Directoratul Național de Securitate Cibernetică (DNSC) și ING Bank atrag atenția asupra a două scenarii de fraudă care apar tot mai des în zona persoanelor juridice: mesaje de tip phishing ce cer „actualizarea urgentă a datelor” și apeluri telefonice false (spoofing) în care infractorii pretind că sună din partea ANAF. În ambele cazuri, ținta finală este aceeași: să determine angajații sau reprezentanții firmelor să introducă date bancare pe site-uri clonă sau să autorizeze transferuri către conturi controlate de atacatori.
De ce sunt vizate companiile
Atacurile se bazează pe combinația dintre presiune („urgent”, „cont blocat”, „rambursare”) și rutinele din mediul corporate (task-uri multe, aprobări pe repede înainte, oameni care au acces la plăți sau la conturile companiei). În practică, un singur click pe un link sau o singură decizie luată „din reflex” în timpul unui apel poate duce la compromiterea conturilor sau la transferuri greu de recuperat, avertizează instituțiile.
1) Phishing: „actualizează-ți urgent datele”
Cum arată scenariul
Victimele primesc e-mailuri, SMS-uri sau mesaje pe rețele sociale care par trimise de bănci, autorități ori instituții publice și cer „confirmarea/actualizarea datelor”. Mesajele folosesc formulări alarmante („contul va fi blocat”, „nu vei mai avea acces”) și elemente vizuale copiate din identitatea instituției imitate.
Linkurile duc către site-uri clonă care arată credibil și colectează date sensibile: user/parolă, date de card, coduri OTP sau alte informații ce permit acces neautorizat și inițierea de tranzacții.
Semnale clare că e fraudă
- Ți se cere să introduci date de autentificare/OTP sau date de card printr-un link primit pe e-mail/SMS.
- Mesajul este urgent, amenință cu blocări sau promite beneficii „imediat”.
- Domeniul linkului sau adresa expeditorului arată „aproape corect”, dar nu este oficial (diferențe mici de litere, extensii dubioase).
Ce recomandă DNSC și ING
DNSC și ING subliniază că banca sau instituțiile statului nu solicită date sensibile prin linkuri trimise pe e-mail/SMS. Recomandarea practică este să nu accesezi aplicația bancară din linkuri, ci doar din aplicația oficială instalată sau tastând manual adresa site-ului legitim.
În mesajul preluat de presă, Alin Becheanu (Head of Fraud Monitoring & Prevention, ING Bank România) punctează aceeași idee: cele mai multe fraude reușesc fiindcă utilizatorii sunt manipulați să își divulge singuri datele sau să autorizeze transferuri, iar o bancă nu ar trebui să ceară niciodată credențiale ori coduri de autentificare prin linkuri.
2) Spoofing: apeluri false „de la ANAF”
Cum funcționează
Al doilea scenariu pornește cu un apel telefonic în care infractorii se prezintă drept reprezentanți ANAF și invocă o „returnare de taxe”, o „rambursare de impozit” sau „o sumă de recuperat”, apoi îndeamnă victima să acceseze un link.
De aici, atacul se ramifică:
- fie ți se cere să instalezi o aplicație de control la distanță (ex. AnyDesk, AirDroid), sub pretextul că banii vor intra mai repede;
- fie ești convins să transferi singur bani într-un „cont de rambursare” controlat de atacatori.
Prin aplicațiile de acces la distanță, atacatorii pot ajunge efectiv în telefonul victimei, pot intra în aplicația bancară, iniția plăți și chiar modifica setări (limite, dispozitive autorizate), ceea ce face recuperarea banilor extrem de dificilă.
Mihai Rotariu (DNSC) descrie mecanismul ca inginerie socială „de call center”: scenarii bine repetate, presiune și emoții pozitive („ai bani de recuperat”) sau negative („se blochează contul”), tocmai pentru ca victima să nu mai verifice detaliile.
Ce trebuie făcut în timpul apelului
Recomandările sunt directe:
- nu lua decizii financiare în timpul apelului;
- nu instala aplicații de control la distanță la solicitarea unor persoane necunoscute;
- închide apelul și verifică informațiile doar pe canalele oficiale.
Checklist pentru firme: proceduri simple care reduc riscul
Dacă în companie există persoane care gestionează plăți, facturi, acces la Home’Bank/Internet banking sau au drepturi administrative pe dispozitive, câteva reguli pot reduce masiv riscul:
Reguli pentru plăți și aprobări
- Introdu „four-eyes principle”: nicio plată către beneficiar nou fără a doua aprobare.
- Whitelist pentru beneficiari și limite stricte pe transferuri către conturi noi.
- Call-back obligatoriu: confirmarea cererilor financiare doar prin numere oficiale deja cunoscute (nu cele primite în e-mail/apel).
Reguli pentru IT și endpoint
- Blochează/limitează instalarea de aplicații de control remote pe dispozitivele de serviciu, cu excepții aprobate (și logate).
- Elimină drepturile de administrator pentru conturile uzuale și folosește conturi separate pentru operațiuni sensibile.
- Activează alerte pentru login-uri/dispozitive noi și instruiește echipa să citească atent mesajele OTP (ele descriu operațiunea).
Reguli de educare rapidă
- O regulă ușor de reținut pentru toată lumea: „Dacă e urgent și cere date sau bani, tratează ca fraudă până la proba contrarie.”
- Scenarii scurte de training (15 minute) pentru contabilitate, HR, vânzări, management: phishing „update date”, apel „ANAF”, cereri de instalare AnyDesk.
Dacă ai apăsat pe link sau ai instalat o aplicație de control
Într-un incident real, contează viteza. Fără să intru în pași tehnici prea agresivi, acțiuni utile sunt:
- oprește imediat interacțiunea (închide apelul/conexiunea);
- anunță banca și echipa IT/security;
- păstrează mesajele/URL-urile ca probă (nu le redistribui intern).
.jpg "Digitalium 2026 aduce la București un nou eveniment dedicat impactului AI în business, marketing și creație")
