L'attacco che non usa link. Ti manda un'email con un numero di telefono e aspetta che sia tu a chiamare. Nessun click, nessun link sospetto. Solo una telefonata che ti costa cara.
Il callback phishing, anche chiamato TOAD (Telephone-Oriented Attack Delivery), e una variante furba del phishing. L'idea e semplice: l'email non contiene nessun link e nessun allegato. Contiene solo un numero di telefono.
Perche e cosi efficace? Perche i filtri antispam tradizionali cercano link sospetti, allegati infetti, mittenti falsi. Un'email con solo testo e un numero di telefono? Passa quasi sempre. Non c'e nulla da analizzare.
E qui sta il trucco. L'attacco non avviene via email. L'email e solo l'esca. L'attacco vero avviene al telefono, quando chiami quel numero e dall'altra parte c'e un truffatore che si spaccia per il supporto tecnico di Microsoft, il servizio clienti di Amazon o il tuo fornitore di servizi. E' una forma evoluta di vishing avviata via email.
Immagina: sei al lavoro e ricevi questa email.
Oggetto: Conferma rinnovo abbonamento — Fattura #INV-87432
“Gentile cliente, il tuo abbonamento Premium e stato rinnovato automaticamente per 349,99 euro. Se non riconosci questa transazione, contatta immediatamente il nostro servizio clienti al numero 02-8295XXXX entro 24 ore per ottenere il rimborso completo.”
Non hai nessun abbonamento Premium. 349 euro? Chiami subito. Ecco cosa succede:
L'email arriva pulita: nessun link, nessun allegato. Solo testo e un numero di telefono. I filtri antispam non trovano nulla di sospetto. Passa.
Chiami il numero. Risponde una persona cortese, con musica d'attesa professionale. Si presenta come 'supporto clienti'. Ti chiede di verificare la tua identita' — e tu gli dai nome, email, magari anche i dati di pagamento.
Per 'risolvere il problema', ti chiedono di installare un software di assistenza remota (AnyDesk, TeamViewer). Una volta collegati, hanno il controllo del tuo PC. Installano malware, rubano file, accedono al tuo home banking.
Credenziali rubate, malware installato, dati aziendali compromessi. E tutto perche' hai chiamato un numero che sembrava legittimo. Nessun link cliccato, nessun allegato aperto.
Il callback phishing e progettato per aggirare i filtri email. Ecco perche ci riesce cosi bene:
link nell'email — niente da scansionare per i filtri URL
allegati — niente da analizzare in sandbox
crescita degli attacchi TOAD dal 2021 al 2025 (Proofpoint)
I filtri tradizionali sono bravi a trovare link e allegati pericolosi. Ma un'email che contiene solo testo e un numero di telefono? Per loro e indistinguibile da una comunicazione legittima. Serve un'analisi del contenuto e del contesto molto piu avanzata.
“Il tuo ordine di 489 euro e confermato. Se non hai effettuato questo acquisto, chiama il 02-XXXXXXX.” Panico, telefonata, truffa.
“Attivita sospetta rilevata sul tuo account Microsoft 365. Chiama il supporto tecnico al XXX-XXXXXXX per proteggere i tuoi dati.” L'urgenza funziona sempre.
“Il tuo antivirus Norton/McAfee si rinnova automaticamente per 299 euro. Per cancellare, chiama entro 24 ore.” Ironia: ti fregano proprio facendo leva sulla sicurezza.
Email al reparto amministrazione: “Problema con l'ultimo pagamento. Contattaci al XXX per regolarizzare la posizione.” Mirata, credibile, devastante.
Dove i filtri tradizionali falliscono, l'AI di MailSniper fa la differenza. Ecco come rileva gli attacchi TOAD:
L'AI analizza il contenuto dell'email e riconosce i pattern tipici del callback phishing: fatture non richieste, urgenza di chiamare, numeri di telefono sconosciuti associati a richieste di azione.
MailSniper verifica se il mittente e' coerente con il brand che dichiara di rappresentare. Un'email 'da Amazon' che arriva da un dominio sconosciuto viene segnalata immediatamente.
Se l'azienda non ha mai ricevuto email da quel mittente o dominio, e l'email contiene una richiesta di pagamento/chiamata urgente, il livello di rischio sale automaticamente.
L'AI rileva le leve psicologiche usate: urgenza ('entro 24 ore'), paura ('il tuo account sara' bloccato'), pressione ('chiama immediatamente'). Sono segnali d'allarme.
L'attacco telefonico puro. Il callback phishing ne e' la versione ibrida: inizia via email, finisce al telefono.
L'attacco email classico con link e allegati. Il callback phishing lo evolve eliminando gli elementi rilevabili.
L'arte di manipolare le persone. Il TOAD ne e' una delle forme piu' sofisticate: combina email e telefono.