Amenințări
Ce este phishingul, cum funcționează și de ce cădem în plasă
Phishingul e cea mai răspândită cale prin care atacatorii ajung la conturi, bani și firme. Vezi ce este, cum funcționează pas cu pas, ce tipuri există și de ce cădem în plasă, plus cum te aperi.
Auzi peste tot cuvântul phishing, dar dincolo de termen e una dintre cele mai banale și mai eficiente metode de atac: cineva se preface a fi de încredere și te convinge să faci singur pasul greșit. Nu sparge un sistem, ci te folosește pe tine ca să intre.
Vei vedea ce este phishingul, cum funcționează pas cu pas, ce tipuri există, de ce cad în plasă chiar și oameni atenți și cum te aperi. E un ghid de bază, util mai ales dacă vrei să înțelegi mecanismul, nu doar să recunoști un email anume.
Ce este phishingul
Phishingul este un atac de inginerie socială în care atacatorul se dă drept o entitate de încredere, o bancă, o instituție, un brand cunoscut sau chiar un coleg, ca să te păcălească să dezvălui date precum parole sau date de card, să dai click pe un link periculos ori să instalezi un program rău intenționat. Poate ajunge la tine pe email, prin SMS, printr-un apel, pe rețelele sociale sau printr-un cod QR. Numele e un joc de cuvinte cu „fishing", pescuit: atacatorul aruncă o momeală convingătoare într-o mare de oameni și speră să muște cineva.
Cum funcționează, pas cu pas
Aproape orice campanie de phishing urmează același tipar.
Momeala
Primești un mesaj care pare de la o entitate de încredere: bancă, curier, ANAF, un serviciu cunoscut sau șeful tău.
Presiunea
Mesajul creează urgență, frică sau curiozitate: contul va fi blocat, ai o factură restantă, un colet te așteaptă, ai o sumă de recuperat.
Cârligul
Un link către un site fals, care imită originalul, sau un atașament periculos.
Recolta
Introduci datele pe pagina falsă, iar atacatorul le capturează, sau atașamentul instalează un program rău intenționat.
Exploatarea
Cu datele sau accesul obținut, urmează preluarea contului, frauda cu plăți sau un cap de pod pentru un atac mai mare, ca ransomware.
Totul se poate întâmpla în mai puțin de un minut: de la deschiderea mesajului la introducerea datelor pe site-ul fals trec deseori câteva zeci de secunde.
Tipuri de phishing
Phishing pe email
Varianta clasică, trimisă în masă, care imită un brand sau o instituție.
Spear phishing
Atac țintit pe o anume persoană sau firmă, folosind detalii reale ca să pară credibil.
Whaling
Spear phishing îndreptat spre persoane importante, directori sau factori de decizie cu acces la bani.
Smishing
Phishing prin SMS sau aplicații de mesagerie, de exemplu mesajul cu un colet care nu a putut fi livrat.
Vishing
Phishing prin apel telefonic, deseori în numele băncii sau al unei autorități.
Quishing
Phishing prin coduri QR, care ascund destinația reală și pot ocoli filtrele de email.
De ce funcționează atât de bine
Pentru că exploatează psihologia, nu o gaură tehnică. Mizează pe autoritate (un mesaj care pare de la șef sau de la bancă), pe urgență și frică (riști să pierzi accesul sau banii), pe curiozitate și pe dorința firească de a fi de ajutor. Tocmai instinctele care te fac eficient la muncă te fac și vulnerabil. În plus, mesajele moderne sunt scrise impecabil, inclusiv cu ajutorul inteligenței artificiale, așa că vechiul reflex „are greșeli, deci e fals" nu mai e de încredere. Nu întâmplător, phishingul rămâne, potrivit ENISA, una dintre cele mai frecvente căi prin care atacatorii obțin accesul inițial.
Phishingul în România
DNSC, autoritatea națională de securitate cibernetică, semnalează în mod repetat aceleași tipare: mesaje false în numele băncilor care cer „actualizarea datelor", apeluri și emailuri false în numele ANAF despre o sumă de recuperat, SMS-uri în numele firmelor de curierat despre un colet și o mică taxă de plată, sau mesaje care imită servicii ca Netflix și cer validarea cardului. Multe sunt scrise corect gramatical, tocmai ca să pară credibile. Tentativele se pot raporta la DNSC, la numărul 1911, sau prin platforma PNRISC.
Cum te aperi
Pe scurt, schimbi reflexul: la orice mesaj care te grăbește, oprește-te și verifică pe alt canal, sunând la un număr pe care îl aveai deja, nu la cel din mesaj. Nu te loga niciodată printr-un link primit, ci scrie tu adresa oficială sau folosește aplicația. Activează autentificarea în doi pași, ideal una rezistentă la phishing. Pentru firme, adaugă autentificarea emailului (SPF, DKIM, DMARC) și instruirea echipei. Pentru semnele concrete după care recunoști un mesaj fals, vezi ghidul despre cum recunoști un email de phishing, iar pentru a opri falsificarea propriului domeniu, vezi cum oprești emailurile false în numele firmei.
Mituri despre phishing
Mit: doar naivii cad în plasă
Fals. Atacurile sunt tot mai rafinate și mizează pe grabă și stres. Oricine poate da click într-un moment prost.
Mit: greșelile de limbă le dau mereu de gol
Nu mai e adevărat. Multe mesaje sunt scrise impecabil, inclusiv cu AI. Te bazezi pe semnele tehnice, nu pe gramatică.
Mit: emailurile de la branduri mari sunt mereu reale
Fals. Sigla, numele și domeniile asemănătoare se falsifică ușor. Brandul de pe mesaj nu dovedește nimic.
Mit: lacătul și HTTPS înseamnă site sigur
Fals. Lacătul arată doar că legătura e criptată. Multe site-uri de phishing au deja lacătul.
Concluzie
Phishingul e ușa prin care intră majoritatea atacurilor, de la conturi sparte la fraude și ransomware. E strâns legat de ingineria socială, iar pentru ce faci concret dacă cineva din firmă a mușcat momeala, vezi ghidul despre ce faci când un angajat a dat click pe phishing.
Vrei ca phishingul să nu mai ajungă o criză
Întrebări frecvente
Ce este phishingul?
Este un atac de inginerie socială în care cineva se dă drept o entitate de încredere, o bancă, o instituție, un brand sau un coleg, ca să te păcălească să dezvălui date precum parole sau date de card, să dai click pe un link periculos ori să instalezi un program rău intenționat. Poate veni pe email, SMS, apel telefonic, rețele sociale sau cod QR. Numele vine de la „fishing", pescuit: atacatorul aruncă o momeală și speră să muște cineva.
Ce tipuri de phishing există?
Cele mai întâlnite: phishing pe email, trimis în masă; spear phishing, țintit pe o anume persoană; whaling, care vizează șefii; smishing, prin SMS; vishing, prin apel telefonic; și quishing, prin coduri QR. Mai există și clone phishing, în care se copiază un email real și i se schimbă linkurile. Indiferent de canal, logica e aceeași: te grăbesc și te conving să acționezi fără să verifici.
De ce cad și oameni inteligenți în plasă?
Pentru că phishingul nu atacă tehnologia, ci psihologia: autoritatea (pare de la șef sau de la bancă), urgența și frica (contul va fi blocat), curiozitatea sau dorința de a fi de ajutor. Mesajele moderne sunt scrise impecabil, inclusiv cu inteligență artificială, așa că nu te mai poți baza pe greșeli de limbă. Oricine, mai ales grăbit sau stresat, poate da click. De aceea contează verificarea pe alt canal, nu inteligența.
Cum mă apăr de phishing?
Fii sceptic la mesajele care te grăbesc și verifică pe alt canal, sunând la un număr pe care îl aveai deja, nu la cel din mesaj. Nu te loga prin linkuri din mesaje, ci scrie tu adresa oficială. Activează autentificarea în doi pași, ideal una rezistentă la phishing. Pentru firme, configurează SPF, DKIM și DMARC și instruiește echipa. În România, raportează tentativele la DNSC, la numărul 1911.
Citește și
AmenințăriCum recunoști un email de phishing: semne și exemple
Phishingul modern poate arăta impecabil, chiar scris cu AI. Vezi semnele care îl dau de gol, cum verifici un link fără să dai click, capcanele frecvente din România și ce faci dacă ai mușcat momeala.
AmenințăriCe este ingineria socială și cum te aperi
Ingineria socială sparge omul, nu calculatorul: te manipulează să dai date, acces sau bani. Vezi tehnicile, principiile psihologice din spate, exemple din România și cum te aperi.
GhiduriAngajat a dat click pe phishing: ce faci în prima oră
Cineva din firmă a dat click pe un link de phishing sau și-a introdus parola pe o pagină falsă. Nu îl certa, mulțumește-i că a raportat. Vezi pas cu pas ce faci în prima oră ca să oprești paguba, ce verifici și cui raportezi.