2008. Am primit un email care imita Piraeus Bank — „nu ți-ai plătit ratele”, cu un URL suspect care nu era al băncii. Avertisment simplu: atenție la URL-ul unde îți bagi username și parola.
Phishing-ul din 2008 era rudimentar față de ce există în 2025. Același principiu, execuție mult mai sofisticată.
Phishing în 2025 — cât de avansat a ajuns
Email-ul Piraeus din 2008 era evident fals — greșeli gramaticale, URL clar greșit, design slab. Un utilizator atent îl recunoștea imediat.
În 2025, atacurile de phishing sunt:
- Vizual identice cu comunicările reale — logo-uri corecte, fonturi identice, layout-uri pixel-perfect copiate de pe site-urile oficiale ale băncilor
- Personalizate — „Bună ziua, [Numele tău]” — datele tale au venit dintr-un alt breach anterior
- Cu domenii aproape identice — bcr-secure.ro, raiffeisen-online.net, ing-bank.ro vs ing.ro. La o privire rapidă nu observi diferența.
- Cu certificate SSL valide — lacătul verde în browser nu mai înseamnă că site-ul e legitim, ci doar că conexiunea e criptată. Oricine poate obține un certificat SSL gratuit.
Spear phishing — atacurile țintite
Phishing-ul de masă (ca email-ul Piraeus din 2008) trimis la milioane de adrese e mai ușor de filtrat. Mai periculos e spear phishing-ul — atacuri personalizate:
- Atacatorul îți cercetează profilul LinkedIn, știe unde lucrezi, cine e șeful tău, cu ce clienți lucrezi
- Primești un email aparent de la CEO-ul companiei: „Urgent — transfer bancar pentru client important, discreție absolută”
- Sau de la IT intern: „Actualizare obligatorie VPN — autentifică-te pe [link fals]”
Smishing — phishing prin SMS
Forma care a explodat după 2018. SMS-uri care imită băncile, curierii (DHL, FedEx, DPD), ANAF, Poliția:
- „BRD: tranzacție suspectă de 1.847 RON detectată. Verificați: [link]”
- „Coletul dvs. DHL nu a putut fi livrat. Taxă de 2 RON: [link]”
- „ANAF: vi s-a constituit o obligație fiscală. Accesați: [link]”
Regulă absolută: băncile românești nu trimit SMS-uri cu link-uri de autentificare. Dacă primești un astfel de SMS, nu apăsa link-ul — accesează aplicația oficială a băncii direct.
Vishing — phishing prin telefon
Apeluri telefonice de la „angajați ai băncii” sau „ofițeri de poliție”:
- „Bună ziua, sunt de la departamentul de securitate ING. Am detectat o tranzacție frauduloasă pe contul dvs. de 3.200 RON. Pentru a o bloca, aveți nevoie să ne confirmați codul primit prin SMS.”
Codul primit prin SMS (OTP — One Time Password) e cheia contului tău. Nicio bancă legitimă nu îți cere niciodată OTP-ul prin telefon. Dacă cineva îl cere — e fraudă, indiferent cât de convingător sună.
Cum recunoști phishing-ul în 2025
- Verifică URL-ul cu atenție — nu domeniul afișat în textul link-ului, ci URL-ul real (hover pe link sau copiază și verifică). bcr.ro ≠ bcr-secure.ro ≠ bcr.ro.malicious.com
- Urgența artificială — „Contul va fi blocat în 24 ore”, „Acțiune imediată necesară” sunt semnale clasice de phishing. Băncile reale nu creează urgență prin email.
- Cere credențiale sau date sensibile — nicio bancă nu îți cere parola, PIN-ul sau CVV-ul prin email sau telefon
- Adresa expeditorului — verifică adresa completă, nu doar numele afișat. „ING Bank
- Accesează direct, nu prin link — dacă primești un email de la bancă, accesează site-ul băncii tastând direct URL-ul în browser, nu prin link-ul din email
Cum raportezi în România
- Banca ta — numărul de pe spatele cardului sau din aplicație. Raportează imediat dacă ai dat date sau ai bănuieli
- DNSC (Directoratul Național de Securitate Cibernetică) — dnsc.ro, pentru raportarea atacurilor cibernetice
- Politia.ro — secțiunea de infracțiuni informatice
- CERT-RO — cert.ro pentru incidente cibernetice
Concluzie — 2008 vs 2025
În 2008, emailul fals Piraeus era ușor de recunoscut după URL și design slab. În 2025, atacurile de phishing sunt sofisticate, personalizate și multi-canal — email, SMS, telefon, WhatsApp.
Principiul din 2008 rămâne: atenție mare la ce dai click și unde îți bagi username și parola. Dar în 2025 adaugă: nu da niciodată OTP-ul prin telefon, verifică URL-ul real (nu textul afișat) și accesează băncile direct din aplicație sau browser, nu din link-uri primite.