Sari la conținutul principal

Cum să te protejezi de atacurile de phishing

Phishing-ul este principala cauză a furtului de conturi. Cum funcționează phishing-ul modern, semnale de alarmă și măsuri de apărare care stopează efectiv atacurile.

Ultima actualizare: 14 aprilie 2026

Pe scurt

  • Phishing-ul este principala cauză a preluării conturilor — atacatorii te păcălesc să îți introduci credențialele pe un site fals.
  • Kiturile moderne de phishing clonează paginile de autentificare pixel cu pixel și preiau codurile tale 2FA în timp real.
  • Cheile de securitate hardware (YubiKey, FIDO2) sunt singura apărare rezistentă la phishing prin design.
  • Managerii de parole te protejează refuzând să completeze automat pe domenii greșite.
  • Verifică domeniul exact înainte de a introduce credențiale și nu te autentifica niciodată dintr-un link primit pe email.

Ce este phishing-ul?

Phishing-ul este un atac de inginerie socială în care un atacator creează o copie convingătoare a unui site web legitim — adesea identică pixel cu pixel — și păcălește victima să introducă acolo credențialele. În momentul în care victima trimite formularul, atacatorul capturează numele de utilizator, parola și orice al doilea factor, apoi le folosește pentru a prelua contul real în câteva secunde.

Cuvântul provine din metafora „pescuirii" victimelor cu momeli (de obicei un email). Ortografia a fost modificată pentru a sublinia că atacatorii folosesc adesea numere de telefon (phishing prin SMS sau „smishing") și infrastructuri cu aspect profesional.

De ce phishing-ul rămâne amenințarea nr. 1

Cele mai multe breșe de securitate la scară largă de astăzi nu implică hackuirea, spargerea parolelor sau ocolirea criptării. Ele implică un om care tastează o parolă pe un site fals. Phishing-ul este:

  • Ieftin — un atacator poate trimite milioane de emailuri la costul unui VPS și al unui domeniu falsificat
  • Greu de filtrat — kiturile moderne rotesc domeniile, utilizează găzduire legitimă și se adaptează la filtre în timp real
  • Eficient — chiar și utilizatorii conștienți de securitate cad în capcana tentativelor țintite bine elaborate (spear phishing)
  • Scalabil — un singur atac de phishing reușit oferă adesea acces la zeci de servicii conectate prin reutilizarea parolelor

Raportul Verizon Data Breach Investigations din 2024 a constatat că phishing-ul a reprezentat vectorul de acces inițial în peste 36% din toate breșele — mai mult decât orice altă cauză individuală.

Cum funcționează phishing-ul modern

Phishing-ul a evoluat cu mult față de emailurile „prințului nigerian" din anii 2000. Un atac de phishing modern include de obicei:

1. O momeală convingătoare

De obicei un email, un mesaj text sau un mesaj de chat care creează urgență („Contul tău va fi suspendat"), autoritate („Echipa de securitate Microsoft") sau curiozitate („Cineva te-a etichetat într-o fotografie"). Spear-phishing-ul merge mai departe, folosind detalii personale extrase din LinkedIn, baze de date compromise sau corespondență anterioară.

2. Un site fals identic pixel cu pixel

Atacatorii folosesc kituri de phishing gata disponibile care clonează HTML-ul, CSS-ul și JavaScript-ul site-ului țintă. Multe kituri sunt vândute ca serviciu (phishing-as-a-service), cu panouri de control funcționale și suport pentru clienți.

3. Un proxy în timp real pentru 2FA

Partea periculoasă: kiturile moderne nu îți capturează doar parola. Ele acționează ca un proxy om-în-mijloc care transmite tot ce tastezi — inclusiv codul tău TOTP — către site-ul real în câteva secunde, ocolind majoritatea metodelor 2FA. Această tehnică se numește adversary-in-the-middle (AiTM) și este utilizată în instrumente precum Evilginx2 și Modlishka.

4. Furtul token-ului de sesiune

Odată ce te autentifici prin proxy, atacatorul capturează cookie-ul tău de sesiune și îl poate folosi pentru a rămâne autentificat chiar și după ce îți schimbi parola. De aceea, răspunsul la phishing include întotdeauna revocarea sesiunilor active, nu doar rotația parolei.

Ce oprește efectiv phishing-ul

Chei de securitate hardware (FIDO2 / WebAuthn)

Aceasta este singura categorie de apărare care este rezistentă la phishing prin design. Când te autentifici cu o cheie FIDO2, cheia ta verifică criptografic domeniul exact al site-ului care solicită autentificarea. Un site fals — indiferent cât de perfect arată vizual — are un domeniu diferit, astfel că cheia refuză să răspundă. Strângerea de mână criptografică pur și simplu nu se finalizează.

Google a impus în mod celebru YubiKey-uri pentru toți cei 85.000+ de angajați în 2017 și a raportat zero atacuri de phishing reușite pe conturile companiei în anii de atunci.

Passkey-urile

Passkey-urile reprezintă evoluția prietenoasă pentru consumatori a FIDO2. Utilizează aceeași criptografie legată de domeniu și sunt integrate în iOS, Android, macOS și Windows. Dacă un site pe care îl folosești acceptă passkey-uri, activarea unuia face contul respectiv rezistent la phishing.

Managerii de parole

Un manager de parole este a doua linie de apărare, deoarece completează automat credențialele doar pe domeniul exact unde au fost salvate. Dacă ajungi pe paypaI.com (I majusculă) în loc de paypal.com, managerul tău refuză în tăcere să completeze formularul. Acel refuz este un avertisment puternic că ceva nu este în regulă.

Filtrarea emailului și DNS

Furnizorii de email folosesc DMARC, SPF și DKIM pentru a detecta adresele expeditorului falsificate. Cei mai mulți furnizori moderni prind tentativele evidente, dar atacurile țintite trec totuși prin filtre. Activează butoanele „raportează phishing" din clientul tău de email pentru a ajuta la îmbunătățirea filtrelor.

Semnale de alarmă la care să fii atent

Când primești un mesaj care îți solicită să te autentifici, să verifici ceva sau să acționezi urgent:

  • Urgență și amenințări — „Contul tău va fi închis în 24 de ore"
  • Salutări generice — „Stimate client" în loc de numele tău
  • Domenii similarepaypaI.com, app1e.com, secure-microsoft-login.net
  • Atașamente neașteptate — în special fișiere .zip, .html sau .pdf care îți solicită autentificarea pentru a le vizualiza
  • Erori gramaticale sau de formatare — companiile mari își corectează emailurile
  • Nepotrivire de linkuri — plasează cursorul peste link și verifică dacă destinația corespunde textului

Dacă ceva pare suspect, închide emailul. Navighează manual pe site. Dacă există o problemă reală, o vei vedea când te autentifici prin fluxul tău normal de lucru.

Ce să faci dacă ai căzut victimă unui atac

Acționează rapid — viteza contează, deoarece atacatorii încep să folosească credențialele în câteva minute.

  1. Schimbă imediat parola de pe un alt dispozitiv (telefonul tău, de exemplu, dacă ai căzut victimă pe laptop)
  2. Revocă toate sesiunile active din setările contului — aceasta deconectează orice persoană care utilizează în prezent token-uri de sesiune furate
  3. Activează 2FA dacă nu era deja activ și folosește o cheie hardware sau un passkey dacă este posibil
  4. Verifică activitatea neautorizată — emailuri trimise, autentificări recente, modificări de facturare, reguli noi de redirecționare
  5. Notifică instituția afectată dacă este un cont financiar sau de serviciu
  6. Verifică celelalte conturi care foloseau aceeași parolă — chiar dacă ești sigur că nu reutilizezi parole, verifică

Concluzie

Phishing-ul prosperă deoarece ocolește tehnologia și vizează oamenii. Cele mai bune apărări combină trei niveluri: managerii de parole (refuză să completeze automat pe domenii greșite), 2FA rezistent la phishing (chei hardware sau passkey-uri legate de domeniul real) și scepticismul sănătos (nu te autentifica niciodată dintr-un link de email).

Activează toate trei pe cel mai important cont al tău — emailul — mai întâi. De acolo, restul vieții tale digitale devine semnificativ mai sigur.

Cum să te protejezi de phishing

O listă de verificare practică și ordonată pentru a-ți consolida conturile împotriva atacurilor de phishing.

  1. Folosește un manager de parole:Instalează un manager de parole de încredere (1Password, Bitwarden, Proton Pass) și lasă-l să completeze automat credențialele. Va refuza să completeze pe domenii similare, oferindu-ți un detector de phishing integrat.
  2. Activează 2FA rezistent la phishing:Adaugă o cheie hardware FIDO2 (YubiKey, Google Titan) sau un passkey la cele mai importante conturi ale tale — mai întâi emailul, apoi serviciile bancare, stocarea în cloud și managerul de parole. Acestea sunt singurele metode 2FA care opresc efectiv phishing-ul modern.
  3. Nu te autentifica niciodată din linkuri de email:Când primești un email care îți solicită să te autentifici, închide emailul și navighează manual pe site folosind un marcaj sau tastând URL-ul. Linkul din email poate fi o clonă perfectă; marcajul din browserul tău nu este.
  4. Verifică domeniul exact înainte de a tasta:Înainte de a introduce orice parolă, uită-te la URL-ul complet din bara de adrese. Verifică prezența https, ortografia corectă și absența subdomeniilor suplimentare de tipul paypal.com.secure-login.net.
  5. Raportează și continuă:Raportează tentativa de phishing furnizorului tău de email (cele mai multe au un buton „Raportează phishing"). Apoi continuă-ți ziua — phishing-ul este periculos doar dacă cazi în capcana lui, iar conștientizarea reprezintă cea mai mare parte a bătăliei.

Întrebări Frecvente