Sari la conținutul principal

Cum să vă protejați de atacurile de phishing

Phishing-ul rămâne modalitatea principală prin care conturile sunt furate. Aflați cum funcționează phishing-ul modern, semnalele de alarmă pe care să le urmăriți și apărările practice care opresc cu adevărat atacurile.

2026-04-14

TL;DR

  • Phishing-ul este cauza principală a compromiterii conturilor — atacatorii vă păcălesc să furnizați credențialele pe un site fals.
  • Kit-urile moderne de phishing clonează paginile de autentificare perfect și vă interceptează codurile 2FA în timp real.
  • Cheile de securitate hardware (YubiKey, FIDO2) sunt singura apărare care este rezistentă la phishing prin design.
  • Managerii de parole vă protejează prin refuzul de a completa automat pe domeniul greșit.
  • Verificați domeniul exact înainte să introduceți credențiale și nu vă autentificați niciodată dintr-un link din email.

Ce este phishing-ul?

Phishing-ul este un atac de inginerie socială în care un atacator creează o copie convingătoare a unui site web legitim — adesea perfect identică — și păcălește victima să introducă credențialele acolo. În momentul în care victima trimite formularul, atacatorul capturează numele de utilizator, parola și orice al doilea factor, apoi le folosește pentru a prelua controlul contului real în câteva secunde.

Cuvântul provine din metafora „pescuitului" pentru victime cu momeală (de obicei un email). Ortografia s-a schimbat pentru a sublinia că atacatorii folosesc adesea numere de telefon (phishing prin SMS, sau „smishing") și infrastructură cu aspect profesional.

De ce phishing-ul este încă amenințarea principală

Majoritatea încălcărilor de conturi la scară largă de astăzi nu implică hacking, spargerea parolelor sau ocolirea criptării. Ele implică un om care introduce o parolă pe un site fals. Phishing-ul este:

  • Ieftin — un atacator poate trimite milioane de email-uri pentru costul unui VPS și a unui domeniu falsificat
  • Greu de filtrat — kit-urile moderne rotează domenii, folosesc hosting legitim și se adaptează la filtre în timp real
  • Eficace — chiar și utilizatorii conștienți de securitate cad în capcana tentativelor țintite bine elaborate (spear phishing)
  • Scalabil — un singur phishing reușit oferă adesea acces la zeci de servicii conectate prin reutilizarea parolelor

Raportul Verizon Data Breach Investigations din 2024 a constatat că phishing-ul a fost vectorul de acces inițial în peste 36% din toate încălcările — mai mult decât orice altă cauză singulară.

Cum funcționează phishing-ul modern

Phishing-ul a evoluat mult dincolo de email-urile „prințului nigerian" din anii 2000. Un atac modern de phishing include de obicei:

1. O momeli convingătoare

De obicei un email, text sau mesaj de chat care creează urgență („Contul dumneavoastră va fi suspendat"), autoritate („echipa de securitate Microsoft") sau curiozitate („Cineva v-a etichetat într-o fotografie"). Spear-phishing-ul merge mai departe cu detalii personale extrase din LinkedIn, baze de date compromise sau corespondența anterioară.

2. Un site fals perfect identic

Atacatorii folosesc kit-uri de phishing gata făcute care clonează HTML-ul, CSS-ul și JavaScript-ul site-ului țintă. Multe kit-uri sunt vândute ca serviciu (phishing-ca-serviciu), cu tablouri de bord funcționale și suport pentru clienți.

3. Un proxy în timp real pentru 2FA

Partea periculoasă: kit-urile moderne nu doar capturează parola dumneavoastră. Ele acționează ca un proxy man-in-the-middle care transferă tot ce tastați — inclusiv codul TOTP — către site-ul real în câteva secunde, ocolind majoritatea 2FA. Această tehnică se numește adversary-in-the-middle (AiTM) și este folosită în instrumente precum Evilginx2 și Modlishka.

4. Furtul token-urilor de sesiune

Odată ce vă autentificați prin proxy, atacatorul capturează cookie-ul de sesiune și poate să-l folosească pentru a rămâne autentificat chiar și după ce vă schimbați parola. De aceea răspunsul la phishing include întotdeauna revocarea sesiunilor active, nu doar rotația parolelor.

Ce oprește cu adevărat phishing-ul

Cheile de securitate hardware (FIDO2 / WebAuthn)

Aceasta este singura categorie de apărare care este rezistentă la phishing prin design. Când vă autentificați cu o cheie FIDO2, cheia dumneavoastră verifică criptografic domeniul exact al site-ului care solicită autentificarea. Un site fals — oricât de perfect vizual — are un domeniu diferit, așa că cheia refuză să răspundă. Handshake-ul criptografic pur și simplu nu se finalizează.

Google a impus celebru YubiKeys pentru toți cei 85.000+ de angajați în 2017 și a raportat zero atacuri de phishing reușite pe conturile companiei în anii de atunci.

Passkey-uri

Passkey-urile sunt evoluția prietenoasă pentru consumatori a FIDO2. Ele folosesc aceeași criptografie legată de domeniu și sunt integrate în iOS, Android, macOS și Windows. Dacă un site pe care îl folosiți suportă passkey-uri, activarea unuia face acel cont rezistent la phishing.

Managerii de parole

Un manager de parole este a doua linie de apărare pentru că completează automat credențialele doar pe domeniul exact unde au fost salvate. Dacă ajungeți pe paypaI.com (I mare) în loc de paypal.com, managerul refuză în tăcere să completeze formularul. Acel refuz este o avertizare puternică că ceva nu este în regulă.

Filtrarea email-urilor și DNS

Furnizorii de email folosesc DMARC, SPF și DKIM pentru a detecta adresele de expeditor falsificate. Majoritatea furnizorilor moderni prind tentativele evidente, dar atacurile țintite încă trec prin filtre. Activați butoanele „raportează phishing" în clientul dumneavoastră de mail astfel să ajutați filtrele să se îmbunătățească.

Semnale de alarmă de urmărit

Când primiți un mesaj care vă cere să vă autentificați, să verificați sau să acționați urgent:

  • Urgență și amenințări — „Contul dumneavoastră va fi închis în 24 de ore"
  • Salutări generice — „Stimat client" în loc de numele dumneavoastră
  • Domenii similarepaypaI.com, app1e.com, secure-microsoft-login.net
  • Atașamente neașteptate — în special fișiere .zip, .html sau .pdf care vă cer să vă autentificați pentru a le vizualiza
  • Erori de gramatică sau formatare — companiile mari își corectează email-urile
  • Nepotrivire link — treceți cu mouse-ul peste link și verificați dacă destinația se potrivește cu textul

Dacă ceva pare suspect, închideți email-ul. Navigați manual la site. Dacă există o problemă reală, o veți vedea când vă autentificați prin fluxul dumneavoastră normal.

Ce să faceți dacă ați căzut în capcana unuia

Acționați rapid — viteza contează pentru că atacatorii încep să folosească credențialele în câteva minute.

  1. Schimbați parola imediat pe un dispozitiv diferit (telefonul dumneavoastră, de exemplu, dacă ați căzut în capcană pe laptop)
  2. Revocați toate sesiunile active în setările contului — aceasta îi scoate pe oricine folosește în prezent token-urile de sesiune furate
  3. Activați 2FA dacă nu era deja pornit, și folosiți o cheie hardware sau passkey dacă este posibil
  4. Verificați pentru activitate neautorizată — email-uri trimise, autentificări recente, modificări de facturare, reguli de redirecționare noi
  5. Notificați instituția afectată dacă este un cont financiar sau de muncă
  6. Verificați alte conturi care au folosit aceeași parolă — chiar dacă sunteți sigur că nu reutilizați parole, verificați

Concluzia

Phishing-ul prosperă pentru că ocolește tehnologia și vizează oamenii. Cele mai bune apărări combină trei straturi: managerii de parole (refuză să completeze automat pe domenii greșite), 2FA rezistent la phishing (chei hardware sau passkey-uri care se leagă de domeniul real) și scepticism sănătos (nu vă autentificați niciodată dintr-un link de email).

Activați toate trei pe contul dumneavoastră cel mai important — email-ul — mai întâi. De acolo, restul vieții dumneavoastră digitale devine semnificativ mai sigur.

Cum să vă protejați de phishing

O listă de verificare practică și ordonată pentru a vă întări conturile împotriva atacurilor de phishing.

  1. Folosiți un manager de parole:Instalați un manager de parole de încredere (1Password, Bitwarden, Proton Pass) și lăsați-l să completeze automat credențialele. Va refuza să completeze pe domenii similare, oferindu-vă un detector de phishing integrat.
  2. Activați 2FA rezistent la phishing:Adăugați o cheie hardware FIDO2 (YubiKey, Google Titan) sau un passkey la conturile dumneavoastră cele mai importante — email-ul mai întâi, apoi banking-ul, stocarea în cloud și managerul de parole. Acestea sunt singurele metode 2FA care opresc cu adevărat phishing-ul modern.
  3. Nu vă autentificați niciodată din link-urile de email:Când primiți un email care vă cere să vă autentificați, închideți email-ul și navigați manual la site printr-un bookmark sau introducând URL-ul. Link-ul din email ar putea fi o clonă perfectă; bookmark-ul din browser nu este.
  4. Verificați domeniul exact înainte să tastați:Înainte să introduceți orice parolă, uitați-vă la URL-ul complet din bara de adrese. Căutați https, ortografia corectă și niciun subdomeniu suplimentar precum paypal.com.secure-login.net.
  5. Raportați și continuați:Raportați tentativa de phishing furnizorului dumneavoastră de email (majoritatea au un buton „Raportează phishing"). Apoi continuați cu ziua dumneavoastră — phishing-ul este periculos doar dacă cădeți în capcană, iar conștientizarea este cea mai mare parte a luptei.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email