Home

Phishing – cum să te protejezi de atacuri în 2025

Georgiana Drăgan - analist fraudă online
Autor: Georgiana Drăgan – analist fraudă online

Actualizat: 26/02/25

Infractorii pun în practică atacuri de tip phishing folosind tehnici de inginerie socială, prin care reușesc să acceseze date personale și bancare și să fure banii, ori prin tranzacții direct din conturi, ori prin redirecționarea unor plăți. Citește detalii în articol cum se întâmplă acest lucru.

Reprezentare phishing cu ajutorul unui dăunător care infectează un dispozitiv

Conținut

Tipuri de atacuri de phishing

Folosind tehnicile phishing, șarlatanii se folosesc de mesaje convingătoare, care par să provină de la surse de încredere, precum bănci, instituții de telecomunicații, poștă, colegi de muncă sau chiar contacte personale. Mesajele se trimit prin e-mailuri, mesaje text, sau chiar apeluri telefonice.

Numărul atacurilor phishing crește de la un an la altul. În anul 2023, atacurile crescuseră de peste şase ori raportat la anul precedent. În anul 2024, acest tip de infracțiune a rămas în topul metodelor de fraudă online pentru că, cu ajutorul AI, sunt foarte ușor de pus în practică.

În 75% din cazurile de smishing, s-a încercat furtul de identitate prin utilizarea numelui expeditorului, inclusiv logo-ul, pentru a induce în eroare utilizatorii că mesajele sunt trimise de diferite companii bancare, de servicii sau de la instituții. Este foarte ușor să fraudezi cu ajutorul SMS-ului, deoarece rata de accesare a SMS-ului este de 98% și doar 1% ajung în spam.

Phishing-ul prin e-mail are mai puțină rată de succes deoarece un e-mail trimis are doar 20% șanse de a fi deschis, și 49,7% ajung în spam. Telefonul este mereu la îndemână, de aceea răspundem mai repede la mesaje. În medie, un SMS este citit în primele trei minute de la expediere, conform datelor sendSMS.

Phishing prin e-mail

Phishing-ul implică trimiterea de e-mailuri care conțin un link fraudulos, și pretind a fi de la surse legitime, cum ar fi bănci, companii cunoscute sau alte entități de încredere. Scopul este de a convinge destinatarii să ofere informații personale, cum ar fi parole, numere de carduri de credit sau alte date sensibile.

Smishing

Smishing este o formă de phishing care folosește mesaje text (SMS) în loc de e-mailuri pentru a trimite linkuri sau solicitări frauduloase. Aceste mesaje pot pretinde că sunt alerte de securitate, notificări de la bănci sau oferte speciale care necesită acțiunea rapidă a destinatarului.

Spear Phishing

Spear phishing este un tip de atac cibernetic direcționat, în care atacatorii trimit e-mailuri sau mesaje personalizate pentru a păcăli o anumită persoană sau angajații unei organizații. În acest tip de escrocherie, atacatorii se folosesc de informațiile colectate prin cercetarea activității profesionale sau vieții sociale. Aceste atacuri de phishing sunt foarte eficiente și ocolesc elementele de securitate cibernetică de bază.

Phishing de tip whaling

Whalingul este un tip de phishing țintit, care vizează o persoană anume, de rang înalt într-o organizație, cum ar fi directori executivi sau manageri. Atacatorii folosesc informații personalizate pentru a face mesajele convingătoare, astfel victima nu este suspicioasă. Poate fi realizat prin inginerii informatice, cum ar fi clonarea de site-uri de investiții.

Phishing de tip malware

O altă metodă de implementare a atacurilor de phishing implică inserarea de malware deghizat ca atașare într-un mail. De exemplu, mailul are atașat un extras de cont, un program, un CV sau alt tip de atașament. Deschiderea unei atașament malware poate paraliza întregi sisteme IT. Am explicat cum funcționează frauda de tip malware și cum te poți proteja.

Spoofing

Spoofing-ul implică falsificarea identității unei surse de încredere în comunicații. Atacatorii pot falsifica adrese de e-mail, numere de telefon sau site-uri web pentru a părea că mesajele provin de la entități legitime. Spoofing-ul poate fi folosit în combinație cu phishing-ul pentru a crește șansele ca victimele să creadă că solicitarea este autentică.

Vishing

Atacatorii care desfășoară fraude de tip vishing folosesc apeluri telefonice pentru a înșela oamenii și a obține date confidențiale. Adesea, aceste escrocherii se bazează pe reacţia emoţională puternică de moment pentru a manipula victimele să descarce aplicații malițioase sau să obțină informații sensibile.

Example de atacuri de phishing

Cele două metode de a aborda eventualele victime sunt în general dublate de metodele spoofing. Atunci când un e-mail sau un SMS vine din partea unui expeditor care pare a fi instituție publică, companie de servicii sau companie bancară, atunci pare de încredere și este luat în serios, deci frauda are mai multe șanse de a reuși. Vezi mai jos exemple elocvente din cele înregistrate în țara noatră.

Mesaje de tip phishing de la bancă

Un tip de smishing este cel de înșelătorie cu transfer bancar. Primești un sms sau un telefon din partea băncii prin care se cere actualizarea datelor accesând un link. Numărul de linkuri infectate crește de cinci ori pe parcursul a șase luni. În anul 2023, ajunsese până la un sfert de milion la mijlocul lunii iunie, potrivit unei analize realizate de Bitdefender.

  • 26% din tentativele de phishing au ca scop obținerea datelor bancare sau accesul la conturile bancare;
  • 18% urmăresc accesul la conturi de social media;
  • 13% accesul la magazine online, la care victimele au salvate cardurile;
  • 7% de distribuție de fișiere;
  • 6% companii de livrări și curierat;
  • 4% servicii de e-mail.

Folosim telefonul mobil pentru o mare parte din operațiunile bancare, trimitere de mailuri, comenzi online. Escrocilor le este ușor să folosească SMS-ul pentru a face rost de date sensibile. De obicei e-mailurile sau mesajele sunt foarte bine editate, unele folosesc logo-uri și chiar clonează e-mailul, numărul de telefon sau site-ul unei bănci.

Trimit mesaje prin SMS, e-mail sau aplicații de mesagerie și cer accesarea unui link. Nicio bancă nu va cere, niciodată, unui client să intre în aplicația de internet banking de pe un link. Mai multe informații despre frauda bancară poți citi într-un material dedicat. Valoarea daunelor din atacuri cibernetice este estimată la 10 trilioane de dolari până în anul 2025.

Phishing folosind identitatea instituțională a Poștei Românne

Poșta Română atenționează în permanență asupra cazurilor de phishing în care este folosit numele instituției de stat. Prin intermediul SMS-urilor ori pe e-mail, infractorii atentează la conturile victimelor. Escrocii trimit de pe un număr de telefon de România un SMS prin care i se aduce la cunoștință destinatarului faptul că trebuie să primească un colet, dar adresa este incorectă.

Pentru a completa adresa corectă, destinatarului îi este pus la dispoziție un link prin care se comite actul de înșelătorie Poșta Română. Link-ul are în componență cuvintele ”posta”/”post” și/sau ”romana”. După accesarea link-ului respectiv se solicită date personale și se generează o interfață de plată asemănătoare oricărui alt portal, specific plăților pe internet. Prin intermediul acesteia este solicitată o sumă simbolică.

După completarea datelor cerute, inclusiv datele bancare, destinatarul primește un cod bancar. Sub această interfață se ascund, de fapt, hackerii, care introduc datele cardului în aplicația specifică, și transferă banii din contul victimei.

Poşta Română comunică doar de pe adresele oficiale de e-mail suportclienti@ropost.ro, noreply@posta-romana.ro, nu le solicită clienților să furnizeze date cu caracter personal și nu le solicită acestora să facă plăți online ale unor taxe vamale.

Exemplu de phishing prin e-mail cu donații

Folosind atacul phishing, escrocii trimit e-mail prin care solicită o donaţie. Se militează pentru un caz de obicei popularizat la știri care convinge victima să trimită bani prin transfer bancar unei persoane fizice pentru a ajuta. Acest atac phishing poate avea loc inclusiv prin sms sau pliant prin poştă.

S-au cerut bani în acest fel pentru victimele unui eveniment, cum ar fi o inundație, un incendiu, sau altă situație de urgență. Organizațiile de caritate legale nu vor solicita niciodată donaţii care să fie trimise unei persoane fizice printr-un serviciu de transfer de bani. 

Phishing de la furnizorii de servicii

Sigur ai auzit de cazuri de înșelătorie Enel, prin care clienții sunt îndemnați să acceseze un link pentru a nu fi deconectați de la furnizarea energiei electrice, pe motiv de neplată. Există și cazul în care se primește un e-mail phishing pentru a schimba contul în care se face plata facturilor.

În cazurile de înșelătorie Orange se promovează câștigurile mari obținute ușor sau se primește un telefon de la un presupus angajat al companiei. Compania a avertizat recent clienții despre faptul că escrocii cer codul de validare operațiuni în contul My Orange, format din 6 cifre, valabil doar 15 minute. Este un cod strict confidențial, nu se modifică nimănui.

Și cazurile de înșelătorie Vodafone se recurg la aceleași metode, de aceea companiile informează constant despre acest tip de fraude. Toate companiile de servicii sunt vizate de fraude de acest fel. 

Spear phishing – cazul funcționarului de la bancă

În România au fost înregistrate cazuri în care un funcționar de la bancă a primit un sms din partea directorului de filială, care cerea un transfer de bani într-un cont anume, motivând o urgență care justifică ocolirea procedurilor. Ulterior s-a dovedit că mesajul era fraudulos. Acesta este un exemplu de spear phishing. Dacă ținta este o persoană cu funcție, putere și bani, atunci vorbim de un exemplu de whaling.

Cum te protejezi de fraudele de tip phishing?

Companiile vizate lansează mereu comunicate, mesaje, și avertizează explicit clienții despre o posibilă fraudă. Acum, după ce au înțeles cum acționează escrocii, depun eforturi să elimine orice fraudă e-mail phishing sau o posibilă fraudă prin SMS.

Ce trebuie făcut dacă primești un mesaj suspect: nu deschizi acel mesaj și îl marchezi ca spam, nu deschide link-ul. Un exemplu elocvent este al companiei Digi. Dacă primești un mail din afara companiei, chiar dacă vine din partea unui angajat al companiei, la baza e-mailului va fi afișat mesajul de mai jos.

“ATENȚIE! Acest e-mail a venit din afara companiei. Vă rugăm să verificați dacă adresa corespunde cu denumirea afișată. Nu urmăriți link-uri, nu deschideți fișiere atașate și nu divulgați informații de la/către expeditori necunoscuți! Pentru orice verificare a mesajelor suspecte, contactați infosec[@]digi.ro”.

Configurează căsuța de e-mail pentru a filtra spam-ul și mesajele de tip phishing. Dacă ai deschis un mesaj dubios, trece cu mouse-ul peste fiecare link pentru a verifica dacă se îndreaptă către site-ul pe care pretinde că-l deschide.

Cum eviți fraudele de tip phishing

Șase pași simpli pentru prevenirea unor posibile fraude phishing
Verificată de Georgiana Drăgan
Durată estimată:
00:10
Dispozitive:
Mobil, PC, tabletă
Resurse:
Timpul, ghidul nostru

Imagini cu reprezentări ale sistemelor de siguranță online.

Instalează o aplicație SMS

Activează variantele de aplicație SMS recomandate de producătorul telefoanelor mobile, care detectează mesajele spam și le elimină din lista de notificări. Astfel, șansele să deschizi un mesaj de la escroci sunt minime.

O persoană care instalează sisteme de siguranță pe laptop.

Nu citi mesajele dubioase

Ai primit un mesaj de la un număr necunoscut, care începe cu o promisiune de câștig extraordinară. Poate fi un spam. Sunt și companii care își promovează oferte astfel, dar nu promit câștiguri ireale.

O persoană care stabilește o nouă parolă.

Verifică mesajele alarmiste

Mesajele alarmiste, venite pe mail sau sms, care au un titlu amenințător, de genul: contul dvs. va fi închis, serviciile vor fi suspendate sau figurați cu restanțe. Dacă ai deschis un asemenea mesaj, nu te speria, verifică autenticitatea și ia decizii în cunoștință de cauză.

O persoană care citește e-mailuri pe laptop.

Nu deschide link-urile nesigure

Mesajele de fraudă prin SMS sau cele de fraudă prin e-mail sunt însoțite de un link prin care escrocii te direcționează către o interfață realizată special pentru a înregistra date personale: Nu deschide link-urile respective, nu completa formulare cu date personale și PIN-uri.

Un detectiv care identifică e-mailuri ce vor ajunge în spam.

Mută mesajele nedorite în spam

Mută toate mesajele, SMS-urile și e-mailurile nedorite în spam. Dacă nu-ți este de folos, dacă este suspicios, consideră-l spam. Odată ajuns în spam, mesajele de la acel expeditor nu mai sunt afișate. 

O persoană care citește un contract online.

Nu furniza date personale

Evită să furnizezi de date personale în medii nesecurizate. Nu încărca documente personale online, nu introduce date bancare, coduri de securitate sau PIN-uri. Nu trimite documente persoanelor pe care nu le cunoști și nu descărca aplicații pe care nu le-ai solicitat expres.

Ce să faci în cazul în care ești victimă?

Pentru mulți dintre români este greu de înțeles și ce înseamnă phishing sau ce este smishing, de aceea m-am referit la ele cu exemple concrete, ca fiind mesaje de tip phishing sau fraudă prin e-mail. Dacă se întâmplă să fi accesat un link dubios și ai furnizat parola, datele bancare, informațiile de identificare personală sau alte informații personale sensibile, escrocul are deja datele tale.

Ce faci dacă ești victima oricărui tip de phishing în România
  • Schimbă parolele Schimbă parola contului – e-mail, social media etc. – despre care ai furnizat informații. Dacă folosești aceeași parolă în altă parte, schimb-o și pe aceea. Dacă nu ți minte toate parolele, ai putea beneficia de utilizarea unui manager de parole.
  • Anunță instituția bancară Dacă e-mailul sau sms-ul vine de la bancă, anunță banca sau băncile la care ai cont. Este primul lucru care trebuie făcut pentru că șarlatanii vizează în primul rând furtul banilor. Notificarea scrisă este cea mai potrivită, la sediul băncii.
  • Raportează autorităților Raportează phishing-ul autorităților competente dacă ai plătit o persoană despre care crezi că este un escroc. Dacă ai dat informații personale, coduri unice sau dacă are acces la dispozitivele de comunicare.
  • Raportează CERT-RO CERT-RO, Centrul Național de Răspuns la Incidente de Securitate Cibernetică, este o instituție specializată în combaterea infracțiunilor cibernetice. Poți raporta incidente de securitate cibernetică la adresa lor de e-mail: incident@cert.ro.
  • Anunță compania de servicii Dacă e-mailul vine de la Poșta Română sau companii de servicii, acestea trebuie să știe că frauda care are loc sub logo-ul lor. Trebuie anunțate aceste tentative de fraudă, iar dacă au fost furate datele, trebuie anunțată Poșta Română că nu va avea loc o schimbare de adresă.

Trebuie să faci diferență între sms-urile pe care le primești pentru că, odată ce te-ai abonat la un newsletter, primești și mesajele fără a fi fost de acord în prealabil. Dacă ai un cont la unul dintre furnizori de produse sau servicii, este posibil ca la înscriere să fi acceptat notificări prin SMS.

Dacă ai fost de acord cu acest tip de informare, este firesc să primești mesaje. Dacă primești mesaje de la societăți sau site-uri pe care nu le cunoști, este foarte posibil să fie spam, așadar poți să le adaugi în spam-ul aplicației de mesaje.

Întrebări frecvente

Dacă nu știi exact ce este phishingul, și cum modifică el SMS-urile sau e-mailurile, pentru a le face credibile și a crește rata de succes a fraudei, găsești câteva răspunsuri pe scurt mai jos. Pentru a te proteja împotriva fraudei, citește materialul informativ extins.

1️⃣ Câte tipuri de atacuri phishing există?

Phishingul se referă la fraudarea prin SMS sau email. Sunt mai multe tipuri de atacuri de phishing, folosite de escroci pentru a obține date sensibile. Află ce înseamnă fiecare dintre ele și cum sunt folosite de escroci pentru a duce la capăt înșelătorii.

2️⃣ Cum să previi furtul de date prin sms sau email?

Folosirea aplicațiilor de SMS securizate, folosirea sistemelor de protecție pe telefon sau e-mail sunt unii dintre pașii privind prevenirea fraudei prin rețelele de comunicare. Protejează-te împotriva furtului de date pe email, sms, perfecționat cu ajutorul metodelor spoofing.

3️⃣ Ce să faci în cazul fraudei de tip phishing?

Dacă ai accesat un link dubios și ai furnizat parola sau datele bancare, este bine să acționezi. Poți diminua din daunele în cazul atacului de phishing securizând conturile, anunțând banca la care ai conturile bancare înregistrate și autoritățile române.

4️⃣️ Poate fi fraudă un mesaj de la bancă pentru actualizarea datelor?

Un mesaj sau un e-mail de la bancă prin care se cere urmarea unei proceduri pentru actualizarea datelor în timp real este un mesaj fraudulos care pretinde că e de la bancă. Indiferent de instituția bancară la care ai cont, nu se face actualizarea datelor la telefon sau online, ci în sediul băncilor. 

5️⃣️ La ce se referă înșelătoria Poșta Română?

Instituțiile statului sunt percepute de oameni ca fiind de încredere, de aceea escrocii le folosesc fraudulos. Este evident, Poșta Română nu face fraude,nici prin e-mail, nici prin sms. Dar îndură repercusiuni din cauza înșelătoriilor sub logo-ul Poșta Română, pe care infractorii îl folosesc adesea.

Acasă Fraudă online Atacuri de phishing

Vizitând site-ul nostru web, declarați că aveți peste 18 ani și sunteți de acord cu Termenii și condițiile noastre, Politica de confidențialitate. De asemenea, sunteți de acord cu utilizarea cookie-urilor noastre. Site-ul nostru conține reclame.

Am înțeles!