🔍 Contexte

Publié le 6 mai 2026 par Omid Mirzaei sur le blog Cisco Talos, cet article présente une analyse de threat intelligence portant sur l’utilisation, la réutilisation et le clustering de numéros de téléphone comme indicateurs de compromission (IOC) dans les campagnes de scam par email. La période d’observation couvre du 26 février au 31 mars 2026.

📞 Infrastructure VoIP exploitée

Les attaquants privilégient les numéros VoIP en raison de leur facilité d’acquisition via API, leur coût réduit et la difficulté de traçabilité. Six des dix plus grandes campagnes détectées reposaient sur une infrastructure VoIP.

  • Fournisseurs VoIP les plus abusés : Sinch (CPaaS, le plus abusé), suivi d’autres providers
  • Moins abusés : Verizon et NUSO
  • Wholesalers cités : Virtue, Twilio, Bandwidth
  • Retailers cités : RingCentral
  • Les numéros suivent le standard E.164 (max 15 chiffres)

🔄 Patterns de réutilisation et durée de vie

Sur 1 652 numéros uniques identifiés :

  • 57 numéros (~3,4%) réutilisés sur plusieurs jours consécutifs (max 4 jours consécutifs)
  • 108 numéros (~6,5%) actifs plus d’un jour
  • Durée de vie médiane : 14 jours
  • Les scammers appliquent des périodes de cool-down pour contourner les filtres de réputation
  • Les campagnes PayPal utilisent des numéros plus persistants que celles imitant Norton LifeLock

🎯 Tactiques d’usurpation et leurres

Les marques impersonnées incluent : PayPal, Geek Squad (Best Buy), McAfee, Norton LifeLock.

Trois patterns de recyclage observés :

  1. Même numéro, sujets d’email différents (ex: confirmation de commande vs vérification de transaction)
  2. Même numéro dans des pièces jointes PDF pour deux marques différentes (PayPal et Norton LifeLock)
  3. Même numéro dans des formats de fichiers différents : HEIC et JPEG — le format HEIC (iPhone/iPad) utilisé pour contourner la détection basée sur les fichiers

🧩 Clustering par blocs séquentiels

Les attaquants achètent des blocs DID (Direct Inward Dialing) de numéros séquentiels. En cas de blocage d’un numéro, ils pivotent vers le suivant dans le bloc. Le numéro +1 804-713-4598 a été utilisé dans 117 emails de scam en une seule journée (3-6 mars 2026). Ces blocs sont déployés simultanément sur plusieurs leurres de marques différentes.

📋 Type d’article

Il s’agit d’une publication de recherche produite par Cisco Talos, visant à documenter les techniques d’infrastructure téléphonique utilisées dans les campagnes TOAD et à promouvoir l’utilisation des numéros de téléphone comme IOC dans les outils CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1036 — Masquerading (Defense Evasion)
  • T1583.008 — Acquire Infrastructure: Malvertising (Resource Development)
  • T1585 — Establish Accounts (Resource Development)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ blog.talosintelligence.com — source reconnue (liste interne) (20pts)
  • ✅ 15975 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://blog.talosintelligence.com/insights-into-the-clustering-and-reuse-of-phone-numbers-in-scam-emails/