文章总结： 电话导向攻击交付成为主流邮件威胁，攻击者偏好成本低、易部署、难溯源的VoIP号码，尤其是CPaaS提供商。诈骗号码遵循精心设计的生命周期，采用跨品牌重用、冷却期及顺序号码分组(DID块)等策略逃避检测。电话号码是诈骗运营的真正锚点，安全防护应从关注发件人转向追踪恶意电话基础设施。 综合评分： 88 文章分类： 威胁情报,社会工程学,安全运营

VoIP号码生态系统和黑产利用现状

原创

黑鸟 黑鸟

黑鸟

2026年5月9日 23:37 广东

在小说阅读器读本章

去阅读

电话导向攻击交付(Telephone-oriented attack delivery, TOAD)已经成为现代电子邮件威胁中最普遍的战术。

攻击者通过将通信渠道从电子邮件转移到实时对话，更容易操纵受害者泄露敏感信息或安装恶意软件。

在所有电话线路类型中，语音互联网协议 VoIP 号码是诈骗分子的首选工具。2026 年 2 月 26 日至 3 月 31 日期间，十大诈骗活动中有六个依赖 VoIP 基础设施，主要原因在于成本效益高，VoIP 号码可以批量购买，单个号码成本极低；部署速度快，通过应用程序编程接口 API 可以实现自动化号码配置；溯源难度大，VoIP 通话通过互联网传输，难以追踪到真实物理位置。

大多数 VoIP 号码遵循 E.164 国际公共电信编号计划。这种格式确保每个号码在全球范围内唯一，并且可以在公共交换电话网络 PSTN 中正确路由。

一个完整的 E.164 号码最多包含 15 位数字，由以下部分组成：

#

VoIP 生态系统主要分为批发商和零售商两类参与者：

• 批发商

  如 Virtue、Twilio 和 Bandwidth，以企业对企业 B2B 模式运营，位于一级运营商如 AT&T、Verizon 和小型服务提供商之间，批量销售大量号码

• 零售商

  如 RingCentral，直接向组织和终端用户销售成品商务通话和协作解决方案

从服务类型来看，VoIP 提供商又可分为通信平台即服务 CPaaS 和统一通信即服务 UCaaS：

• CPaaS 提供商

  提供可编程 API，允许开发者将语音和消息直接集成到应用程序中。这些平台专为自动化和高流量设计，因此经常被威胁行为者利用，实现快速的 API 驱动号码配置

• UCaaS 提供商

  提供全面的面向终端用户的通信套件。这些平台通常用于合法的企业协作，因此对诈骗邮件活动的吸引力较低

在研究时间窗口内，Sinch 主要是 CPaaS 领域的领导者是被滥用最多的 VoIP 提供商，而 Verizon 和 NUSO 是被滥用最少的提供商。

除了 VoIP 号码，诈骗分子也会使用无线蜂窝和固定电话线路：

• 蜂窝号码

  由于通常需要物理 SIM 卡和更严格的客户验证，大规模配置难度更大，成本更高，一次性使用性也不如 VoIP 号码，但仍然被广泛采用

• 固定电话号码

  主要用于营造本地存在感或已建立业务的合法性。通过使用带有特定当地区号的固定电话，诈骗分子可以有效冒充本地企业，例如银行、公用事业公司或政府机构

#

诈骗电话号码的生命周期与重用策略

#

思科在研究期间分析了冒充 PayPal、Geek Squad 百思买、McAfee 和 Norton LifeLock 等知名品牌的诈骗活动，共识别出 1652 个唯一电话号码。这些号码并非随机使用，而是遵循着精心设计的生命周期和重用模式。

电话号码重用模式

#

研究发现，约 3.4% 的电话号码即 57 个号码会在多个连续日期被重复使用。单个电话号码最长的连续重用期为四天，而最常见的重用期是两天。

诈骗分子重用电话号码主要出于三个战略原因：

1. 情报滞后性

   关于电话号码的威胁情报通常比 URL 或文件哈希传播得更慢，许多号码在几天内都不会被第三方信誉服务发现

2. 运营便利性

   重用允许诈骗呼叫中心保持一致的品牌形象，便于进行多阶段社会工程、回电安排和持续的受害者接触

3. 成本控制

   对于付费 VoIP 服务，重用可以最大限度地降低运营成本

#

诈骗分子并不总是连续使用同一个电话号码。他们经常实施冷却期策略，即暂停使用某个号码几天以逃避检测，然后再将其重新引入活动中。

研究显示，约 6.5% 的电话号码即 108 个号码活跃时间超过一天。大多数电话号码的寿命为 2 至 6 天，但少数号码活跃了近一个月。在整个研究窗口内，电话号码的中位寿命约为 14 天。

值得注意的是，基础设施的寿命通常与被冒充的品牌相关。PayPal 主题的诈骗活动使用的电话号码比冒充 Norton LifeLock 的活动使用的电话号码持久性显著更高。

诈骗分子最狡猾的策略之一是将同一个电话号码用于看似完全无关的多种诱饵。

一个典型的诈骗诱饵通常由业务背景、心理触发因素、行动号召和被冒充品牌四个部分组成。

目前观察到三种主要的跨诱饵重用模式：

同一号码出现在多个主题行中

在一个活动中，单个电话号码出现在 “订单确认” 和 “金融交易验证” 等多种业务背景的主题行中，尽管邮件内容和主题完全不同，但都指向同一个呼叫中心

同一号码出现在多个文档诱饵中

在另一个活动中，单个电话号码被嵌入到用于 “订阅续费” 和 “金融交易验证” 的 PDF 附件中。更令人震惊的是，这个活动同时冒充了 PayPal 和 Norton LifeLock 两个不同品牌，利用紧迫感作为心理触发因素，将受害者引导到同一个呼叫中心

同一号码出现在多种附件格式中

在第三个活动中，单个电话号码被嵌入到 HEIC 和 JPEG 两种不同的附件格式中。HEIC 高效图像容器是 iPhone 和 iPad 照片常用的格式，诈骗分子使用这种格式是为了绕过传统的基于文件的检测，同时保持高图像质量

为了维持高容量运营并绕过安全过滤器，诈骗分子采用了一种更高级的战术：顺序号码分组。他们通过购买直接向内拨号 DID 块来获取大范围的顺序电话号码。这样一来，如果某个特定号码被运营商标记为垃圾邮件并阻止，攻击者只需轮换到该块中的下一个号码即可。

DID 的标准中文译名为 “直接向内拨号”，也常被称为 “直拨号码” 或 “虚拟号码块”，是电信和企业通信领域的一项核心技术，也是 “purchasing Direct Inward Dialing (DID) blocks”（购买直接向内拨号号码块）的核心概念。

DID 是一种由电信运营商提供的电话服务功能，允许企业或组织批量购买一组连续的电话号码（即 DID 号码块），这些号码全部指向企业的同一组物理中继线或 VoIP 中继，而不需要为每个号码单独部署一条物理线路。

当外部用户拨打 DID 号码块中的任意一个号码时，电信运营商的交换机会将完整的被叫号码信息发送给企业的 PBX（专用交换机）或 IP-PBX，由企业内部设备自动将呼叫直接路由到对应的员工分机、部门、呼叫中心坐席或特定应用，完全无需经过总机或人工话务员转接。

1. 运营商向企业分配一个连续的电话号码段（例如：+86-10-8888-1000 至 +86-10-8888-1999，共 1000 个 DID 号码）
2. 这些号码全部映射到企业向运营商租用的几条中继线路上（例如仅需 30 条 E1 中继即可支持 1000 个 DID 号码）
3. 外部用户拨打 + 86-10-8888-1234 时，运营商交换机将呼叫和完整的被叫号码 “1234” 一起发送到企业 PBX
4. 企业 PBX 根据预设的路由规则，直接将呼叫转接到分机 1234 对应的员工电话

例如，在 2026 年 3 月 3 日至 3 月 6 日期间，一个仅最后四位数字不同的号码块被用于多个冒充 PayPal 的诈骗邮件。其中 “+1 804 713 4598” 这个号码在一天内就被用于 117 封诈骗邮件。

在大规模诈骗活动中，单个顺序块中的电话号码甚至会被用于多个不同品牌的诱饵。这意味着看似来自不同公司的可疑邮件，实际上都指向同一个犯罪组织的呼叫中心。

传统的安全方法主要关注电子邮件发件人地址，但这些地址往往是一次性的，诈骗分子可以轻松生成数百万个新地址。相比之下，电话号码是诈骗运营的真正锚点，因为建立和维护呼叫中心基础设施需要大量资源。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《VoIP号码生态系统和黑产利用现状》