Как работает телефонный фишинг TOAD и как от него обезопаситься

По информации специалистов компании Cisco Talos, мошенники все чаще прибегают к современной уловке — TOAD (Telephone-Oriented Attack Delivery), что можно перевести как «телефонная доставка атак». Суть схемы состоит в том, что потенциальную жертву склоняют самостоятельно позвонить по телефону злоумышленников, которые выдают себя за официальных сотрудников таких компаний, как Microsoft, Norton, PayPal и другие.

Компании отмечают, что этот подход отличается от привычных методов, когда инициатива контакта исходит от преступников. В случае TOAD жертва сама совершает звонок по номеру, указанному например во фишинговом письме, что способствует снижению бдительности со стороны пользователя. Как подчеркивает эксперт в области информационной безопасности Николай Долгов из Angara Security, у человека возникает ощущение, что контроль над ситуацией принадлежит именно ему, благодаря чему жертва становится более внушаемой и легче поддается психологическому давлению.

Дальнейшее развитие сценария происходит уже в «колл-центре». Там злоумышленники, подготовив специальные скрипты, используют фальшивую атрибутику, чтобы завоевать доверие: в ход идут записи фонового шума, автоматические голосовые меню и IVR-системы. На этом этапе жертву могут попросить предоставить личные сведения, установить вредоносные программы либо разрешить удалённый доступ к компьютеру. Все это создает иллюзию настоящего клиентского обращения.

Опасность подобной тактики особенно велика для российских пользователей, считает Анастасия Хвещеник, — это вписывается в линию общего нарастания киберугроз в стране. Как сообщается в отчете группы компаний «Солар», в первом квартале 2025 года число атак, определенных ловушками компании, почти в полтора раза превышает показатели конца 2024 года. Это подтверждает постоянное стремление злоумышленников искать и масштабировать современные, более эффективные способы обмана.

«Обратная» модель фишинга используется практически в любых обманных схемах, отмечает директор по развитию центра мониторинга внешних цифровых рисков Solar AURA Александр Вураско. Причём схема нередко работает даже без интернет-коммуникаций: достаточно разместить в подъезде ложное объявление якобы от управляющей компании с чужим номером — и люди сразу начинают звонить.

В онлайн-варианте TOAD мошенники создают поддельный сайт и публикуют контактный телефон в рассылках или социальных сетях, объясняет GR-директор компании «Код Безопасности» Александра Шмигирилова. Люди, не заподозрив подлога, используют указанный телефон для связи с поддержкой, и уже во время разговора преступники могут убедить их установить вредоносное приложение или выполнить другие опасные действия.

Самое главное при защите от TOAD — полностью исключить взаимодействие по непроверенным каналам, советует Анастасия Хвещеник. Никогда не набирайте номера из всплывающих окон, электронных писем или баннеров, даже если они выглядят достоверно. Всегда используйте официальные контакты, размещённые на сайте компании, который вы находите самостоятельно через поисковые системы.

Стоит игнорировать любые сообщения, которые требуют немедленно совершить определённые действия под угрозой потери средств или блокировки. Существует простое правило цифровой безопасности: если кто-то пытается запугать, торопит или провоцирует панику — это, скорее всего, аферисты.

Для организаций важно понимать: полагаться только на осторожность сотрудников опасно и недостаточно. Необходимо выстраивать технические меры защиты и повышать уровень кибербезопасности в компании.