Dacă ar fi să alegi cel mai eficient instrument de atac cibernetic — nu ar fi un virus sofisticat, nu ar fi o vulnerabilitate de zero-day în Windows. Ar fi un email bine scris. Sau un SMS convingător. Sau un apel telefonic care sună exact ca banca ta.

Phishingul și ingineria socială exploatează cel mai predictibil element din orice sistem de securitate: omul. Și în 2026, cu AI generativ la dispoziția atacatorilor, aceste atacuri sunt mai convingătoare ca niciodată.

Ce este ingineria socială?

Ingineria socială (social engineering) este arta de a manipula oamenii să facă ceva — să divulge o parolă, să transfere bani, să instaleze un program — prin exploatarea emoțiilor: frică, urgență, curiozitate, autoritate, dorința de a ajuta.

Phishingul este cel mai comun tip de atac de inginerie socială — un mesaj (email, SMS, pop-up) care se pretinde a fi de la o entitate de încredere și te direcționează spre o acțiune periculoasă.

Cele 5 tipuri de atac pe care trebuie să le recunoști

1. Phishing prin email

Emailuri false de la „banca ta", „ANAF", „Amazon", „PayPal" care te cer să îți verifici contul, să plătești o taxă urgentă sau să descarci un document. Linkul duce pe un site identic vizual cu cel real, dar controlat de atacator.

2. Smishing (phishing prin SMS)

SMS-uri care anunță un „colet reținut la vamă" (DHL, FanCourier), o „plată respinsă" sau un „premiu câștigat". Mult mai greu de filtrat decât emailul și par mai urgente pe telefon.

3. Vishing (phishing prin telefon)

Un „angajat al băncii" te sună să îți spună că ai tranzacții suspecte și îți cere datele cardului pentru „verificare". În 2026, cu AI voice cloning, vocea poate fi identică cu cea a unui prieten sau coleg.

4. Spear phishing

Atac țintit, personalizat — emailul conține numele tău, funcția, compania, poate chiar o referință la un proiect real. Date culese de pe LinkedIn, Facebook sau site-ul firmei. Mult mai convingător decât phishingul generic.

5. Quishing (phishing prin cod QR)

Coduri QR tipărite pe afișe, meniuri sau trimise prin email care duc pe site-uri false. Creierul uman nu poate „citi" un cod QR, deci nu există verificare vizuală înainte de a accesa link-ul.

Semnalele de alarmă universale

Indiferent de tipul atacului, există elemente comune care trădează o înșelătorie:

🚩 Urgența artificială — „Contul tău va fi blocat în 24 de ore", „Coletul tău va fi returnat mâine", „Trebuie să acționezi ACUM". Urgența este proiectată să îți oprească gândirea critică.

🚩 Domenii false — Adresele email și URL-urile sunt aproape corecte, dar nu exact. Exemple: anaf-online.ro în loc de anaf.ro, paypal-secure.com în loc de paypal.com, brd-romania.net în loc de brd.ro. Verifică întotdeauna domeniul complet.

🚩 Cereri neobișnuite — Banca nu îți cere niciodată parola, PIN-ul sau codul CVV prin email sau telefon. ANAF nu trimite emailuri cu fișiere atașate care cer să „activezi macrocomenzi". DHL nu îți cere datele cardului prin SMS.

🚩 Greșeli de scriere și traduceri robotice — Deși AI îmbunătățește calitatea textului atacatorilor, mesajele provin adesea din traduceri automate și conțin formulări stângace sau greșeli gramaticale.

🚩 Fișiere atașate neașteptate — Un PDF, un document Word sau un fișier ZIP primit neașteptat, chiar și de la un expeditor cunoscut (dacă acel expeditor a fost compromis), poate conține malware.

Ce faci când primești un mesaj suspect

Nu apăsa nimic. Nici linkul, nici butonul „Dezabonare", nici fișierul atașat. Orice interacțiune confirmă atacatorului că adresa ta este activă și poate escalada atacul.

Verifică direct, pe altă cale. Dacă primești un email de la „Banca Transilvania" că ai o problemă de securitate — nu apăsa linkul din email. Deschide o fereastră nouă în browser și accesează site-ul oficial direct. Sau sună la numărul de pe spatele cardului tău.

Raportează. În România poți raporta atacuri de phishing la CERT-RO (cert.ro) sau direct la instituția impersonată. Ajuți și alții să fie avertizați.

Checklist: ești pregătit să recunoști o înșelătorie?

✅ Verifică înainte să acționezi:

Verifici adresa completă a expeditorului (nu doar numele afișat)
Verifici URL-ul înainte să apeși (hover pe link — nu apăsa!)
Nu deschizi atașamente neașteptate — nici de la persoane cunoscute
La urgențe artificiale — faci pauză 30 secunde înainte de orice acțiune
Verifici direct (site oficial / telefon) înainte să răspunzi unui mesaj suspect
Nu dai niciodată parole, PIN sau CVV prin email, SMS sau telefon
Raportezi tentativele de phishing la CERT-RO sau instituția impersonată

Hackerii nu sparg sisteme — conving oameni. Cel mai bun scut împotriva phishingului nu este un software, ci câteva secunde de gândire critică înainte de orice acțiune. Întreabă-te mereu: „M-aș aștepta la acest mesaj? Are sens să fie real?"

Surse: CERT-RO Raport 2025, Verizon Data Breach Investigations Report 2025, Google Phishing Quiz, Anti-Phishing Working Group (APWG) Q4 2025.

🔒 Securitate
← Toate articolele
🔒
Serie de articole
Securitate Online
Vezi toate →
1 Cel mai bun antivirus e în spatele tastaturii — Ghid de securitate pentru smartphone 2 Securitatea Parolelor: Ghid Complet pentru Protecția Conturilor Tale Online 3 Securitate PC: 8 pași esențiali pentru a-ți proteja calculatorul în 2026 4 Rețeaua Wi-Fi de acasă — 7 setări care te protejează de hackeri 5 VPN — ce este, când te ajută și ce nu poate face pentru tine
6 Phishing și inginerie socială — cum recunoști o înșelătorie în 2026 Acum citești
7 Manager de parole — ghid practic: Bitwarden, 1Password, KeePass 8 Autentificarea în doi pași (2FA) — ghidul complet: TOTP, SMS, YubiKey 9 Au fost furate datele tale? Cum verifici și ce faci — ghid HaveIBeenPwned 10 Siguranța copiilor online — ghid practic pentru părinți (2026)
← Ep.5: VPN — ce este, când te ajută și ce nu poate f… Ep.7: Manager de parole — ghid practic: Bitwarden, … →
💬 Comentarii

Fii primul care comentează acest articol!

✍️ Lasă un comentariu
6 + 5 = ?