Ce este phishing-ul — tipuri, exemple reale și protecție

Phishing-ul imită instituții de încredere pentru a fura date. Tipuri, exemple reale din România (eMAG, BCR, curieri) și cum recunoști mesajele false.

Redacția Sigur Online Actualizat la

Ce este phishing-ul

Phishing-ul este o formă de fraudă digitală prin care atacatorii se deghizează în instituții de încredere — bănci, magazine online, servicii de curierat, autorități — pentru a te convinge să le oferi informații sensibile: parole, date de card, coduri de autentificare sau date personale.

Termenul vine din englezescul „fishing” (pescuit) — atacatorii „aruncă undița” și așteaptă să prindă victime. Tacticile au evoluat semnificativ: astăzi, e-mailurile și mesajele de phishing pot fi aproape imposibil de distins de cele autentice.

Tipurile principale de phishing

E-mail phishing — forma clasică

Cel mai frecvent, atacatorul trimite un e-mail care imită perfect designul unei bănci sau al unui serviciu online. Mesajul creează urgență artificială: „Contul tău va fi blocat în 24 de ore”, „Ai primit un ramburs”, „Verificare de securitate necesară”.

Smishing — phishing prin SMS

Smishing-ul (SMS + phishing) este varianta prin mesaje text. Spre deosebire de e-mail, SMS-urile par mai credibile pentru mulți utilizatori și generează rate de clic mai mari.

Vishing — phishing vocal (telefon)

Atacatorul sună direct, pretinzând a fi de la bancă, poliție sau ANAF. Creează panică imediată și cere coduri de autentificare sau date de card „pentru a rezolva o situație urgentă”.

Spear phishing — atacuri țintite

Forma cea mai periculoasă: mesajul este personalizat cu datele victimei (nume, funcție, informații recente). Vizează de obicei companii sau persoane cu acces la sisteme importante.

Exemple românești reale

⚠️ Atenție: Campaniile de mai jos au fost documentate de DNSC și au vizat milioane de utilizatori din România.

Mesaje false eMAG

SMS-uri care anunță că „ai câștigat un produs eMAG” sau că „livrarea a eșuat” și cer accesarea unui link pentru reprogramare. Link-ul duce la un site care imită eMAG și cere datele cardului pentru „taxa de livrare” de câțiva lei.

SMS-uri false de la bănci

Mesaje care imită Banca Transilvania, BCR sau BRD: „Activitate suspectă pe contul tău. Verifică imediat accesând [link].” Link-ul duce la o replică a aplicației de internet banking, unde victima introduce credențialele.

Aplicația George BCR falsă

Au circulat versiuni false ale aplicației George, distribuite prin link-uri din SMS-uri sau grupuri de WhatsApp. Aplicația falsă colecta credențialele și le trimitea atacatorilor.

SMS-uri false de curierat (Fan Courier, DPD, GLS)

„Coletul tău nu a putut fi livrat. Achitați taxa de 3 lei pentru reprogramare.” Victima introduce datele cardului, iar atacatorii efectuează tranzacții mult mai mari.

Alerte DNSC

Directoratul Național de Securitate Cibernetică (DNSC) publică alerte regulate pe dnsc.ro despre campaniile active. Este recomandat să urmărești aceste alerte mai ales în perioadele de campanii comerciale (Black Friday, Crăciun) când atacurile se intensifică.

Semnale de alarmă — cum recunoști un mesaj fals

Câteva semnale de alarmă comune:

  • Urgență artificială: „Acum”, „În 24 de ore”, „Imediat sau pierzi accesul”
  • Adresă de expeditor suspectă: noreply@bancatransilvania-secure.ro în loc de noreply@bancatransilvania.ro
  • Link-uri cu domenii modificate subtil: emag-livrare.ro, bcr-george-verificare.com
  • Cereri de date sensibile: nicio instituție legitimă nu cere PIN, parolă sau cod 2FA prin mesaj
  • Greșeli gramaticale sau exprimare stângace: deși atacurile moderne sunt din ce în ce mai bine redactate
  • Atașamente neașteptate: un PDF sau fișier Word de la o sursă necunoscută

Ghidul nostru despre cum te protejezi de phishing detaliază fiecare semnal de alarmă cu exemple vizuale, iar pentru atacuri specifice sectorului bancar, consultă ghidul despre phishing bancar BCR, BT, BRD.

Ce faci dacă ai dat clic

  1. Nu introduce nicio dată pe site-ul la care ai ajuns
  2. Închide imediat tab-ul sau aplicația
  3. Dacă ai introdus date de card: sună banca imediat pentru blocare (numărul e pe spatele cardului)
  4. Schimbă parola contului afectat de pe un dispozitiv sigur
  5. Activează autentificarea în doi pași pe conturile importante
  6. Raportează la DNSC prin formularul de pe dnsc.ro sau la alerts@dnsc.ro

Cum recunoști un mesaj fals

Regula de aur: nicio instituție legitimă nu îți cere date sensibile printr-un link din SMS sau e-mail.

Dacă primești un mesaj care pare urgent de la bancă, eMAG, un curier sau ANAF, nu da clic pe linkul din mesaj. Deschide manual aplicația sau site-ul oficial și verifică acolo dacă există cu adevărat o problemă. Această regulă simplă blochează 90% din atacurile de phishing.

Pentru o protecție mai solidă, combină vigilența cu autentificarea în doi pași pe toate conturile importante — chiar dacă parola este furată, atacatorul nu poate intra fără al doilea factor.

Nu te lăsa păcălit online

Ghiduri practice, teste independente și comparații clare — în limba ta, fără jargon de marketing.

Citește ghidurile Încearcă instrumentele