I numeri di telefono stanno diventando uno degli strumenti più utilizzati dai cybercriminali per rendere più efficaci le campagne scam diffuse via email. Il fenomeno non riguarda più soltanto messaggi fraudolenti costruiti con mittenti falsi, domini temporanei o allegati ingannevoli: sempre più spesso l’obiettivo è spostare la vittima fuori dal canale email e portarla verso una conversazione telefonica diretta, dove la pressione psicologica è più facile da esercitare.
Questa tecnica, nota come Telephone-Oriented Attack Delivery, continua a essere una delle tattiche più rilevanti nelle minacce email moderne. Il meccanismo è semplice: l’utente riceve una comunicazione che simula una fattura, un rinnovo di abbonamento, una conferma d’ordine, un avviso di pagamento o un problema di sicurezza dell’account. Invece di essere spinto a cliccare su un link, viene invitato a chiamare un numero di telefono per chiarimenti, cancellazioni o presunti blocchi di addebiti non autorizzati.
Una volta avviata la chiamata, l’attacco cambia natura. Il truffatore può adattare il discorso in tempo reale, costruire urgenza, sfruttare il nome di un marchio noto e convincere la vittima a installare software, condividere credenziali, fornire dati personali o effettuare pagamenti. La telefonata diventa quindi il punto centrale della truffa, mentre l’email serve soprattutto come innesco iniziale.
Cisco Talos analizza il riuso dei numeri nelle campagne scam
Cisco Talos ha ampliato le proprie attività di threat intelligence includendo i numeri di telefono presenti nelle email come indicatori di compromissione. È un passaggio rilevante perché i tradizionali segnali usati per individuare le campagne fraudolente, come indirizzi del mittente, domini web o hash di file, sono spesso effimeri e facilmente sostituibili. I numeri telefonici, invece, possono offrire un punto di osservazione più stabile per collegare campagne che, a prima vista, sembrano scollegate.
L’analisi condotta tra il 26 febbraio e il 31 marzo 2026 ha individuato 1.652 numeri telefonici unici utilizzati in campagne scam che impersonavano brand noti come PayPal, Geek Squad di Best Buy, McAfee e Norton LifeLock. Di questi, 57 numeri, pari a circa il 3,4%, sono stati riutilizzati per più giorni consecutivi. Il periodo massimo osservato per il riuso continuativo di un singolo numero è stato di quattro giorni, mentre la casistica più frequente è risultata pari a due giorni consecutivi.
Il dato non va letto come una semplice curiosità tecnica. Il riuso dei numeri risponde a una logica operativa precisa. Le informazioni di intelligence sui numeri telefonici circolano spesso più lentamente rispetto a quelle su URL o file malevoli; di conseguenza, un numero può restare sotto la soglia di rilevamento dei servizi di reputazione per diversi giorni. Inoltre, mantenere lo stesso recapito permette ai call center fraudolenti di gestire contatti ripetuti, appuntamenti telefonici, richiami e interazioni progressive con le vittime.
Perché il VoIP è diventato così utile ai cybercriminali
Il Voice over IP è diventato il mezzo preferito per molte campagne scam perché consente di ottenere numeri telefonici in modo economico, rapido e automatizzabile. I servizi VoIP possono essere acquistati online, integrati tramite API e sostituiti velocemente quando una numerazione viene segnalata o bloccata. Questa flessibilità rende le operazioni più difficili da tracciare e più semplici da scalare.
Cisco Talos ha osservato che sei delle dieci maggiori campagne rilevate nel periodo analizzato hanno fatto affidamento su infrastrutture VoIP. I numeri VoIP sono particolarmente interessanti per gli attaccanti perché possono essere provisionati in grandi quantità, spesso attraverso piattaforme pensate per l’automazione e il traffico ad alto volume.
La struttura di molti numeri VoIP segue il piano internazionale E.164, che garantisce unicità globale e corretto instradamento sulla rete telefonica pubblica. Un numero in formato E.164 può avere fino a 15 cifre e comprende prefisso internazionale, codice Paese, prefisso nazionale o area code e numero dell’abbonato. Questa standardizzazione rende i numeri utilizzabili su scala globale e facilita l’integrazione con servizi digitali e infrastrutture automatizzate.
Nel mercato VoIP esistono diversi livelli di operatori. I grossisti vendono grandi volumi di numerazioni ad altri provider o operatori più piccoli, mentre i rivenditori offrono soluzioni di comunicazione finite a imprese e utenti finali. Un’ulteriore distinzione riguarda le piattaforme CPaaS e UCaaS. Le prime forniscono API programmabili per integrare voce e messaggistica nelle applicazioni; proprio per questa natura automatizzata e scalabile risultano più attraenti per gli attori malevoli. Le seconde offrono invece suite di comunicazione aziendale rivolte agli utenti finali e, secondo l’analisi, risultano meno interessanti per le campagne scam via email.
Nel periodo studiato, Talos ha indicato Sinch, principalmente attiva nel settore CPaaS, come il provider VoIP più abusato, mentre Verizon e NUSO risultano tra i meno abusati. Questo non significa che i provider siano parte attiva delle frodi, ma conferma come alcune tipologie di infrastruttura siano più esposte all’uso improprio per la creazione rapida di numerazioni telefoniche.
Non solo VoIP: i truffatori usano anche cellulari e numeri fissi
Sebbene i numeri VoIP dominino il panorama delle campagne scam, gli attaccanti utilizzano anche numerazioni cellulari e fisse. I numeri mobili sono più difficili da ottenere su larga scala, perché in genere richiedono SIM fisiche e procedure di verifica più rigide. Questo li rende più costosi e meno usa e getta rispetto ai numeri VoIP, ma non ne impedisce l’adozione in alcune campagne.
I numeri fissi, invece, vengono sfruttati per comunicare un senso di presenza locale o di legittimità commerciale. Un numero con un prefisso territoriale specifico può aiutare a impersonare una banca, un’azienda di servizi, un ente pubblico o una realtà locale. Anche in questo caso, l’obiettivo è aumentare la credibilità della comunicazione e ridurre la diffidenza della vittima.
Il punto centrale è che il numero telefonico, indipendentemente dalla tecnologia sottostante, diventa parte dell’infrastruttura della truffa. Non è un dettaglio accessorio, ma un elemento operativo che collega email, allegati, call center e attività di social engineering.
I numeri vengono riutilizzati tra brand, allegati e messaggi diversi
Uno degli aspetti più significativi dell’analisi riguarda il riuso degli stessi numeri in campagne apparentemente diverse. I cybercriminali non associano necessariamente una numerazione a un solo marchio o a un solo tipo di messaggio. Al contrario, lo stesso numero può comparire in email con oggetti differenti, in allegati diversi e perfino in campagne che impersonano brand differenti.
In alcuni casi, un singolo numero è stato usato in comunicazioni che simulavano sia conferme d’ordine sia verifiche di transazioni finanziarie. In altri, lo stesso recapito era incorporato in documenti PDF legati a presunti rinnovi di abbonamento e a verifiche di pagamenti, con impersonificazioni di PayPal e Norton LifeLock dirette verso il medesimo call center fraudolento.
Il riuso si estende anche ai formati degli allegati. Talos ha osservato numeri incorporati in file PDF, immagini JPEG e file HEIC, formato spesso associato alle foto scattate da iPhone e iPad. La scelta di distribuire il numero all’interno di immagini o documenti serve a ridurre la probabilità che i controlli automatici basati sul testo intercettino subito la truffa. Allo stesso tempo, consente agli attaccanti di mantenere elevata la qualità visiva dei falsi documenti e di adattare la campagna a diversi vettori.
Questa elasticità mostra come le campagne scam non siano composte da messaggi isolati, ma da infrastrutture riutilizzabili. I contenuti cambiano, i marchi impersonati cambiano, i formati degli allegati cambiano, ma il numero telefonico può restare lo stesso e diventare il filo conduttore che collega attività fraudolente differenti.
I blocchi sequenziali aiutano a mantenere operative le truffe
Un’altra tattica osservata è l’uso di blocchi sequenziali di numeri telefonici. Gli attaccanti possono acquistare intervalli di numerazioni Direct Inward Dialing, spesso con cifre finali consecutive o molto simili. Se un numero viene segnalato come spam e bloccato da un carrier o da una piattaforma di sicurezza, i criminali possono passare rapidamente al numero successivo nel blocco.
Questa tecnica consente di mantenere continuità operativa anche quando una parte dell’infrastruttura viene individuata. In una campagna che impersonava PayPal tra il 3 e il 6 marzo 2026, Talos ha osservato un blocco di numeri differenti solo nelle ultime quattro cifre utilizzato in più email fraudolente. Un numero specifico, indicato nell’analisi come +1 804 713 4598, è stato usato in 117 email scam in un solo giorno.
La stessa logica si ritrova anche nelle campagne multi-brand. Un blocco sequenziale può essere utilizzato contemporaneamente per impersonare più marchi, con alcuni numeri impiegati in volumi molto superiori rispetto ad altri. Per i difensori, questo significa che il blocco del singolo numero non è sufficiente: occorre individuare il cluster, cioè l’insieme delle numerazioni correlate, per interrompere in modo più efficace la campagna.
Il ciclo di vita dei numeri mostra una strategia di evasione
I numeri telefonici usati nelle campagne scam hanno spesso una durata breve, ma non sempre vengono utilizzati in modo continuativo. Talos ha osservato che 108 numeri, circa il 6,5% del totale, sono rimasti attivi per più di un giorno. Nella maggior parte dei casi la durata si colloca tra due e sei giorni, ma alcuni numeri sono rimasti attivi per quasi un mese. La mediana del ciclo di vita osservato è stata di circa 14 giorni.
Questo dato va interpretato insieme alla pratica dei cosiddetti periodi di raffreddamento. I truffatori possono sospendere temporaneamente l’uso di un numero per alcuni giorni, lasciarlo uscire dal radar dei controlli reputazionali e poi reintrodurlo in una nuova campagna. È una forma di evasione che rende più difficile stabilire quando un numero sia effettivamente dismesso e quando, invece, sia solo momentaneamente inattivo.
La longevità dell’infrastruttura può dipendere anche dal brand impersonato. Le campagne a tema PayPal, secondo l’analisi, hanno utilizzato numerazioni più persistenti rispetto a quelle che imitavano Norton LifeLock. È un dettaglio che suggerisce come gli attaccanti adattino le risorse telefoniche al tipo di esca, al volume previsto e alla capacità di conversione delle singole campagne.
Guardare ai numeri telefonici permette di collegare campagne separate
La conseguenza più importante per la difesa è che i numeri telefonici possono diventare ancore investigative più efficaci rispetto ad altri indicatori. Gli indirizzi email dei mittenti cambiano rapidamente. I domini possono essere registrati, bruciati e abbandonati. Gli allegati possono essere modificati nei dettagli. Il numero telefonico, invece, tende a restare abbastanza stabile da permettere il collegamento tra campagne diverse.
Raggruppando le email scam in base ai numeri condivisi, i ricercatori possono ricostruire relazioni tra messaggi con oggetti differenti, allegati diversi e marchi impersonati apparentemente non collegati. Questo approccio consente di far emergere l’infrastruttura nascosta dei call center fraudolenti organizzati e di migliorare la capacità di rilevamento trasversale.
Per le aziende, il messaggio è chiaro: la sicurezza email non può limitarsi all’analisi del testo, dei link o degli allegati. Deve includere anche i numeri di telefono presenti nel corpo del messaggio, nei documenti allegati e nelle immagini. Quando un numero compare in più campagne, in più formati o associato a più marchi, può diventare un segnale forte di attività fraudolenta.
La difesa richiede collaborazione tra sicurezza email, VoIP e telecomunicazioni
Le campagne scam basate su numeri telefonici mostrano quanto siano ormai intrecciati email, telefonia digitale e social engineering. Bloccare un messaggio sospetto è importante, ma non basta se l’infrastruttura telefonica resta attiva e continua a ricevere chiamate da altre vittime. Allo stesso modo, intervenire solo sul numero telefonico può non essere sufficiente se gli attaccanti dispongono di interi blocchi sequenziali pronti per la rotazione.
Serve quindi un monitoraggio reputazionale in tempo reale su più canali di comunicazione. Database centralizzati in grado di tracciare e segnalare numeri ad alto rischio possono aiutare a correlare rapidamente campagne diverse. La collaborazione tra operatori di telecomunicazioni, provider VoIP, piattaforme CPaaS e team di sicurezza diventa cruciale per condividere intelligence sulle infrastrutture telefoniche malevole.
Anche le soluzioni di email security devono evolvere in questa direzione. Il riconoscimento dei numeri presenti nei messaggi, negli allegati PDF o nelle immagini può arricchire il contesto di analisi e migliorare la capacità di rilevare minacce emergenti. L’uso di modelli di machine learning, Natural Language Processing e analisi comportamentale può aiutare a individuare non solo le singole email fraudolente, ma anche le tecniche ricorrenti usate dagli attaccanti.
Le truffe telefoniche via email puntano sulla fiducia dell’utente
Il successo di queste campagne dipende da un elemento molto concreto: la telefonata sembra più credibile di un link sospetto. Un utente può essere diffidente verso un indirizzo web poco chiaro, ma meno sospettoso davanti a un numero di telefono che appare in una finta fattura o in un presunto avviso di assistenza clienti. Il richiamo a marchi noti aumenta ulteriormente questa percezione di legittimità.
Una volta al telefono, il truffatore può gestire la conversazione con maggiore flessibilità rispetto a un’email. Può rispondere alle esitazioni, creare urgenza, usare un tono autorevole, rassicurare la vittima e guidarla passo dopo passo verso l’azione desiderata. È qui che la truffa diventa più pericolosa: non si basa solo sull’inganno tecnico, ma sulla manipolazione diretta.
Per questo i numeri telefonici devono essere considerati a pieno titolo indicatori di minaccia. Non sono soltanto recapiti inseriti in un messaggio, ma componenti dell’infrastruttura criminale. Seguirne il riuso, la durata, la rotazione e la presenza trasversale in campagne diverse permette di capire meglio come operano i call center fraudolenti e di costruire difese più efficaci.
L’evoluzione delle campagne scam conferma un cambio di prospettiva. La minaccia non si esaurisce più nella casella di posta: passa dall’email alla voce, dal testo alla conversazione, dal messaggio automatizzato al contatto umano. Ed è proprio questo passaggio a rendere i numeri telefonici uno degli indicatori più importanti da monitorare nella difesa contro le frodi digitali.
