Sari la conținut
UpTrust Cyber Security Defence

Ghiduri

Am dat datele cardului pe un site fals: ce fac

Ai apucat să tastezi numărul cardului pe un site fals și acum ți s-a oprit inima. Primele 10 minute contează. Iată exact ce faci, în ce ordine, cu numere oficiale.

Echipa UpTrust10 min citire
Persoană ținând un card bancar lângă laptop, în timpul unei plăți online

Cumperi ceva ieftin de pe un anunț văzut pe Facebook sau cauți unde a ajuns un colet și dai peste o pagină care arată exact ca a curierului. Completezi numărul cardului, data, codul CVV de pe spate, apeși „plătește" și abia atunci ceva nu se leagă: pagina se blochează, se reîncarcă ciudat sau îți cere pe loc încă un cod. În secunda aceea îți dai seama că site-ul era fals și că tocmai ai dat datele cardului unor escroci. Inima începe să bată cu putere și prima reacție este să înghet, ți.

Tocmai aceea este reacția care te costă. Acum nu ai nevoie de panică, ci de o listă clară, în ordine, pe care să o bifezi. Ghidul de față e scris pentru exact momentul ăsta: ai introdus datele cardului pe un site fals și vrei să știi ce faci în primele 10 minute, apoi în primele ore. Îți spun ce blochezi întâi, de ce nu ai voie să atingi codul 3D Secure care vine acum, cum contești tranzacțiile ca să-ți recuperezi banii și cum nu te lași tras pe sfoară a doua oară de un fals angajat al băncii sau de o falsă firmă de recuperare.

Card bancar ținut în mână lângă laptop, în timpul unei plăți online
Cardul pe care l-ai folosit pe site-ul fals trebuie blocat imediat, direct din aplicația băncii.

Citește asta înainte de orice altceva

Dacă chiar acum îți vine un cod prin SMS, un cod 3D Secure sau un cod de la bancă, nu îl introduce nicăieri și nu îl spune nimănui. Codul acela aprobă o plată, nu o anulează. Dacă nu faci tu o cumpărătură în acest moment, codul înseamnă că cineva încearcă să scoată bani de pe cardul tău chiar acum. Ignoră-l și treci la blocarea cardului.

Primele 10 minute: ce faci pe loc

Datele cardului tău au ajuns, cel mai probabil, la cei care controlează site-ul fals. Nu știi cât de repede le vor folosi, așa că te miști ca și cum le-ar folosi chiar acum. Iată ordinea exactă a pașilor. Nu sări peste niciunul și nu schimba ordinea.

Dacă le faci pe astea cinci în primele minute, ai tăiat cele mai multe căi prin care ți-ar putea goli cardul. Restul, adică contestarea banilor deja plecați și raportarea, se fac în orele următoare, dar nu le amâna pe „mâine".

De ce blochezi întâi din aplicație, nu suni întâi

Mintea îți spune să suni imediat la bancă, să vorbești cu un om. Problema e că un apel poate dura: aștepți la coadă, te trec de la un operator la altul, îți cer să confirmi identitatea. În timpul ăsta cardul e în continuare activ. Blocarea din aplicație e instantanee și o faci tu, fără să depinzi de nimeni. De aceea e primul pas.

Apelul rămâne necesar, dar pentru un motiv mai serios: blocarea din aplicație e de obicei temporară, iar tu ai nevoie de înlocuirea cardului. Atâta timp cât numărul cardului, data expirării și codul CVV au ajuns la escroci, cardul rămâne compromis chiar dacă îl deblochezi mai târziu. Singura soluție sigură e un card nou, cu alt număr. Banca face asta la telefon sau în agenție.

Dacă te întrebi cum de ți s-a putut copia cardul fără să-l fi pierdut fizic vreodată, răspunsul e că pe internet nu e nevoie de cardul de plastic, ci doar de numerele de pe el. Cum ajung escrocii să fure cardul direct din pagina de plată am explicat pe larg în articolul despre furtul de date de card prin e-skimming.

Codul 3D Secure: cel mai periculos pas, dacă îl greșești

Aici se pierd cei mai mulți bani, fix după ce victima a făcut altfel totul bine. Codul 3D Secure este codul pe care banca ți-l trimite prin SMS sau prin aplicație ca să confirmi o plată online. E pasul final care lasă banii să plece. Cu alte cuvinte, fără codul ăsta, escrocul are numărul cardului tău, dar nu poate finaliza plata. Tu ești ultima ușă.

Escrocii știu asta, așa că după ce le-ai dat datele cardului încearcă să te păcălească să le dai și codul. Tiparul e mereu același: pagina falsă îți cere „codul de confirmare" ca să „verifice cardul", sau primești imediat un telefon de la cineva care zice că e de la bancă și că trebuie să-i dictezi codul ca să „anuleze o tranzacție suspectă". Este minciună.

Nicio bancă nu îți cere niciodată codul 3D Secure, OTP sau PIN la telefon

Poliția Română, DNSC și Asociația Română a Băncilor au avertizat în mod repetat: niciun angajat real al băncii nu îți va cere codul primit prin SMS, codul de aprobare a plății, parola sau PIN-ul, nici la telefon, nici în chat. Dacă cineva ți le cere, este escroc, indiferent ce număr afișează telefonul. Închizi și suni tu banca pe numărul de pe card.

Ține minte regula simplă: codul 3D Secure aprobă o plată, nu o oprește niciodată. Dacă primești un cod fără să fi apăsat tu „plătește" chiar în secunda aceea, nu îl introduce și nu îl dicta. E semnalul că o tranzacție e în curs și trebuie blocată, nu confirmată.

Cum contești tranzacțiile și îți recuperezi banii (chargeback)

Dacă au plecat deja bani de pe card, nu sunt neapărat pierduți. Pentru plățile cu cardul există o procedură prin care ceri înapoi banii dintr-o tranzacție pe care nu ai autorizat-o, numită chargeback. Pe scurt, banca ta cere înapoi suma prin rețeaua cardului (Visa sau Mastercard), pe motiv că plata a fost frauduloasă.

Concret, așa procedezi:

  • Mergi la bancă, în agenție sau pe canalul oficial, și depui o cerere de refuz la plată pentru fiecare tranzacție pe care nu o recunoști. Banca o înregistrează și începe analiza cazului.
  • Pregătești documentele: actul de identitate, cererea de refuz la plată și un extras de cont care conține tranzacția sau tranzacțiile contestate.
  • Descrii pe scurt ce s-a întâmplat: că ai introdus datele cardului pe un site fals și că plățile respective nu au fost făcute de tine.
  • Păstrezi tot ce ai: adresa site-ului fals, capturi de ecran, SMS-urile primite, mesajul prin care ai ajuns acolo. Ajută atât banca, cât și Poliția.

Două lucruri merită știute despre termene. Întâi, regulile rețelelor de card lasă în general până la 120 de zile de la tranzacție pentru a deschide o dispută, dar nu te baza pe asta ca pe un răgaz: cu cât reclami mai repede, cu atât mai bine, fiindcă banii sunt mai ușor de oprit cât sunt proaspeți. Al doilea, dacă tranzacția chiar nu a fost autorizată de tine, ca utilizator de servicii de plată din Uniunea Europeană ai protecții legale clare, transpuse și în legea din România. Nu pleca de la ideea că „oricum am pierdut banii".

Raportarea: DNSC 1911 și Poliția

Pe lângă bancă, frauda se raportează și autorităților. Nu e doar o formalitate: o raportare făcută repede poate ajuta la închiderea canalelor folosite de escroci și la oprirea altor victime.

  • DNSC, la numărul 1911. Este numărul unic al Directoratului Național de Securitate Cibernetică, dedicat incidentelor informatice, apelabil din orice rețea. Suni pentru îndrumare și poți completa și formularul oficial pe platforma pnrisc.dnsc.ro.
  • Poliția. Depui plângere, prezentând actul de identitate, cererea de refuz la plată și extrasul de cont cu tranzacțiile contestate. Frauda cu carduri intră în zona infracțiunilor informatice.

Dacă ai ajuns pe site-ul fals printr-un SMS despre un colet care „te așteaptă la livrare", merită să citești și ce faci după o fraudă prin SMS de tip colet, fiindcă e exact aceeași capcană, doar cu altă momeală. Iar dacă ai dat peste pagina falsă printr-un email care imită o firmă sau o instituție, vezi cum recunoști un email de phishing ca să nu repeți experiența.

A doua țeapă: apeluri false de la „bancă" și falși recuperatori

Există un al doilea val de înșelătorie care vine fix peste oamenii deja păcăliți, și e adesea mai costisitor decât primul. După ce ți-ai dat datele, ești pe o listă. De acolo pornesc două scheme pe care trebuie să le recunoști din prima.

Apelul fals de la bancă (spoofing). Te sună cineva calm, care îți știe numele, poate chiar ultimele cifre ale cardului, iar pe ecran îți apare un număr care pare al băncii. Numărul afișat poate fi falsificat, așa se numește spoofing, iar ANCOM a impus operatorilor de telefonie să blocheze tocmai apelurile cu numere românești falsificate. „Operatorul" îți spune că s-a detectat o tranzacție suspectă și că, pentru a o „bloca", trebuie să-i dictezi codul din SMS sau să muți banii într-un „cont sigur". Tot ce îți cere este de fapt aprobarea pentru ca el să scoată banii. Închizi și suni tu banca pe numărul de pe card.

Falsii recuperatori de bani. La câteva zile după fraudă, te găsește „cineva" care îți promite că-ți recuperează banii pierduți, contra unui mic avans sau a unui comision. Este aceeași gașcă sau una aliată, care storc încă o dată oamenii disperați să-și ia banii înapoi. Recuperarea legitimă se face prin banca ta și prin autorități, gratuit, niciodată printr-o firmă care te sună din senin și cere bani în avans. Am detaliat capcana asta în articolul despre firmele de recuperare bani care sunt a doua țeapă.

Orice apel sau mesaj din senin despre banii tăi e suspect

Dacă cineva te contactează el pe tine în legătură cu frauda, cu cardul, cu „blocarea contului" sau cu recuperarea banilor, tratează-l ca pe o tentativă de înșelătorie până la proba contrarie. Nu da coduri, nu da parole, nu muta bani, nu plăti niciun „comision". Închizi și contactezi tu banca și autoritățile, pe canale oficiale verificate de tine.

După criză: cum nu mai pățești

Când a trecut valul, merită să pui câteva măsuri simple care te-ar fi protejat și de data asta:

  • Folosește un card separat pentru cumpărături online, cu o limită mică, sau un card virtual de unică folosință, dacă banca ți-l oferă. Așa, chiar dacă dai din greșeală datele, paguba maximă e mică.
  • Verifică adresa site-ului înainte să plătești: domeniul scris corect, fără litere lipsă sau adăugate, și fără variante ciudate. Multe pagini false copiază la milimetru aspectul, dar nu pot copia adevărata adresă.
  • Nu refolosi aceeași parolă peste tot. Un manager de parole ține câte o parolă unică pentru fiecare cont, ca o scurgere într-un loc să nu îți deschidă restul.
  • Activează autentificarea în doi pași pe email și pe conturile importante. Cum se face, pas cu pas, găsești în ghidul despre cum activezi 2FA.

Iar dacă ești firmă, nu doar victimă

Multe site-uri false care fură carduri sunt, de fapt, magazine reale care au fost sparte și transformate în unelte de fraudă fără ca proprietarul să știe. Dacă ai un site sau un magazin online, cea mai bună grijă pe care o porți clienților tăi este ca pagina ta să nu ajungă să le fure cardurile. UpTrust pune un strat de securitate web gestionată în fața site-ului tău, pe Cloudflare, cu WAF și monitorizare, fără acces la codul tău și fără să schimbăm nimic la tine. Îți facem o evaluare gratuită și îți spunem cinstit cât de expus ești. Un site curat te protejează pe tine și pe clienții care au încredere în el.

Întrebări frecvente

Am introdus datele cardului pe un site fals, dar nu văd nicio tranzacție. Mai trebuie să fac ceva?

Da. Lipsa unei tranzacții în primele minute nu înseamnă că ești în siguranță. Datele cardului pot fi folosite peste ore sau zile, ori vândute mai departe. Blochează sau îngheață cardul din aplicația băncii imediat, sună banca pe numărul de pe spatele cardului și cere reemiterea lui. Un card cu numărul, data și codul CVV scurse rămâne periculos până îl înlocuiești, nu doar până îl deblochezi.

Mi-a venit acum un cod 3D Secure prin SMS. Îl introduc ca să anulez plata?

Nu. Codul 3D Secure aprobă o plată, nu o anulează niciodată. Dacă ți-a venit un cod pe care nu l-ai cerut tu printr-o cumpărătură făcută chiar acum de tine, înseamnă că cineva încearcă să scoată bani de pe cardul tău în acest moment. Nu îl introduce nicăieri și nu îl citi nimănui la telefon, nici dacă cel care sună spune că e de la bancă.

Banii deja au plecat de pe card. Îi mai pot recupera?

De multe ori, da. Dacă tranzacția nu a fost autorizată de tine, ai dreptul să o contești la bancă printr-o cerere de refuz la plată, iar banca poate iniția procedura de chargeback prin rețeaua cardului. Mergi cât mai repede la bancă cu actul de identitate, cererea de refuz și extrasul de cont care arată tranzacția contestată. Cu cât reclami mai devreme, cu atât șansele sunt mai bune.

Cui raportez frauda în România?

Suni la 1911, numărul unic al Directoratului Național de Securitate Cibernetică (DNSC), apelabil din orice rețea, pentru îndrumare. Poți completa și formularul oficial pe platforma pnrisc.dnsc.ro. În paralel depui plângere la Poliție. Banca o anunți separat și imediat, ea se ocupă de blocarea cardului și de contestarea tranzacțiilor.

Citește și

Telefon ținut deasupra unui colet, verificând o livrareAmenințări

SMS fals de colet: ce faci dacă ai dat datele cardului

Un SMS spune că un colet nu a putut fi livrat și cere o mică taxă, cu un link care duce spre un site fals de curier. Vezi cum funcționează frauda, de ce cere de fapt datele cardului și un cod, și exact ce faci dacă ai apucat să le dai.

10 min citire
Persoană îngrijorată vorbind la telefon, primind un apel necunoscutAmenințări

Firma care îți recuperează banii e a doua țeapă

La câteva zile după ce ai fost păcălit, te sună cineva care „îți recuperează banii": un recuperator de fonduri, un avocat, un angajat DNSC. Cere doar o taxă în avans. E a doua țeapă, croită pe disperarea ta. Iată cum o recunoști.

10 min citire