Threat Actors Are Bypassing Your Email Gateway With Just a Phone Number
Email gateways aren't catching them. That's the problem nobody wanted to hear about right now.
According to Dark Reading, security researchers have documented an active attack campaign where threat actors send emails containing nothing but phone numbers—a technique being called TOAD (Toll-based Obfuscation and Anomaly Detection evasion). The emails slip past traditional security controls because they contain no malicious links, no attachments, no suspicious content. Just a number and a prompt to call it.
And when you call? Social engineering. Wire fraud. Credential theft. The whole playbook, delivered through voice instead of text.
This is particularly nasty because it exploits a blind spot that's been hiding in plain sight. Most email security solutions are trained to hunt for malware signatures, phishing URLs, and credential harvesting attempts. They're looking for bad things embedded in messages. But a phone number? That's just data.
Breaking It Down
Let's be clear about what we're looking at here. This isn't some theoretical vulnerability or a proof-of-concept in a lab. Dark Reading reported on real-world incidents where this technique is actively bypassing deployed security infrastructure at actual organizations.
The attacker's playbook is refreshingly simple, which is probably why it works so well.
Step one: Craft an email that looks legitimate enough to land in someone's inbox. Could be pretending to be from HR, IT support, a vendor, whatever. Step two: Put a single phone number in the body. Step three: Add minimal text directing the recipient to call that number for account verification, urgent support, payment processing, or some other plausible business reason.
The email passes through gateways because there's nothing for the gateway to flag.
Recipients call the number. On the other end is a social engineer running a scam. They might impersonate an IT staffer and ask for credentials. They might pretend to be from the finance department requesting wire transfer authorization. They might claim there's a security incident and need immediate account access.
No malware. No phishing domain. No suspicious file. Just a conversation that tricks someone into handing over something valuable.
The Technical Side
Here's why this attack actually works from a cybersecurity perspective. Email gateways rely on pattern matching and threat intelligence to block messages. They're looking for known bad domains, obfuscated URLs, suspicious file types, and payload indicators. Some use sandboxing to detonate attachments and analyze behavior. Others scan for phishing characteristics using machine learning models trained on millions of malicious emails.
But none of that catches a phone number.
There's no CVE here. There's no vulnerability in code. The attack exploits the gap between what security tools are designed to detect and what humans might actually fall for. It's a reminder that technical defenses only work when they're aligned with the actual threat you're facing.
The attacker essentially weaponized simplicity.
And because the attack relies on human psychology rather than technical exploitation, it's nearly impossible for a gateway to distinguish a malicious TOAD email from a legitimate callback request. Your system can't tell the difference between a real IT department asking you to call back and a threat actor using the same technique.
Who's Affected
Anyone with email. Anyone with a phone. Anyone who answers calls from numbers they don't recognize.
Dark Reading didn't narrow down a specific vertical or organization type, which suggests this is broadly applicable across industries. Financial services are vulnerable. Healthcare is vulnerable. Tech companies are vulnerable. Government agencies are vulnerable. If your organization uses email gateways—and lets be honest, you do—you're potentially in scope.
The real risk isn't to your infrastructure. It's to the person at their desk who gets the email and thinks they're doing the right thing by following instructions from someone who sounds authoritative.
So what happens next?
What To Do Now
First, your email gateway isn't going to save you on this one. Accept that limitation and move on to what actually works.
Security awareness training needs an update. Not the generic annual checkbox compliance stuff. Real, specific training about callback scams, phone number verification requests, and social engineering via voice calls. Show your team examples of what these emails look like. Tell them explicitly: legitimate IT requests shouldn't come through random emails containing only phone numbers.
Second, implement verification protocols. If someone receives an email asking them to call a number, they should independently verify that number through official channels. Call your company's main number. Ask to be transferred. Look up the department directly. Don't use the phone number from the email.
Third, consider whether your organization needs additional voice call monitoring or authentication controls. Some companies are deploying call recording and analysis for sensitive departments. Others are requiring callback verification through official company numbers only.
And train your help desk and IT staff specifically on this. They're often the target, because they have legitimate access to systems. Make sure they understand they should never give out credentials or system access based on a phone request, period.
This attack won't disappear because it works and it's cheap to deploy. The only thing that stops it is awareness and discipline.
Зловмисники Обходять Ваш Email-Шлюз Просто Номером Телефону
Email-шлюзи їх не ловлять. Ось проблема, про яку ніхто не хотів чути саме зараз.
За даними Dark Reading, безпеки дослідники задокументували активну кампанію атак, під час якої зловмисники надсилають email'и, які містять лише номери телефонів — техніку, яку називають TOAD (Toll-based Obfuscation and Anomaly Detection evasion). Ці email'и проходять повз традиційні засоби контролю безпеки, тому що вони не містять зловмисних посилань, не мають вкладень, не містять підозрілого контенту. Просто номер і пропозиція йому зателефонувати.
А коли ви телефонуєте? Соціальна інженерія. Шахрайство з переводами. Крадіжка облікових даних. Весь набір тактик, доставлений голосом замість тексту.
Це особливо брутально, тому що експлуатує сліпу зону, яка приховувалася в полі зору. Більшість рішень для безпеки email спеціалізуються на пошуку сигнатур шкідливого ПО, фішингових URL'ів та спроб крадіжки облікових даних. Вони шукають погані речі, вбудовані у повідомлення. Але номер телефону? Це просто дані.
Розберемо Докладніше
Будьте ясні щодо того, на що ми дивимося. Це не якась теоретична вразливість або proof-of-concept у лабораторії. Dark Reading повідомила про реальні інциденти, де ця техніка активно обходить розгорнуту інфраструктуру безпеки в реальних організаціях.
Графік дій зловмисника дивно простий, що, ймовірно, пояснює, чому він настільки ефективний.
Крок перший: Скласти email, який виглядає достатньо легітимно, щоб потрапити до чиєїсь inbox'у. Може видавати себе за HR, IT-підтримку, постачальника, що завгодно. Крок другий: Вставити один номер телефону у тіло повідомлення. Крок третій: Додати мінімальний текст, спрямовуючи одержувача зателефонувати цей номер для верифікації облікового запису, терміної підтримки, обробки платежу або якогось іншого правдоподібного ділового причини.
Email проходить через шлюзи, тому що для шлюзу немає нічого, що він міг би позначити.
Одержувачі телефонують на номер. З іншого боку чекає соціальний інженер, який здійснює шахрайство. Він може видавати себе за IT-спеціаліста та просити облікові дані. Він може видавати себе за відділ фінансів і просити авторизацію на переведення коштів. Він може стверджувати, що стався інцидент безпеки, і потрібен негайний доступ до облікового запису.
Без шкідливого ПО. Без фішингового домену. Без підозрілого файлу. Просто розмова, яка змушує когось віддати щось цінне.
Технічна Сторона
Ось чому ця атака насправді працює з точки зору кібербезпеки. Email-шлюзи покладаються на зіставлення шаблонів та інтелектуальні дані про загрози для блокування повідомлень. Вони шукають відомі вражені домени, завуальовані URL'и, підозрілі типи файлів та індикатори корисного навантаження. Деякі використовують пісочницю для детонування вкладень та аналізу поведінки. Інші сканують фішингові характеристики за допомогою моделей машинного навчання, навчених на мільйонах шкідливих email'ів.
Але ніхто з них не ловить номер телефону.
Тут немає CVE. Немає вразливості в коді. Атака експлуатує розрив між тим, що призначені засоби безпеки виявляти, та тим, що люди насправді можуть купитися. Це нагадування, що технічні захисти працюють лише тоді, коли вони узгоджені зі справжною загрозою, з якою ви стикаєтесь.
Зловмисник по суті озброїв простоту.
І оскільки атака спирається на людську психологію, а не на технічну експлуатацію, для шлюзу майже неможливо розрізнити зловмисний TOAD-email від легітимного запиту на зворотній дзвінок. Ваша система не може розрізнити справжній запит від IT-відділу щодо зворотного дзвінка та зловмисника, який використовує той самий метод.
Хто Постраждав
Будь-хто з email'ом. Будь-хто з телефоном. Будь-хто, хто відповідає на дзвінки з номерів, які вони не розпізнають.
Dark Reading не визначила конкретну галузь чи тип організації, що свідчить про те, що це застосовується широко в різних секторах. Фінансові послуги вразливі. Охорона здоров'я вразлива. Технічні компанії вразливі. Державні агентства вразливі. Якщо ваша організація використовує email-шлюзи — і будьте чесні, ви їх використовуєте — ви потенційно в зоні ризику.
Реальний ризик — не для вашої інфраструктури. Це ризик для людини за столом, яка отримує email і думає, що робить правильно, дотримуючись інструкцій від когось, хто звучить авторитетно.
Отже, що далі?
Що Робити Тепер
По-перше, ваш email-шлюз вас тут не врятує. Прийміть це обмеження і переходьте до того, що насправді працює.
Тренінг з обізнаності щодо безпеки потребує оновлення. Не те загальне щорічне галочкування для комплаєнсу. Справжній, конкретний тренінг про шахрайство із зворотними дзвінками, запити на верифікацію номерів телефонів та соціальну інженерію через голосові дзвінки. Покажіть своїй команді приклади того, як виглядають ці email'и. Розповідьте їм чітко: легітимні IT-запити не повинні приходити через випадкові email'и, які містять лише номери телефонів.
По-друге, впровадьте протоколи верифікації. Якщо хтось отримує email з проханням зателефонувати на номер, вони повинні незалежно перевірити цей номер через офіційні канали. Позвоніть на основний номер вашої компанії. Попросіть перевести дзвінок. Знайдіть відділ безпосередньо. Не використовуйте номер телефону з email'у.
По-третє, розглянемо, чи потребує ваша організація додаткового моніторингу голосових дзвінків або елементів керування автентифікацією. Деякі компанії розгортають запис та аналіз дзвінків для чутливих відділів. Інші вимагають верифікації зворотного дзвінка лише через офіційні номери компанії.
І проведіть спеціальний тренінг для вашої служби підтримки та IT-персоналу. Часто вони є мішенню, тому що мають легітимний доступ до систем. Переконайтесь, що вони розуміють, що ніколи не повинні видавати облікові дані або доступ до системи на основі голосового запиту, точка.
Ця атака не зникне, тому що вона працює і дешева у розгортанні. Єдине, що її зупиняє — це обізнаність та дисципліна.