Atenție la phishing! Cum recunoști tentativele de fraudă online și cum te protejezi

Ce este phishing-ul; Cum acționează atacatorii; Cum să te protejezi de furtul datelor personale; Exemple concrete de phishing

În mediul online dinamic de astăzi, siguranța datelor și a informațiilor personale este mai importantă ca niciodată. Amenințările cibernetice sunt în continuă evoluție, iar una dintre cele mai insidioase și periculoase este phishing-ul. Scopul acestor tentative este furtul datelor personale, al conturilor și, uneori, al banilor utilizatorilor.

Ce este phishing-ul?

Phishing-ul este o metodă de fraudă online prin care atacatorii încearcă să se dea drept o companie de încredere (bancă, platformă de anunțuri, instituție publică, magazin online etc.) pentru a convinge victimele să le ofere informații sensibile: parole, date de card, copii după acte de identitate sau alte detalii personale.

Mesajele par oficiale, folosesc logo-uri, adrese de e-mail asemănătoare celor reale și creează un sentiment de urgență pentru a te face să acționezi rapid.

Această înșelăciune se realizează, de obicei, prin e-mailuri, mesaje text (smishing), apeluri telefonice (vishing) sau site-uri web false care imită perfect instituții legitime, precum bănci, companii de tehnologie, servicii de curierat sau chiar platforme precum Anuntul.ro.

Scopul principal al atacatorilor este de a vă convinge să acționați rapid, sub presiunea urgenței sau a unei amenințări (de exemplu, blocarea contului, o problemă cu o livrare, o ofertă irezistibilă), determinându-vă să divulgați informații confidențiale sau să accesați linkuri malițioase care pot instala software periculos pe dispozitivele voastre.

Phishing-ul nu este un atac tehnic complex, ci unul care exploatează încrederea și lipsa de atenție a utilizatorilor.

Cum acționează atacatorii

Cum spuneam, phishing-ul se poate manifesta prin mai multe canale:

E-mailuri false - aparent trimise de la o instituție sau o companie cunoscută.

SMS-uri (smishing) - mesaje scurte cu linkuri către site-uri false.

Mesaje pe WhatsApp sau alte rețele sociale.

Site-uri clonă - pagini care imită aproape perfect designul unei platforme legitime.

În toate cazurile, atacatorii cer:

-   date de autentificare (user, parolă),

-   coduri de acces sau PIN-uri,

-   fotografii ale actului de identitate,

-   date despre card.

Exemplu concret de phishing primit în numele Anunțul.ro

 Un utilizator a primit următorul mesaj:

La prima vedere, mesajul pare oficial. Totuși, există mai multe semne clare că este o fraudă:

Adresa expeditorului nu este una oficială - domeniul „support-anuntul.online” nu aparține Anunțul.ro.

Cererea neobișnuită - nicio platformă serioasă nu solicită trimiterea actului de identitate pe e-mail.

Presiunea timpului - termenul-limită de numai două zile este o metodă clasică de a forța o reacție grăbită.

Formulări generale - mesajul nu conține numele utilizatorului și nu respectă stilul de comunicare oficial al Anunțul.ro. 

Ce daune provoacă phishing-ul

Consecințele unui atac de phishing reușit pot fi devastatoare, atât pentru indivizi, cât și pentru companii. Iată câteva dintre cele mai comune și grave pericole:

-  Furtul de identitate: Odată ce atacatorii obțin date personale (CNP, adrese, informații bancare), le pot folosi pentru a deschide conturi frauduloase, a contracta credite în numele victimei sau pentru a comite alte infracțiuni, lăsând victima cu un istoric financiar compromis și dificultăți majore în restabilirea reputației.

-   Pierderi financiare directe: Phishing-ul este adesea folosit pentru a accesa conturi bancare, conturi de investiții sau carduri de credit, ducând la furtul direct de fonduri. În cazul companiilor, atacurile de tip Business Email Compromise (BEC) pot duce la transferuri bancare frauduloase de milioane de euro.

-   Instalarea de malware și ransomware: Link-urile malițioase din e-mailurile de phishing pot descărca și instala automat software periculos pe dispozitivele voastre. Acesta poate varia de la viruși care fură date, la ransomware care criptează toate fișierele și cere o răscumpărare pentru deblocarea lor, sau spyware care monitorizează activitatea online.

-   Compromiterea conturilor online: Atacatorii pot prelua controlul asupra conturilor de e-mail, rețele sociale, platforme de cumpărături (inclusiv conturi pe Anuntul.ro) sau alte servicii online. Acest lucru le permite să trimită mesaje frauduloase în numele victimei, să acceseze informații private sau să efectueze achiziții neautorizate.

-   Daune reputaționale: Pentru companii, un atac de phishing de succes poate duce la pierderea încrederii clienților, la scăderea valorii acțiunilor și la costuri semnificative legate de investigații, remediere și eforturi de PR pentru a repara imaginea publică.

-   Acces la rețele companiilor: Prin compromiterea datelor de acces ale unui angajat, atacatorii pot obține acces la rețeaua internă a unei companii, deschizând calea pentru atacuri mult mai ample și mai distructive, cum ar fi furtul de proprietate intelectuală sau spionajul industrial sau chiar provocarea unor daune majore, cum ar fi pene de curent generalizate sau alte crize.

Sfaturi de la Directoratul Național de Securitate Cibernetică pentru a recunoaște și a te feri de phishing

Protejarea împotriva atacurilor de phishing necesită vigilență și o abordare proactivă. Directoratul Național de Securitate Cibernetică (DNSC) are câteva sfaturi practice care vă vor ajuta să identificați și să evitați capcanele:

1. Verificați cu atenție expeditorul: Asigurați-vă că adresa de e-mail a expeditorului este legitimă și corespunde organizației pe care pretinde că o reprezintă. Fiți atenți la mici diferențe în nume de domenii (ex. anuntul.online în loc de anuntul.ro).

2. Nu accesați link-uri suspecte: Evitați să dați click pe link-uri din e-mailuri sau mesaje nesolicitate. Dacă aveți îndoieli, tastați manual adresa site-ului în browser sau accesați-l prin intermediul unei căutări Google.

3. Nu descărcați atașamente necunoscute: Atașamentele din e-mailurile suspecte pot conține malware. Nu le deschideți niciodată dacă nu sunteți absolut siguri de proveniența și siguranța lor.

4. Nu furnizați date personale sau financiare: Nicio instituție legitimă nu vă va cere informații sensibile (parole, PIN-uri, numere complete de card, coduri CVV) prin e-mail sau telefon. Procesele de verificare se fac prin canale securizate.

5. Fiți sceptici la oferte prea bune pentru a fi adevărate: Atacatorii folosesc adesea promisiuni de câștiguri rapide, premii sau oferte incredibile pentru a atrage victimele.

6. Raportați incidentele: Dacă suspectați că ați fost ținta unui atac de phishing, raportați incidentul către DNSC (pe platforma pnrisc.dnsc.ro sau la numărul 1911) și către furnizorul de servicii (bancă, platformă online etc.).

Mai multe informații despre cum vă puteți proteja de fraudele online citiți pe site-ul dedicat, realizat de DNSC: sigurantaonline.ro 

Sfaturi de prevenire a phishing-ului:

Pe lângă recomandările DNSC, mai sunt câteva practici esențiale pentru a vă spori securitatea online:

1. Activați autentificarea cu doi factori (2FA/MFA) oriunde este posibil, pentru conturile online (e-mail, bancă, rețele sociale). Chiar dacă atacatorii obțin parola, nu vor putea accesa contul fără al doilea factor de autentificare (care de regulă este un cod SMS sau o aplicație de autentificare).

2. Verificați adresa URL: înainte de a introduce orice informație pe un site, verificați cu atenție adresa URL din bara browserului. Asigurați-vă că începe cu https:// (ceea ce indică o conexiune securizată) și că domeniul este cel corect (ex. anuntul.ro, nu anuntul-ro.com sau anuntul.online).

3. Folosiți un antivirus și un firewall actualizate pe dispozitivele pe care le utilizați: mențineți software-ul de securitate (antivirus, firewall) actualizat pentru a detecta și bloca amenințările cunoscute.

4. Actualizați sistemul de operare și aplicațiile: asigurați-vă că sistemul de operare, browserul web și toate aplicațiile sunt la zi.

5. Fiți prudenți cu mesajele urgente sau amenințătoare: phishing-ul se bazează adesea pe crearea unui sentiment de urgență sau frică. Dacă un mesaj vă cere să acționați imediat sau amenință cu consecințe grave, fiți precauți și nu vă panicați.

6. Nu răspundeți la mesaje suspecte: răspunsul la un e-mail de phishing confirmă atacatorilor că adresa dumneavoastră este activă, ceea ce poate duce la mai multe atacuri.

Prin aplicarea acestor măsuri, veți reduce semnificativ riscul de a deveni o victimă a atacurilor de phishing. Siguranța online este o responsabilitate comună, iar la Anuntul.ro, suntem alături de utilizatorii noștri pentru a le oferi un mediu cât mai sigur.

Mesaj important pentru utilizatorii Anunțul.ro

 Anunțul.ro/Anunțul Telefonic nu va solicita niciodată trimiterea de copii după actele de identitate prin e-mail.

Singurele comunicări oficiale vin de pe domeniul @anuntul.ro. Dacă primiți un mesaj suspect, nu răspundeți la el și raportați-l imediat echipei noastre de suport.

Exemple concrete de phishing și ce au pățit victimele

Phishing-ul nu este doar o amenințare „teoretică”. Din păcate, mii de oameni cad zilnic în capcană, de la Hillary Clinton și alte mari nume din politica americană până la educatoarea Ioana din Slobozia, care a intrat pe un link suspect și apoi WhatsApp-ul ei a trimis mesaje tuturor prietenilor, cerându-le bani. Fără atenție, oricine poate deveni victimă a phishing-ului. Iată câteva cazuri reale:

1. Mesaje false „de la bancă” sau „de la ANAF” – furt de bani din conturi

Un val de e-mailuri și SMS-uri a lovit România în 2023, pretinzând că provin de la BCR, BT sau ING. Victimele erau anunțate că „trebuie să-și actualizeze datele” și erau trimise pe site-uri false unde își introduceau numele de utilizator, parola și codurile de acces.

Rezultatul: Unii clienți au pierdut mii de lei, pentru că atacatorii au reușit să facă transferuri bancare în numele lor.

De reținut aici este faptul că majoritatea băncilor din România au încheiat deja acorduri de colaborare cu Evidența populației și astfel fac actualizarea datelor persoanelor fizice automat, fără să mai fie nevoie ca titularii de cont să se mai ducă la bancă cu buletinul la diverse intervale de timp.

Nici ANAF nu a fost scutit de phishing, așa că a fost nevoită să atenționeze contribuabilii că pot fi victime ale unor false mesaje venite „ca din partea ANAF”. Și știm cu toții ce înseamnă să primești un mesaj de la ANAF! Adevărat sau fals, tot rău e. 

2. Falsuri cu Poșta Română, firme de curierat sau site-uri de anunțuri

Multe persoane au primit SMS-uri de tipul: „Pachetul dvs. nu a putut fi livrat. Vă rugăm să achitați 4,99 lei taxa de redirecționare accesând acest link”.

Oamenii introduceau datele cardului pe site-ul fals, iar escrocii le goleau conturile. Poliția a raportat zeci de plângeri pentru acest tip de fraudă.

Și utilizatorii platformelor de anunțuri sunt adesea ținte. Atacatorii se prezintă ca potențiali cumpărători sau vânzători și încearcă să mute conversația pe platforme externe (WhatsApp), unde trimit linkuri false de plată sau de verificare a identității, care duc la compromiterea datelor bancare.

3. Atacul asupra clienților Uber, Booking sau Airbnb

Clienți ai Uber au primit e-mailuri aparent oficiale care le cereau să-și „reactualizeze cardul” în aplicație. Linkul ducea către o pagină clonă, iar cardurile erau folosite pentru plăți online frauduloase. Recuperarea banilor a fost dificilă sau imposibilă în unele cazuri.

La Airbnb, atacatorii au trimis mesaje gazdelor, cerând „verificarea identității” printr-un link fals. Conturile au fost compromise, iar escrocii au încercat să redirecționeze plăți către propriile conturi.

4. Atacul asupra Comitetului Național Democrat (DNC) din SUA (2016)

Această campanie de spear-phishing a vizat conturile de e-mail ale unor oficiali DNC, inclusiv pe cel al președintelui campaniei lui Hillary Clinton. E-mailurile de phishing, deghizate în alerte de securitate Google, au dus la furtul a mii de e-mailuri care au fost ulterior publicate de WikiLeaks, cu un impact major asupra alegerilor prezidențiale din SUA.

5. Cazul „am nevoie urgent de 1.000 de lei până la salariu”

Un caz real este cel al Ioanei (nume schimbat din motive de protejare a victimei), educatoare la Slobozia, care a accesat un link trimis de cineva pe WhatsApp și apoi s-a trezit că i-a fost preluat contul de către atacatori, care au transmis în numele ei, de pe contul ei de WhatsApp, mesaje către mai mulți prieteni din listă, cu solicitarea: „Am nevoie urgent de 1000 de lei până la salariu!”. Din păcate unii i-au și trimis, până când a apucat Ioana să-i anunțe pe toți că este victima unui atac. Banii nu au mai fost recuperați. În astfel de cazuri este bine să sunați personal victima și să o întrebați dacă ea a trimis mesajul și chiar are nevoie de bani.

6. Atacurile asupra companiilor – cazul „CEO Fraud”

În România și în străinătate, numeroase firme au căzut victime unui tip special de phishing: „frauda CEO”. Angajații de la contabilitate primesc un e-mail de la o adresă care o imită pe cea a directorului („director@companie-ro.com” în loc de „director@companie.ro”), cu solicitarea urgentă de a face un transfer. În câteva cazuri, companii din România au pierdut sute de mii de euro prin transferuri către conturi offshore, bani imposibil de recuperat.

Așadar, phishing-ul are consecințe reale și grave. Oamenii și-au pierdut economiile din cauza unor astfel de situații, iar companiile au suferit pierderi financiare uriașe.

De aceea, Anuntul.ro/Anunțul Telefonic vă avertizează să fiți vigilenți: nu trimiteți niciodată acte, parole sau date bancare prin e-mail sau SMS, chiar dacă mesajul pare oficial.

În caz că primiți astfel de mesaje suspecte anunțați imediat la suport@anuntul.ro