Sicherheitsforscher von StrongestLayer zeigen, dass Telefon-orientierte Angriffe (TOAD) – E-Mails mit bloss einer Telefonnummer als Payload – zu 28% aller Gateway-Umgehungen führen und damit eines der grössten Sicherheitsrisiken darstellen.
Ein neues Bedrohungsszenario etabliert sich im Phishing-Arsenal von Cyberkriminellen: Angreifer versenden Fake-Benachrichtigungen, die vorgeben von bekannten Diensten wie PayPal zu stammen, und enthalten als einziges Element eine Telefonnummer. Diese “Telefon-orientierten Attacken” (TOAD) stellen klassische E-Mail-Sicherheitsvorkehrungen vor erhebliche Herausforderungen.
Das Sicherheitsunternehmen StrongestLayer analysierte etwa 5.000 Threat-Detektionen zwischen Dezember 2025 und jetzt, die moderne Secure Email Gateways durchdrangen – und präsentierte besorgniserregende Erkenntnisse: TOAD-Angriffe machten fast 28% aller erfolgreichen Gateway-Umgehungen aus.
Die Eleganz dieser Angriffsmethode liegt in ihrer Simplizität. Weil eine Telefonnummer von legitimen Geschäftskontakten nicht zu unterscheiden ist, können herkömmliche Filterregeln diese Mails nicht blockieren, ohne dabei zahlreiche echte Benachrichtigungen zu sperren. “TOAD umgeht jede E-Mail-Sicherheitsarchitektur, weil die Payload – eine Nummer – von authentischen Geschäftskommunikation nicht zu differenzieren ist,” erklären die Forscher.
Besonders beunruhigend: Attacken kombinieren durchschnittlich vier oder mehr Techniken gleichzeitig. Die Analysten dokumentierten über 1.400 einzigartige Umgehungskombinationen – eine Steigerung von 130% gegenüber dem vorherigen Untersuchungszeitraum. QR-Codes in PDFs, gefälschte Absender, Kalender-Einladungen über Google und SharePoint – kombiniert nutzen diese Methoden unterschiedliche Schwachstellen in Microsoft- und Google-Umgebungen aus.
Das Kostenargument verschärft die Situation: Während gezielte APT-Phishing-Kampagnen vor fünf Jahren noch 15-20 Dollar kosteten, fallen nun nur wenige Cent für ähnliche Operationen an – ermöglicht durch KI-Tools wie ChatGPT.
Für Verteidiger empfehlen Experten ein mehrschichtiges Vorgehen: Stärkere KI-basierte Erkennungsmechanismen, die subtile Muster in TOAD-Emails erfassen, sowie umfassende Mitarbeiter-Schulungen. Organisationen sollten ihre Teams explizit informieren, dass legitime Unternehmen niemals per Telefon zur Zahlungsabwicklung auffordern, nie QR-Codes in PDFs anfordern und Anfragen vor Reaktion immer überprüft werden sollten.
Quelle: Dark Reading