Phishing avansat: mesaje SMS care imită banca (real vs. fals)
Phishing-ul avansat prin mesaje SMS care imită banca a devenit, în 2026, cea mai eficientă metodă de a goli un cont în România — și nu pentru că escrocii au spart vreun sistem, ci pentru că au învățat să copieze perfect aspectul unui mesaj real. Dacă te-ai întrebat vreodată cum recunosc un SMS fals de la bancă, cum verific dacă e de la bancă cu adevărat sau, în cel mai rău caz, „am deschis link phishing, ce fac acum?", ești exact unde trebuie. Această lecție îți arată, pas cu pas, mesaje phishing reale vs false, cum verifici un link sigur al băncii și cum tratezi orice mesaj SMS de suspectare a băncii fără să-ți pierzi banii.
Diferența uriașă față de acum câțiva ani e că escrocul nu mai trimite un text cu greșeli de ortografie de la un număr necunoscut. În 2026, mesajul îți apare în aceeași conversație cu SMS-urile reale de la bancă, cu același nume de expeditor („ING", „BCR", „BT", „Revolut"), cu același ton corporatist. Tehnologia de protecție SMS phishing 2026 ajută, dar nu te scapă singură: decizia finală de a apăsa sau nu pe link rămâne la tine, în primele 10 secunde.
Vestea bună: există o regulă simplă care deosebește un mesaj real de unul fals în mai puțin de 10 secunde, indiferent cât de bine arată. O înveți în această lecție, împreună cu cifrele reale ale pierderilor din România, scenariile concrete folosite de fraudatori și checklist-ul de urgență dacă ai apucat deja să dai click.
De ce „clasicul" phishing prin SMS a redevenit cel mai periculos
Termenul tehnic este smishing (SMS + phishing). Pare o tehnologie veche, dar tocmai banalitatea lui îl face letal: aproape toți avem încredere reflexă în SMS-uri, mai ales în cele care apar lângă mesaje legitime. În România, fraudele de tip phishing și inginerie socială raportate la nivelul sistemului bancar se cifrează la zeci de milioane de lei anual, iar tendința e crescătoare. Pierderea individuală tipică nu e de 50 de lei — sunt frecvente cazuri de 3.000–30.000 de lei luați într-o singură sesiune, plus credite de nevoi personale luate pe numele victimei în câteva minute.
Trei lucruri au schimbat regula jocului:
- Spoofing-ul de Sender ID. Numele expeditorului afișat (de ex. „BCR") nu este un identificator sigur. El poate fi falsificat astfel încât mesajul fals să aterizeze în același fir cu cele autentice. Practic, telefonul tău grupează mesajele după nume, nu după origine reală — deci un SMS fraudulos „ING" stă lipit de chitanțele reale „ING".
- Copii perfecte ale paginilor. Link-ul te duce pe o pagină identică vizual cu internet banking-ul: logo, culori, font, formular de login, până și ecranul de „introdu codul din aplicație". Diferă doar adresa din bara browserului.
- Atacul în timp real. Escrocul stă în spate și, în secunda în care tastezi parola și codul de autorizare, le folosește el pe site-ul real al băncii. Codul de pe SMS sau din token „nu știe" pe ce site îl introduci — de aceea 2FA singur nu te salvează.
Anatomia unui mesaj fals în 2026: scenariile pe care le vei primi
Aproape toate mesajele de phishing avansat folosesc unul dintre cinci tipare. Învață-le — sunt aceleași de la o lună la alta, doar suma și pretextul se schimbă.
1. „Tranzacție suspectă — confirmă sau anulează"
Exemplu real ca format: „BT: Plata de 2.450,00 RON catre AMAZON*MKTPLACE a fost initiata. Daca nu recunoasteti, anulati aici: bt-securitate[.]link/anulare". Pretextul de frică („ți se iau bani acum") te împinge să apeși fără să gândești. Suma e mereu suficient de mare cât să te sperie, dar plauzibilă.
2. „Cont blocat / card expirat — reactivează"
Exemplu: „Stimate client, contul dvs. a fost suspendat temporar din motive de securitate. Reactivati in 24h: …". Creează urgență cu termen-limită, ca să nu ai timp să verifici.
3. „Ai de încasat o sumă — confirmă IBAN-ul"
Folosit des cu pretexte de tip rambursare ANAF, retur de la un magazin sau „transfer în așteptare". Exemplu: „Aveti o rambursare de 740 RON in asteptare. Confirmati contul pentru creditare: …". Lăcomia funcționează la fel de bine ca frica.
4. „Curier / colet — achită taxa de 2–7 lei"
Suma minusculă te dezarmează: „doar 4,5 lei, nu pot pierde mare lucru". Dar pe pagina de plată introduci datele complete ale cardului, inclusiv CVV, și autorizezi în realitate o tranzacție mult mai mare sau o abonare recurentă.
5. „Apel de la «departamentul antifraudă»" (vishing combinat)
Varianta cea mai periculoasă: primești întâi un SMS-momeală, apoi un apel de la un „angajat al băncii" care îți cere calm să „muți banii într-un cont sigur" sau să-i citești codul din aplicație „ca să blocheze frauda". Numărul afișat poate fi chiar numărul real al băncii (spoofing telefonic). Nicio bancă din România nu te sună vreodată ca să-ți ceară să muți bani sau să-i dictezi un cod.
Cum deosebești real de fals în 10 secunde: regula de aur
Reține o singură propoziție, e cea care te apără în 95% din cazuri:
Un mesaj real de la bancă nu îți cere NICIODATĂ să apeși pe un link pentru a te autentifica, a confirma date sau a „debloca" ceva.
Băncile din România îți trimit prin SMS doar informări și coduri OTP (codul de 6 cifre pentru a-ți autoriza tu propria tranzacție). Nu îți cer prin link parola, datele cardului, codul PIN sau codul din aplicație. Deci, în 10 secunde, aplici testul:
- Conține un link care îți cere o acțiune urgentă? → 99% phishing. Băncile reale te trimit „intră singur în aplicație", nu „apasă aici".
- Îți cere date confidențiale (parolă, CVV, PIN, cod din aplicație)? → phishing garantat. Banca le are deja sau nu ți le cere niciodată.
- Creează urgență sau frică („în 24h", „contul va fi închis", „tranzacție acum")? → semnal roșu major.
Dacă mesajul pică la oricare dintre cele trei, nu apeși nimic. Te oprești și verifici pe cont propriu.
Verificarea unui link sigur al băncii: ce să te uiți, exact
Dacă tot vrei să verifici un link înainte să-l atingi, iată regulile concrete. Citește adresa de la dreapta domeniului spre stânga, fiindcă acolo se ascund trucurile:
- Uită-te la domeniul de bază, nu la subdomenii. Domeniul real e ultima parte înainte de prima bară „/". În
bcr.ro/login, domeniul ebcr.ro— corect. Înbcr.securitate-login[.]com/verificare, domeniul real esecuritate-login.com, iar „bcr" e doar momeală. Întotdeauna verifică ce e lipit imediat în stânga lui.ro/.com. - Domenii apropiate (typosquatting):
ing-ro[.]com,bt24-secure[.]net,revoluut[.]me,raiff-eisen[.]info— toate false. Adresa oficială a fiecărei bănci e scurtă și o știi: ing.ro, bcr.ro, bancatransilvania.ro, raiffeisen.ro etc. - Scurtătoare de link (bit.ly, tinyurl, t.ly) într-un SMS „de la bancă" = aproape sigur fraudă. Băncile nu-și ascund domeniul propriu în spatele unui shortener.
- Lăcătelul (HTTPS) nu înseamnă sigur. Aproape toate site-urile de phishing au lacăt verde azi. HTTPS spune doar că legătura e criptată, nu că site-ul e legitim.
- Nu te baza pe „arată bine". Pagina poate fi o copie pixel-perfect. Singurul lucru care nu poate fi falsificat e adresa reală din bara browserului, după ce pagina s-a încărcat complet.
Regula de aur a verificării: nu intra niciodată la bancă printr-un link primit. Deschizi tu aplicația băncii de pe telefon sau tastezi manual adresa oficială în browser. Așa elimini din start tot riscul, indiferent cât de bine arată link-ul.
De ce 2FA și codul OTP nu te salvează singure
Mulți cred că, dacă au autentificare în doi pași, sunt protejați. Greșit. În atacul în timp real, escrocul îți preia parola și codul OTP pe pagina falsă și le introduce el pe site-ul real, în câteva secunde. Codul de 6 cifre e valabil de obicei 1–5 minute — mai mult decât suficient.
Apără-te citind textul complet al SMS-ului cu codul OTP, nu doar cifrele. Un OTP real spune exact ce autorizezi: „Cod 482913 pentru plata de 350 RON catre Lidl". Dacă tu credeai că doar „te loghezi" sau „anulezi o plată", dar codul autorizează de fapt un transfer de 4.000 RON către un beneficiar necunoscut — oprește-te imediat, nu introduce codul. Suma și beneficiarul din mesajul OTP sunt ultima ta plasă de siguranță.
Am deschis un link de phishing — ce fac acum, pas cu pas
Dacă ai apăsat pe link sau, mai grav, ai introdus date, viteza contează enorm. Acționează în această ordine:
- Doar ai deschis link-ul, dar n-ai introdus nimic? Riscul e mic. Închide pagina, nu reveni pe ea, șterge mesajul. Pentru siguranță, repornește telefonul și rulează o scanare antivirus dacă ai apăsat pe ceva de descărcat.
- Ai introdus parola de internet banking? Schimbă imediat parola din aplicația oficială, nu din link. Dacă folosești aceeași parolă și la email, schimbă-o și acolo (escrocii încearcă reutilizarea).
- Ai introdus date de card (număr, dată, CVV)? Blochează cardul instantaneu din aplicația băncii (funcția „blochează card" e disponibilă 24/7) și sună la numărul oficial de pe spatele cardului pentru reemitere. Cere și blocarea plăților recurente.
- Ai aprobat o tranzacție sau ai dat un cod OTP? Sună acum la dispeceratul antifraudă al băncii și cere recall (rechemarea transferului) și blocarea contului. Primele minute sunt cruciale — banca poate uneori opri banii dacă nu au ieșit încă din circuitul interbancar.
- Depune plângere la poliție (necesară pentru orice dispută) și raportează incidentul. Frauda online se raportează la unitatea de poliție și, pentru reclamații împotriva băncii, la ANPC. Pentru fraude cu transfer de bani, păstrează capturile de ecran ale mesajului și ale paginii.
- Raportează SMS-ul de phishing la operatorul telecom (multe rețele din România au un număr scurt de raportare a SMS-urilor frauduloase) și la bancă, ca să-l adauge pe lista neagră.
Important despre despăgubire: conform regulilor europene (PSD2/DSP2), dacă o plată a fost neautorizată de tine (escrocul ți-a furat datele fără să confirmi tu), banca este, în principiu, obligată să-ți returneze suma. Problema apare când ai aprobat tu tranzacția, fie și înșelat — atunci banca poate invoca „neglijența gravă" și refuza rambursarea. De aceea regula „nu aprob nimic la cererea unui mesaj sau apel" e atât de importantă: ea îți păstrează atât banii, cât și dreptul la despăgubire.
Checklist de protecție: pune-l în practică azi
- Salvează numerele oficiale ale băncii tale (dispecerat card + antifraudă) în agendă, ca să nu le cauți pe Google la panică (unde apar și numere false promovate).
- Nu intra niciodată la bancă printr-un link. Doar din aplicația oficială sau tastând manual adresa.
- Citește integral fiecare SMS cu cod OTP — suma și beneficiarul, nu doar cifrele.
- Activează notificările push pentru orice tranzacție, ca să prinzi pe loc o plată străină.
- Pune o limită zilnică redusă pe plăți online și transferuri (de ex. 1.000–2.000 RON), pe care o ridici doar când chiar ai nevoie. Limitează pierderea maximă.
- Folosește un card virtual separat pentru cumpărături online, alimentat doar cu suma necesară.
- Tratează orice urgență ca pe un semnal de fraudă. Niciun mesaj real nu te grăbește să dai click „în 24h".
- Verifică direct cu banca orice mesaj dubios — suni tu la numărul oficial, nu răspunzi la apelul/SMS-ul primit.
Greșeli frecvente care îți golesc contul
- „Mesajul e în aceeași conversație cu cele reale, deci e sigur." Fals — Sender ID-ul se falsifică, firul de mesaje nu garantează originea.
- „Are lacăt și HTTPS, deci e site oficial." Fals — și site-urile false au HTTPS.
- „Sun la numărul din SMS ca să verific." Greșeală gravă — suni direct escrocii. Suni doar la numărul oficial pe care îl știi tu.
- „Dau codul OTP pentru «a anula» frauda." Capcană clasică — codul autorizează, nu anulează. Citește mereu ce spune mesajul.
- „Banca m-a sunat și mi-a cerut să mut banii în contul sigur." Nicio bancă nu face asta. Închizi și suni tu înapoi la numărul oficial.
- „O să verific mai târziu, acum n-am timp." Exact pe asta mizează frauda. 10 secunde de verificare valorează mai mult decât tot ce ai în cont.
Phishing-ul avansat prin SMS care imită banca nu se bazează pe tehnologie sofisticată, ci pe graba și frica ta. Dacă reții o singură idee din toată lecția, fie aceasta: banca nu îți cere niciodată să apeși pe un link sau să confirmi date, iar orice urgență e un semnal de fraudă. Aplici testul de 10 secunde, intri tu singur în aplicație, și niciun mesaj „perfect" nu mai contează.