали підтримки перед тим, як відповідати
Визначати маніпулятивні тактики в розмові, які використовують зловмисники по телефону, такі як сценарна терміновість та фальшиве заспокоєння
Розуміти, чому callback phishing обходить традиційні фільтри безпеки електронної пошти, які сканують шкідливі URL та вкладення
Дотримуватись процедури повідомлення про інциденти Вашої організації, коли Ви стикаєтесь із підозрюваною атакою TOAD

Фішинг зворотного виклику — Кроки навчання

Напружена середа

Сьогодні насичений день середи. Сьогодні у вас насичений графік: два дзвінки клієнтам сьогодні вдень і відрядження, яке потрібно забронювати на наступний тиждень.
Сповіщення про шахрайство

Новий електронний лист приходить на скриньку Аліси. Їй одразу впадає в очі тема — щось про її корпоративну картку.
Настає паніка

Алісине серце б'ється. 2847 доларів – це значна сума, і вона точно не робила цю покупку. В електронному листі згадується про призупинення облікового запису – це буде катастрофою з відвідуванням клієнта наступного тижня. Незважаючи на червоні прапори, паніка переважає над обережністю. Аліса хапає телефон і набирає номер із електронного листа: 1-888-445-9127 .
Підтвердження особи

«Майкл» звучить професійно та заспокійливо. Він просить Алісу підтвердити її особу, перш ніж вони зможуть обговорити звинувачення - стандартна процедура, пояснює він.
Захищений портал

Майкл пояснює, що для завершення позову про шахрайство Алісі потрібно підтвердити дані своєї картки через їхній «безпечний онлайн-портал». Він надає URL-адресу та залишається на лінії, щоб провести її через процес.
Відкриття порталу

Аліса відкриває свій браузер і переходить до URL-адреси, наданої Майклом. Веб-сайт виглядає професійно з логотипом корпоративної картки та безпечним дизайном.
Проведення через форму

Майкл проводить Алісу через форму на екрані, просячи її ввести повний номер картки, термін дії та код безпеки, щоб «позначити скомпрометовану картку та видати заміну».
Введення даних картки

Аліса вводить дані своєї корпоративної картки за вказівкою Майкла по телефону.
Остання частина

Майкл дякує Алісі за її терпіння. Він пояснює, що є «ще один крок» — їм потрібно перевірити облікові дані її корпоративного банківського рахунку, щоб перевірити, чи були також скомпрометовані пов’язані облікові записи.
Банківські облікові дані

Тепер на сторінці відображається форма із запитом на вхід до корпоративного банківського порталу Аліси. Майкл запевняє її, що це останній крок для завершення позову про шахрайство.

Що таке Фішинг зворотного виклику?

Що ви дізнаєтесь у Фішинг зворотного виклику

Фішинг зворотного виклику — Кроки навчання

Напружена середа

Сповіщення про шахрайство

Настає паніка

Підтвердження особи

Захищений портал

Відкриття порталу

Проведення через форму

Введення даних картки

Остання частина

Банківські облікові дані