Cisco Talos is recent begonnen met het verzamelen van intelligence rondom telefoonnummers in e-mails als een extra indicator van compromittering (IOC). In dit onderzoek worden nieuwe inzichten gedeeld over het hergebruik van telefoonnummers in scam-e-mails die in het wild worden aangetroffen. Volgens Talos maken aanvallers gebruik van API-gestuurde provisioning bij enkele VoIP-providers, wat hen in staat stelt grootschalige en kosteneffectieve scamoperaties uit te voeren die moeilijk te traceren zijn.

De aanvallers zorgen voor operationele continuïteit door telefoonnummers in opeenvolgende blokken te rouleren en strategische pauzes in te lassen. De mediane levensduur van een telefoonnummer bedraagt ongeveer 14 dagen, wat helpt om reputatiegebaseerde beveiligingsfilters te omzeilen. Daarnaast maximaliseren zij hun bereik door dezelfde telefoonnummers te recyclen in verschillende, ogenschijnlijk niet-gerelateerde lokmiddelen, met uiteenlopende onderwerpregels en diverse bijlageformaten zoals HEIC en PDF, waarmee ze meerdere merken tegelijk imiteren.

Door de focus te verleggen van vluchtige e-mailadressen naar telefoonnummers kunnen securityonderzoekers de verborgen infrastructuur van georganiseerde scam callcenters blootleggen. Met clusteringtechnieken worden verschillende campagnes met elkaar verbonden, wat de algehele verdediging versterkt. Telefoniegerichte aanvalsmethoden (TOAD) blijven een veelgebruikte tactiek in moderne e-mailbedreigingen. Door het communicatiekanaal van e-mail naar realtime gesprekken te verschuiven, manipuleren aanvallers slachtoffers om gevoelige informatie prijs te geven of malware te installeren.

Cisco Talos heeft zijn threat intelligence uitgebreid met telefoonnummers als cruciale IOC. De analyse beslaat een breed scala aan lijnsoorten, waaronder mobiele, vaste en VoIP-lijnen. Hoewel alle drie worden ingezet, zijn VoIP-nummers het meest voorkomend vanwege de gemakkelijke verkrijgbaarheid en de lastige traceerbaarheid. Zes van de tien grootste campagnes die tussen 26 februari en 31 maart 2026 werden gedetecteerd, maakten gebruik van VoIP-infrastructuur.

Om beter te begrijpen hoe deze nummers worden ingezet, licht het rapport eerst de technische structuur van VoIP-nummers toe en de rol van serviceproviders in dit ecosysteem. Vervolgens wordt het hergebruik, de levensduur en de kenmerken van campagnes over alle lijnsoorten geanalyseerd. Door deze inzichten te delen, wil Talos de collectieve verdediging tegen deze evoluerende dreigingen versterken. Meer informatie over de threat intelligence diensten van Cisco Talos is beschikbaar via deze bron.