Atacurile de tip inginerie socială nu sunt limitate la interacțiuni față în față sau conversații telefonice clasice. Canalele digitale moderne au extins semnificativ raza de acțiune a atacatorilor, iar phishing-ul, vishing-ul și smishing-ul sunt cele mai cunoscute și utilizate forme de fraudă digitală.
Toate aceste metode au un lucru în comun: exploatează încrederea utilizatorilor într-o comunicare aparent legitimă. Diferența dintre ele constă în canalul folosit – e-mail, telefonie vocală sau mesagerie text – dar și în tehnicile adaptate fiecărui mediu. Să le analizăm pe rând.
Phishing: clasicul e-mail capcană
Phishing-ul este cea mai veche și răspândită formă de fraudă digitală bazată pe inginerie socială. Constă în trimiterea de e-mailuri care imită mesajele unor instituții de încredere: bănci, firme de curierat, platforme de social media, autorități publice sau furnizori de servicii. Scopul este acela de a convinge destinatarul să acceseze un link sau să furnizeze date personale.
Un mesaj de phishing bine făcut nu conține greșeli gramaticale evidente, are un aspect profesional, logo-uri corecte și chiar adrese de e-mail care, la o primă vedere, par autentice. De cele mai multe ori, mesajul conține un element declanșator:
▣ un avertisment („Contul tău va fi suspendat”);
▣ o urgență („Este necesară confirmarea datelor”);
▣ o recompensă („Ai câștigat un premiu!”).
Linkul din e-mail duce către un site fals care imită perfect pagina originală. Introducerea datelor – adresa de e-mail, parola, cardul bancar – înseamnă, de fapt, oferirea lor directă atacatorului. Uneori, fișierele atașate (cu extensii .doc, .pdf, .xls) conțin malware care se activează la deschidere.
Ceea ce face phishing-ul eficient este volumul mare de mesaje trimise. Mii sau milioane de utilizatori primesc același mesaj, în speranța că un procent mic va reacționa. E suficient ca 0,1% dintre destinatari să cadă în capcană pentru ca atacul să fie profitabil.
Vishing: apelul telefonic manipulator
Vishing-ul (voice phishing) presupune utilizarea telefonului pentru a convinge victima să divulge date sau să efectueze acțiuni riscante. Se folosește adesea un apel cu voce preînregistrată care pretinde a fi de la bancă, de la o autoritate fiscală sau chiar de la poliție.
Exemplu de scenariu: primești un apel care spune că „a fost detectată o tentativă de fraudă pe contul tău bancar”. Pentru a bloca tranzacția, trebuie să urmezi pașii din apel. Apelul poate cere:
▣ să tastezi un cod;
▣ să introduci ultimele cifre ale cardului;
▣ să apelezi un alt număr de „suport” unde cineva „te va ajuta”.
Alteori, atacatorii vorbesc direct cu victima. Se prezintă drept reprezentant call center și, cu un ton amabil și sigur pe sine, solicită detalii despre card, coduri OTP, date personale. În unele cazuri, victimele sunt îndemnate să instaleze aplicații de control la distanță (precum AnyDesk, TeamViewer), sub pretextul „asistenței tehnice”.
Dificultatea în detectarea vishing-ului vine din faptul că apelurile pot fi credibile, iar numărul afișat pe ecran poate fi falsificat (caller ID spoofing).
Smishing: mesajele SMS ca armă
Smishing-ul (SMS phishing) implică trimiterea de mesaje text cu conținut fraudulos. Textul este scurt, alert și conține de obicei un link către un site fals. Exemple frecvente:
▣ „Coletul tău nu poate fi livrat. Achită taxa aici: [link]”
▣ „Ai primit o notificare importantă de la bancă: [link]”
▣ „Accesează aici portalul de verificare a identității: [link]”
Victimele sunt tentate să dea clic pentru că mesajele par să vină de la surse cunoscute – curieri, bănci, platforme sociale. Uneori, SMS-urile sunt inserate în thread-uri reale de mesaje (exploatând vulnerabilități în rețelele GSM), ceea ce le face să pară autentice.
După accesarea linkului, utilizatorul este îndrumat să introducă date personale, date de card, coduri OTP – toate ajungând direct la atacator.
Caz real: voce preînregistrată pentru „tratament medical”
Un exemplu actual de vishing combină vocea preînregistrată cu un script agresiv de colectare a datelor. Români din diaspora sunt apelați de pe numere cu prefix local (Italia, Spania), iar vocea automată le propune tratamente „pentru articulații” sau alte probleme de sănătate. Interacțiunea nu este întâmplătoare. Răspunsurile utilizatorului (da/nu, nume, adresă) sunt înregistrate și folosite pentru a:
▣ crea comenzi false;
▣ extrage date personale;
▣ produce dovezi audio artificiale (deepfake audio).
Această metodă devine tot mai folosită pentru că este ieftină, automatizabilă și are eficiență crescută în rândul populației vulnerabile.
De ce funcționează aceste atacuri?
▣ Mesajele se bazează pe presiune psihologică: urgență, frică, autoritate.
▣ Tonul e personalizat: „Contul TĂU a fost afectat”.
▣ Se profită de lipsa de timp, neatenție sau dorința de rezolvare rapidă.
▣ Lipsa educației digitale permite acceptarea necritică a informației.
Cum ne protejăm?
- Nu furniza date personale prin telefon, e-mail sau SMS – nicio instituție nu cere date sensibile astfel.
- Verifică sursa mesajului – sună înapoi la un număr oficial, accesează direct site-ul instituției.
- Nu da clic pe linkuri primite prin SMS – caută direct informația pe site-ul oficial.
- Instalează aplicații doar din surse oficiale – Google Play, App Store.
- Activează autentificarea în doi pași – chiar dacă parola e compromisă, contul va fi protejat.