Quishing și vishing cu AI: metodele de fraudă care cresc în 2026

DNSC avertizează: codurile QR false (quishing) și apelurile cu voci clonate prin inteligență artificială sunt în creștere rapidă în România în 2026.

Redacția Sigur Online Actualizat la

Două metode noi în creștere: quishing și vishing cu AI

Directoratul Național de Securitate Cibernetică (DNSC) a documentat în primele luni ale anului 2026 o creștere semnificativă a două tipuri de atacuri care combină tehnici clasice de manipulare cu tehnologii moderne: quishing-ul (phishing prin coduri QR) și vishing-ul cu inteligență artificială (apeluri telefonice cu voci clonate).

Ambele metode exploatează limitele de percepție umane: codurile QR nu pot fi „citite” vizual înainte de scanare, iar o voce clonată convingător activează reacții emoționale care dezactivează gândirea critică. Rezultatul este că chiar și persoane atente și bine informate pot deveni victime.

Quishing: când codul QR devine o capcană

Ce este quishing-ul

Quishing-ul (prescurtare de la „QR phishing”) este o tehnică prin care escrocii înlocuiesc sau adaugă coduri QR false pentru a redirecționa victimele către site-uri de phishing. Spre deosebire de un link text pe care îl puteți evalua vizual, un cod QR este opac — nu știți unde duce până când nu îl scanați.

Unde apar codurile QR false în 2026

Parcări și automate de plată — Escrocii lipesc autocolante cu coduri QR false peste codul original al aparatelor de plată pentru parcări. Victima scanează, ajunge pe un site fals al „parcării”, introduce datele de card și pierde bani.

Afișe stradale și pliante — Coduri QR aparent pentru oferte, evenimente sau concursuri care duc la site-uri false de colectare a datelor.

E-mailuri corporative — Atacatorii trimit e-mailuri care mimează comunicări interne (HR, IT, contabilitate) cu coduri QR pentru „verificarea datelor”, „actualizarea beneficiilor” sau „accesul la un document urgent”. Această metodă este deosebit de periculoasă pentru că ocolește filtrele antispam — e-mailul nu conține link-uri text, ci doar o imagine.

Meniuri de restaurant și campanii de fidelizare — Coduri QR plasate la mese sau distribuite prin pliante, care duc la pagini false de „colectare puncte” sau „câștig unui voucher”.

Cum funcționează atacul pas cu pas

  1. Victima scanează codul QR dintr-o sursă aparent legitimă
  2. Este redirecționată către un site care imită o bancă, un serviciu de plată sau o instituție
  3. Site-ul solicită date de card, credențiale de autentificare sau informații personale
  4. Datele introduse ajung direct la escroci
  5. Codul QR original rămâne intact — atacul este greu de sesizat rapid

⚠️ Atenție: Un cod QR aplicat recent sau care pare „lipit” peste altceva este un semnal de alarmă clar. Verificați fizic suportul înainte de scanare.

Vishing cu AI: vocea „unui cunoscut” care nu este cine pretinde

Cum funcționează clonarea vocală

Instrumentele de inteligență artificială generativă pot crea o replică a vocii unei persoane după câteva secunde de audio. Escrocii colectează material audio din surse publice: videoclipuri pe rețelele sociale, interviuri, mesaje vocale publice. Cu acest material, generează apeluri în care „ruda” sau „colegul” sună și solicită ajutor urgent.

Scenariile tipice de vishing cu AI în România 2026

„Sunt mama ta, am un accident” — Un apel în care vocea clonată a unui parinte sau copil pretinde că se află în urgență medicală și are nevoie de bani transferați urgent.

„Sunt directorul, ai o misiune confidențială” — Apel care imită vocea unui superior ierarhic pentru a instrui angajatul să transfere bani sau să furnizeze date de acces. Această variantă vizează angajații companiilor și este numită „frauda CEO”.

„Sunt de la bancă, există o problemă urgentă” — Voce clonată a unui operator bancar (uneori chiar una cu care ați mai vorbit) care solicită date de autentificare pentru a „proteja contul”.

De ce funcționează

Creierul uman nu a evoluat pentru a detecta audio sintetic. Când recunoaștem vocea cuiva drag, reacția emoțională este imediată și puternică. Escrocii exploatează tocmai această reacție: urgența creată nu lasă timp de verificare.

⚠️ Atenție: Semnele unui apel de vishing cu AI includ calitate audio ușor nenaturală, pauze neobișnuite între cuvinte, refuzul de a trece la video sau de a trimite o fotografie în timp real.

Cum recunoști și cum te protejezi

Pentru coduri QR:

  • Verificați fizic dacă eticheta QR pare aplicată recent sau lipită peste altceva
  • Folosiți un cititor QR care afișează URL-ul înainte de a deschide pagina
  • Dacă URL-ul nu corespunde exact domeniului așteptat, nu continuați
  • Pentru plăți în parcări sau automate, preferați plata prin aplicații oficiale descărcate direct

Pentru apeluri cu voce clonată:

  • Stabiliți cu familia un cuvânt-cod pe care să îl cereți în situații de urgență — escrocii nu îl vor ști
  • Dacă primiți un apel urgent de la un „cunoscut”, închideți și sunați înapoi pe numărul salvat în telefon
  • Fiți extrem de suspicioși față de orice solicitare de transfer bancar prin telefon, indiferent cine pretinde că sună
  • Nu furnizați niciodată date de autentificare bancară prin telefon, indiferent de context

Pentru protecție generală față de phishing, consultați ghidul nostru complet despre cum te protejezi de phishing și testul de securitate online.

Cazuri documentate în România

DNSC a raportat în 2026 mai multe cazuri în care victimele au transferat sume între 500 și 10.000 de lei prin aceste metode. Cel mai frecvent, victimele au realizat frauda abia după ore sau zile, când au încercat să contacteze persoana ale cărei voce fusese clonată.

Un caz frecvent documentat: pensionari care au primit apeluri în care „copiii” lor le cereau bani urgent pentru a „ieși dintr-o situație” — variantă actualizată a înșelăciunii tradiționale „accidentul”, dar cu voce clonată prin AI în loc de un impostor.

Ce să faci acum

  1. Stabiliți un cuvânt-cod cu familia pentru situații de urgență — o metodă simplă și eficientă împotriva vishing-ului cu AI.
  2. Nu scanați coduri QR din e-mailuri sau afișe nesolicitate fără a verifica mai întâi destinația URL-ului.
  3. ⚠️ Dacă ați primit un apel suspect și ați transferat bani, contactați imediat banca pentru a bloca transferul — există o fereastră de timp în care transferurile pot fi oprite.
  4. Verificați fizic codurile QR din locuri publice — dacă eticheta pare aplicată recent sau lipită, nu scanați.
  5. Raportați incidentele la DNSC prin dnsc.ro/alerta — fiecare raportare ajută la documentarea campaniilor active.

Citiți și ghidul nostru despre ce faci dacă ai fost victima unui atac cibernetic pentru pașii de urmat după un incident.

Întrebări frecvente despre fraudă cu cod QR

Ce este quishing-ul și cu ce diferă de phishing-ul clasic?

Quishing-ul este o variantă de phishing care folosește coduri QR în loc de link-uri text. Escrocii plasează coduri QR false pe afișe, în e-mailuri sau le lipesc peste codurile originale din locuri publice. Când scanați codul, sunteți redirecționat către un site fals care vă fură datele. Diferența față de phishing-ul clasic este că link-ul nu este vizibil înainte de scanare, deci nu îl puteți evalua cu ochiul liber.

Cum poate un escroc să îmi cloneze vocea unui prieten?

Instrumentele de clonare vocală bazate pe inteligență artificială pot reproduce vocea unei persoane după doar câteva secunde de audio — suficient cât să fie preluate de pe rețelele sociale sau apeluri înregistrate. Calitatea clonării a crescut spectaculos în 2025-2026, astfel că rezultatul sună convingător chiar și pentru rude apropiate.

Am scanat un cod QR dintr-un e-mail și am introdus datele de card. Ce fac?

Contactați imediat banca pentru a bloca cardul și a monitoriza tranzacțiile. Schimbați parola contului de internet banking de pe un dispozitiv sigur. Raportați incidentul la DNSC prin dnsc.ro/alerta. Dacă au fost sustrase fonduri, depuneți și o sesizare la Poliție.

Există o metodă sigură de a verifica un cod QR înainte de a-l scana?

Da. Folosiți o aplicație de scanare QR care afișează URL-ul înainte de a deschide pagina și verificați că adresa corespunde domeniului așteptat. În locuri fizice, verificați dacă eticheta cu codul QR pare aplicată recent sau lipită peste ceva. Dacă codul este dintr-un e-mail de la o companie, accesați direct site-ul companiei în loc să scanați.

Nu te lăsa păcălit online

Ghiduri practice, teste independente și comparații clare — în limba ta, fără jargon de marketing.

Citește ghidurile Încearcă instrumentele