Atacatorul cloneaza exact interfata vizuala a unui brand de incredere — banca, curier, platforma de streaming — si trimite un email cu link catre o pagina identica cu originalul. Diferenta: URL-ul are 1-2 caractere modificate (rnicrosoft.com, paypaI.com). Victima introduce credentialele pe formularul fals, care sunt capturate instant si testate automat pe platforma reala. In 94% din cazuri, atacul reuseste in primele 10 minute de la click. Cel mai eficient vector de initiere pentru ATO (Account Takeover). Rata globala de succes: 36% din destinatari dau click; 12% introduc date.

Spre deosebire de phishing-ul de masa, spear phishing foloseste date reale despre victima colectate anterior din LinkedIn, Facebook, site-ul companiei sau documente publice. Emailul mentioneaza numele colegilor reali, proiectul curent, functia exacta. Atacatorul a investit 2-6 ore in cercetare OSINT inainte de a trimite un singur email. Rata de click: 53% versus 36% pentru phishing generic. Utilizat aproape exclusiv in atacuri corporate — tinta: credentiale VPN, acces financiar, date clienti. Semnalul de alarma: emailul stie prea multe detalii personale.

Smishing-ul exploateaza contextul mobil: ecran mic, notificari rapide, lipsa verificarii URL. Mesajele imita BCR, BT, ING, ANAF sau Fan Courier cu mesaje de tipul 'Pachetul tau e retinut — taxa 7 RON'. Link-ul scurtat ascunde domeniul real. Pe mobil, browserul nu afiseaza URL-ul complet in mod implicit. Utilizatorul introduce datele cardului pe o pagina de plata falsa profesionist executata. Exfiltreaza: numar card, CVV, data expirare, adresa de facturare. Datele sunt vandute in bulk pe dark web sau folosite instant pentru tranzactii online frauduloase.

Atacatorul suna de pe un numar afisat identic cu cel oficial al bancii (CLI spoofing prin VOIP). Scenariul standard: 'Am detectat o tranzactie de 4.200 RON pe cardul dumneavoastra. Pentru anulare, avem nevoie de codul primit pe SMS.' OTP-ul cerut este tocmai cel trimis de banca pentru autentificarea unei tranzactii initiate de atacator in paralel. Victima da codul, atacatorul autorizeaza tranzactia. Durata medie a apelului: 4-7 minute. Bancile confirma: NU vor cere niciodata OTP sau PIN prin telefon. Nici in caz de urgenta. Niciodata.

QR code-uri frauduloase sunt plasate fizic — lipite peste QR-urile legitime din restaurante, parcari, afise publice, statii de incarcare electrica, sau trimise in emailuri. Victima scaneaza fara a verifica URL-ul rezultat, este redirectionata catre o pagina de phishing sau un site care descarca automat malware pe dispozitiv (drive-by download). Varianta avansata: QR in PDF-uri transmise prin email de afaceri, aparent documente fiscale sau contracte. In mediul corporativ, quishing ocoleste filtrele antispam care nu analizeaza imaginile din emailuri.

Atacatorul intercepteaza un email legitim primit recent de victima — de la banca, Amazon, un serviciu cloud — si trimite o versiune identica cu acelasi subiect, acelasi format, aceleasi logo-uri. Singura diferenta: link-ul original a fost inlocuit cu unul malitios. Victima recunoaste emailul ca legitim deoarece il stie — l-a mai primit. Increderea este transferata din interactiunea anterioara. Eficienta ridicata mai ales pentru emailuri de tip 'confirmare comanda', 'resetare parola' si 'nota de plata'. Detectie: verifica intotdeauna de pe ce adresa exact a venit emailul.

Domenii inregistrate cu litere vizual identice dar tehnic diferite: paypaI.com (I majuscula in loc de l), rnicrosoft.com (r+n in loc de m), bankcornercial.ro. Designul este clonat pixel-perfect. Utilizatorul care tasteaza manual URL-ul face o greseala de scriere si ajunge pe site-ul fals. Varianta SEO: site-ul fals este pozitionat deliberat in primele rezultate Google pentru cautari de tipul 'login paypal', 'cont ING online'. Certificatul SSL verde (HTTPS) nu garanteaza legitimitatea — orice site poate obtine un certificat SSL gratuit.

Atacatorii platesc reclame Google sau Meta pentru a pozitiona site-uri frauduloase deasupra rezultatelor organice pentru cautari de tipul 'login BRD', 'plata factura Enel', 'ING online banking'. Utilizatorul da click pe primul rezultat, care are aspect identic cu originalul. In 2023, 45% din incidentele de phishing raportate in Romania au implicat reclame platite. Metoda este eficienta deoarece victima considera ca un site afisat ca reclama platita este automat verificat de platforma. Nu este adevarat — Google si Meta nu verifica autenticitatea site-urilor advertisate.

WhatsApp este folosit ca vector din doua motive: rata de deschidere 98% (vs 20% email) si contextul de conversatie care reduce vigilenta. Atacatorul trimite mesaje de la numere necunoscute sau clonate ale contactelor, cu scenarii diverse: 'Am castigat un premiu — ajuta-ma sa il revendic', 'Mama/fiu/sora — am schimbat numarul, e urgenta', 'Verificare cont WhatsApp Business'. Link-urile contin phishing de credentiale sau malware. Varianta avansata: grupuri WhatsApp false de investitii cu zeci de 'membrii' generati AI care simuleaza castiguri.

Atacatorul trimite un email aparent de la Microsoft sau IT-ul companiei cu un link catre un document OneDrive sau SharePoint. La click, utilizatorul este dus pe o pagina de re-autentificare falsa care imita perfect Microsoft 365. Credentialele introduse sunt capturate. Aceasta metoda ocoleste filtrele email deoarece link-ul initial poate fi un URL legitim Microsoft — phishing-ul se intampla abia dupa redirect. Extrem de eficienta in mediul corporate unde utilizatorii primesc frecvent documente partajate prin OneDrive. Tinta principala: conturi Microsoft 365 corporate cu acces la email, Teams, date interne.

Atacatorul trimite o factura falsa departamentului financiar al unei companii, aparent de la un furnizor real sau un furnizor necunoscut dar plauzibil. Factura are IBAN-ul escrocului. Suma este de obicei sub pragul de aprobare dubla — 2.000-15.000 RON. In organizatii cu controale slabe, factura este procesata automat. In varianta avansata, escrocul a compromis in prealabil emailul furnizorului real si trimite factura cu IBAN modificat din contul legitim al furnizorului. Pierderile medii per incident in Romania: 28.000 EUR. Recuperarea este posibila doar in primele 24-48 ore.

Emailul sau SMS-ul pretinde a fi de la banca victimei si anunta o 'tranzactie suspecta de X RON detectata'. Utilizatorul este invitat sa 'verifice sau anuleze' prin click pe un link. Pagina de destinatie este identica cu internetbanking-ul real. Credentialele introduse + OTP-ul cerut permit atacatorului sa acceseze contul real in paralel. Particularitate observata in Romania: atacatorii cunosc numele real al victimei si ultimele 4 cifre ale cardului — date obtinute din baze de date scurse sau din atacuri anterioare. Aceasta 'dovada de cunoastere' creste dramatic rata de succes.

Mesajul SMS imita Fan Courier, DHL, Cargus sau Sameday: 'Coletul tau nu a putut fi livrat. Achita 7 RON taxa de reprogramare.' Link-ul duce la o pagina de plata cu cardul. Atacatorul nu vrea cei 7 RON — vrea datele cardului. Odata capturate, sunt testate pe tranzactii mici (1-5 RON) si daca trec, sunt folosite sau vandute. Eficienta ridicata in perioadele de cumparaturi online — Black Friday, Craciun — cand utilizatorii au intr-adevar comenzi in asteptare si nu mai verifica daca coletul exista cu adevarat.

ANAF-ul este imitat cu acuratete: antet oficial, numar de dosar, CIF-ul victimei (obtinut din date publice). Scenariile sunt doua: (1) 'Aveti o rambursare de X RON — introduceti datele cardului pentru transfer' sau (2) 'Aveti o datorie neplatita — achitati acum pentru a evita executarea silita'. Ambele captureaza datele cardului sau bancareale. ANAF-ul NU contacteaza niciodata contribuabilii prin SMS sau email nesolicitat cu cerinte de plata imediata. Toate comunicarile oficiale ANAF se fac prin scrisoare recomandata sau portalul oficial.

Emailul anunta ca parola contului a expirat sau ca s-a detectat o autentificare neautorizata, si trimite catre un formular de 'resetare'. Formularul captureza atat parola veche cat si cea noua aleasa de victima. Detaliu tehnic important: atacatorul nu a initiat aceasta resetare — a trimis emailul sperand ca victima va actiona. In realitate, contul nu este compromis pana in momentul in care victima introduce datele in formular. Varianta subtila: emailul cere 'confirmarea' parolei curente 'pentru verificare identitate' inainte de resetare — o practica care nu exista in platforme legitime.

Utilizatorul primeste o solicitare de autorizare OAuth de la o aplicatie aparent legitima ('Documente Secure', 'HR Portal', 'Finance Tools'). Prin click pe 'Allow/Permite', ii acorda acestei aplicatii acces permanent la Gmail, Google Drive, calendarul sau contul Microsoft — fara a-si expune parola. Atacatorul mentine accesul chiar si dupa ce victima isi schimba parola, deoarece token-ul OAuth ramine valid. Depistat mai greu — in Google Account, la 'Aplicatii cu acces la cont', aceasta aplicatie apare listata printre cele autorizate. Revocarea necesita stergerea manuala a accesului.

Google Calendar accepta automat invitatii de la oricine daca setarile nu au fost restrictionate. Atacatorul trimite invitatii cu titluri urgente ('Verificare cont — actiune necesara', 'Premiu castigat — confirma azi') care apar automat in calendarul victimei cu notificari. Link-ul din invitatie duce la phishing. Metoda ocoleste filtrele email — invitia ajunge direct in calendar, nu in inbox. Eficienta in mediul corporate unde angajatii au calendar Google sau Outlook sincronizat si accepta automat invitatii interne.

Atacul foloseste caractere Unicode din alfabete cirilian, grec sau armean care sunt vizual identice cu litere latine. Exemplu: paypal.com vs pаypal.com (a cirilian). Browserele moderne afiseaza URL-ul decodat — utilizatorul vede 'paypal.com' dar acceseaza de fapt un domeniu diferit. Certificat SSL valid, design identic, formulare functionale. Detectabil doar prin inspectarea sursei paginii sau a certificatului SSL (Common Name va arata domeniul real). Utilizat mai ales pentru phishing financiar de mare valoare unde investitia in executie este justificata de potentialul castig.

Browser-In-The-Middle este varianta avansata a phishing-ului clasic. In loc de o pagina falsa, atacatorul ruleaza un proxy transparent (Evilginx, Modlishka) care relayeaza toate requesturile catre site-ul real in timp real. Victima vede site-ul real, cu continut real, comunicare SSL reala. Dar proxy-ul captureza sesiunea activa — inclusiv cookie-ul de sesiune valid dupa autentificarea 2FA. Atacatorul preia sesiunea autentificata fara a cunoaste parola. Invizibil pentru victima. Ocoleste 2FA complet. Utilizat in atacuri tintite de mare valoare.

Proxy-ul transparent captureza nu doar credentialele ci si token-ul de sesiune activ in momentul autentificarii. Spre deosebire de phishing-ul clasic care fura parola, AITM fura sesiunea deja autentificata — inclusiv dupa validarea 2FA. In practica: victima se autentifica normal (parola + SMS), proxy-ul captureaza cookie-ul de sesiune si il retrimite atacatorului care acceseaza contul simultan sau imediat dupa. Timp de exploatare: 30-90 secunde. Detectabil doar prin analiza adresei IP de autentificare in log-urile bancii sau platformei.

Atacatorul apeleaza victima de pe un numar afisat identic cu cel oficial al institutiei (ANAF, politie, banca). Tehnica CLI (Calling Line Identification) spoofing este disponibila prin servicii VOIP la preturi mici. Victima vede numarul real pe ecran si presupune ca apelul este legitim. Scenariul: 'Aveti un control fiscal maine — pentru regularizare urgenta, aveti nevoie de...' sau 'Suntem de la Sectia X, exista un mandat pe numele dvs.' Presiunea psihologica este maxima — autoritate + urgenta + amenintare implicita. Institutiile de stat NU comunica prin apeluri nesolicitate cu cerinte urgente de plata.

Atacatorul se insereaza intr-un lant de emailuri existent intre companie si un partener, furnizor sau client. Obtine accesul initial prin compromiterea unuia din conturi sau prin vizualizarea unui email forward. Trimite o continuare naturala a conversatiei, cu acelasi subiect, acelasi stil, referinta la emailurile anterioare — dar cu continut modificat (IBAN diferit, link malitios, cerere de date). Victima nu detecteaza anomalia deoarece emailul pare a fi raspunsul natural la o conversatie deja in desfasurare. Utilizat masiv in fraude B2B cu valori ridicate.

AMP (Accelerated Mobile Pages) este un framework Google pentru pagini mobile rapide. Atacatorii exploateaza faptul ca URL-ul AMP incepe intotdeauna cu 'google.com/amp/' — victima vede google.com in bara de adrese si presupune legitimitate. URL-ul real de destinatie este ascuns in parametrul AMP. Pagina de phishing este gazduita pe domeniu fals dar accesata aparent de pe google.com. Filtrele antiphishing care verifica domeniul vazut (google.com) nu blocheaza atacul. Victima introduce credentialele pe o pagina controlata de atacator.

Atacatorul achizitioneaza baze de date cu credentiale scurse (email + parola) din incidente anterioare — HaveIBeenPwned indexeaza peste 12 miliarde de conturi compromise. Un script automat testeaza aceste combinatii pe sute de platforme simultan. Rata de succes: 0.1-2%, dar la 1 miliard de incercari asta inseamna 1-20 milioane de conturi compromise. Functioneaza exclusiv pe utilizatorii care refolosesc parola. Protectie absoluta: parola unica per platforma. Managere de parole (Bitwarden, 1Password) rezolva problema complet.

Atacatorul testeaza sistematic combinatii de parole comune ('123456', 'parola123', 'romania2024') pe un cont specific sau pe mii de conturi simultan. Varianta 'password spray' testeaza o singura parola pe mii de conturi — evita blocarea prin limitarea tentativelor per cont. Atacul este automatizat si foloseste retele de proxy pentru a masca originea. Eficient mai ales pe sisteme corporate cu politici slabe de parole. Conturile vizate: email corporate, VPN, platforme financiare, panouri de administrare.

Atacatorul contacteaza operatorul de telefonie al victimei si, folosind date personale obtinute anterior (CNP, adresa, raspunsuri la intrebari de securitate), convinge operatorul sa transfere numarul pe un SIM nou. In 15-30 minute, toate SMS-urile victimei ajung la atacator. Imediat: initieaza resetarea prin SMS a tuturor conturilor bancare, email, crypto. SIM swap-ul este prevenit de operatori care cer prezenta fizica sau cod PIN, dar nu toti aplica aceste masuri. Semnal de alarma: telefonul pierde brusc semnal sau afiseaza 'fara serviciu'.

Recuperarea contului prin email de backup sau numar de telefon devine un vector de atac cand acestea sunt compromise anterior. Atacatorul reseteaza contul Gmail al victimei → obtine acces la inbox → gaseste emailuri de la banci → reseteaza contul bancar prin 'uitare parola' → preia contul financiar. Lantul de recuperare in cascada poate compromite 5-15 conturi in mai putin de o ora. Vulnerabilitatea fundamentala: securitatea oricarui cont este egala cu securitatea contului de recuperare. Email-ul principal trebuie protejat cu 2FA hardware.

Cookie-urile de sesiune stocate in browser contin token-ul care identifica sesiunea autentificata — fara parola. Daca acest cookie este furat (prin extensii malitioase, XSS, retea Wi-Fi nesecurizata), atacatorul il importa in propriul browser si acceseaza contul ca si cum ar fi utilizatorul autentificat. Nu mai este nevoie de parola sau 2FA. Tehnica este folosita masiv dupa infectia cu malware infostealer care extrage automat toate cookie-urile browserului. Dupa logout sesiunea expira — dar intre autentificari, cookie-ul este activ.

Atacatorul creeaza sau compromite o retea Wi-Fi cu acelasi SSID cu o retea publica cunoscuta ('AeroportOTPeni_Free', 'McDonaldsWifi'). Dispozitivele se conecteaza automat la retele cunoscute. Tot traficul HTTP (si uneori HTTPS prin SSL stripping) trece prin routerul atacatorului. Credentialele introduse in formulare nencriptate sunt capturate in plaintext. Eficient in aeroporturi, cafenele, hoteluri. Protectie: VPN activ pe orice retea publica, evitarea autentificarii pe retele necunoscute.

Pass-the-Hash exploateaza faptul ca Windows stocheaza hash-ul parolei in memorie pentru autentificari viitoare. Atacatorul extrage hash-ul din memoria unui sistem compromis (folosind Mimikatz sau similar) si il reutilizeaza direct pentru autentificare pe alte sisteme din retea — fara a cunoaste parola in clar. Specific mediilor Active Directory. Un singur sistem compromis poate duce la compromiterea intregului domeniu corporate. Contramasura: Protected Users group, Credential Guard, privilegii minime per utilizator.

Kerberoasting vizeaza conturile de serviciu din Active Directory care au SPN (Service Principal Name) setat. Atacatorul, cu drepturi minime in retea, cere un ticket de serviciu Kerberos pentru aceste conturi — ticket care este criptat cu hash-ul parolei contului. Ticket-ul este exportat si parolele sunt sparte offline prin brute-force, fara a genera alerte in sistem. Dupa cracuire, atacatorul are acces la contul de serviciu — adesea cu privilegii ridicate. Contramasura: parole lungi (25+ caractere) pentru conturi de serviciu.

In loc de a testa mii de parole pe un singur cont (blocheaza contul), password spray testeaza O singura parola ('Welcome1', 'Toamna2024') pe mii de conturi simultan. Fiecare cont primeste o singura tentativa — sub pragul de blocare. Eficient in organizatii unde utilizatorii aleg parole predictibile, mai ales la onboarding cand li se cere sa schimbe parola initiala. Atacul este lent (o tentativa la 30-60 minute per cont) dar persistent. Detectabil prin analiza log-urilor de autentificare — pattern de autentificari esauate distribuite.

Un site legitim are o vulnerabilitate de tip 'open redirect' — permite redirectionarea catre orice URL extern prin parametru in link: legitimate-site.com/redirect?url=phishing-site.com. Atacatorul trimite victimei link-ul legitim, care redirectioneaza automat catre pagina falsa de login. Filtrele antiphishing nu blocheaza linkul initial — este un domeniu legitim. Victima vede URL-ul legitim initial si nu mai verifica dupa redirect. Platforma autentica devine involuntar vector de phishing.

Atacatorul initiaza autentificarea victimei pe o platforma — primeste cererea de 2FA pe dispozitivul victimei — si apoi bombardeaza victima cu zeci de cereri de aprobare push 2FA (Microsoft Authenticator, Duo) in intervale scurte. Victima, iritata de notificari sau confuza, apasa 'Aproba' dintr-o greseala sau pentru a le opri. O singura aprobare este suficienta. Varianta sofisticata: atacatorul suna victima simultan, se prezinta ca suport IT si o instruieste sa 'confirme' cererea pentru 'rezolvarea unui incident'. Eficienta ridicata in medii corporate.

Proxy-ul transparent (Evilginx2, Modlishka) se pozitioneaza intre browser si site-ul real. Victima acceseaza proxy-ul crezand ca acceseaza site-ul real. Totul functioneaza normal — login, 2FA, sesiune activa — deoarece proxy-ul relayeaza requesturile catre site-ul real. In paralel, proxy-ul captureza credentialele si token-ul de sesiune activ. Atacatorul primeste sesiunea autentificata in timp real si poate actiona simultan. Detectie aproape imposibila pentru utilizator. Blocat partial de chei de securitate hardware (FIDO2).

Sistemele de 'device trust' marcheaza dispozitivele cunoscute ca de incredere si nu mai cer 2FA la autentificari viitoare. Daca cookie-ul de 'device trust' este furat, atacatorul il importa pe dispozitivul sau si se autentifica fara 2FA. Alternativ, emularea User Agent + caracteristici browser pot face dispozitivul atacatorului sa para 'cunoscut'. Platforma nu detecteaza diferenta. Eficient dupa infestare cu infostealer care extrage atat cookie-urile de sesiune cat si pe cele de device trust.

Intr-o companie mare, helpdesk-ul IT primeste sute de cereri zilnic. Atacatorul suna, se prezinta ca angajat (cu date OSINT reale — nume, departament, manager), invoca o urgenta plauzibila: 'Am deadline azi, am uitat parola, managerul meu e in concediu'. Presiunea psihologica — urgenta + autoritate implicita — determina tehnicianul helpdesk sa reseteze parola fara verificare completa. Atacul este mai ales eficient vinerea sau in perioade aglomerate. Contramasura: procedura stricta de verificare identitate, cod PIN cunoscut doar de angajat, aprobare manager.

Atacatorul identifica site-uri vizitate frecvent de o tinta specifica (forumuri de specialitate, furnizori, asociatii profesionale) si compromite unul dintre ele. Orice vizita la site-ul compromis poate instala malware prin vulnerabilitati browser (drive-by download) sau poate servi un formular de login fals. Victima nu a facut nimic suspect — a vizitat un site de incredere folosit de ani de zile. Watering hole este una din tehnicile preferate in atacuri nation-state deoarece ocoleste filtrele corporate care blocheaza site-urile necunoscute.

Platformele de agregare financiara (Revolut, Curve, aplicatii de budgetare) conecteaza prin Open Banking API toate conturile bancare ale utilizatorului. Compromiterea credentialelor platformei de agregare ofera accesul simultan la datele tuturor bancilor conectate — solduri, istoricul complet al tranzactiilor, tipare de cheltuieli. Chiar fara posibilitatea initierii tranzactiilor (daca platforma permite doar citire), informatiile colectate sunt suficiente pentru atacuri tintite extrem de precise sau pentru inginerie sociala sofisticata.

RAT (Remote Access Trojan) este instalat prin atasamente email, software pirata sau link-uri malitioase. Odata activ, permite atacatorului control complet: vede ecranul in timp real, capteaza tastatura, acceseaza fisierele, porneste camera web si microfonul, manipuleaza aplicatii. In contextul fraudei financiare: atacatorul asteapta ca victima sa se autentifice in internetbanking, vede credentialele, sesiunea activa, si initieaza transferuri in timp real — totul in timp ce victima este conectata. Cele mai comune RAT-uri: AsyncRAT, NjRAT, Quasar. Detectia antivirus: variabila, 40-70% din variante noi.

Keylogger-ul inregistreaza fiecare tasta apasata si trimite log-urile la intervalul predefinit. Capteaza: parole, mesaje private, numere de card, coduri PIN, conversatii. Variante moderne captureaza si clipboard-ul (parole copiate) si fac screenshot-uri la intervale. Un keylogger comercial disponibil online costa 10-50 USD si nu necesita cunostinte tehnice pentru instalare. Semnal de alarma: cont accesat de pe locatie necunoscuta desi parola nu a fost comunicata nimanui. Protectie: antivirus actualizat, tastatura virtuala pentru parole critice.

Banking trojan-ul se injecteaza in procesul browserului si intercepteaza sesiunile de internetbanking in timp real. Modifica paginile vizualizate (web inject): victima vede soldul corect, dar tranzactia este modificata — IBAN-ul destinatar este schimbat cu cel al escrocului. Sau captureaza credentialele si OTP-urile si le transmite atacatorului care initieaza transferuri in paralel. Variante cunoscute: Zeus, Emotet (care descarca alti troiani), TrickBot. Detectie dificila deoarece interfata bancara arata normal — modificarile sunt vizibile doar in traficul de retea.

Pop-up sau apel telefonic anunta 'virus detectat pe computer' cu numar de telefon Microsoft sau Apple. Dupa apel, 'tehnicianul' cere instalarea AnyDesk sau TeamViewer pentru 'diagnosticare'. Cu accesul remote, atacatorul: vizualizeaza datele financiare, initiaza transferuri bancare, instaleaza RAT pentru acces persistent ulterior, sau solicita plata pentru 'servicii'. In Romania, variante localizate in romana cu numere de telefon cu prefix local. Victimele principale: persoane varstnice, mai putin familiarizate cu tehnologia. Microsoft si Apple nu contacteaza niciodata utilizatorii nesolicitat.

Angajatul bancii fals suna victima (vishing cu CLI spoofing — afiseaza numarul real al bancii) si explica ca exista o 'problema de securitate' sau un 'virus pe dispozitiv care initiaza tranzactii neautorizate'. Solutia: instalarea unui software de 'verificare' (AnyDesk, TeamViewer). Cu accesul remote obtinut, atacatorul vizualizeaza sesiunea activa de internetbanking, coordonele de securitate, si initiaza transferuri — sau instruieste victima sa le execute ea insasi, sub pretextul 'testarii sistemului'. Metoda sofisticata, adesea multi-actor: un operator tine victima ocupata in timp ce altul executa transferul.

Victima este contactata de 'suport tehnic' pentru un wallet crypto sau un exchange, sub pretextul unui 'incident de securitate pe cont'. Se cere instalarea unui tool remote (AnyDesk, Supremo). Odata obtinut accesul, atacatorul vede deschis wallet-ul sau sesiunea exchange-ului si initiaza transferuri catre adresele proprii. Tranzactiile crypto sunt ireversibile in 10-60 minute. Varianta: victima este instruita sa 'valideze' o tranzactie de 'verificare' care este de fapt un transfer real. Target principal: detinatori de Bitcoin, Ethereum cu sume semnificative.

Fereastra pop-up imita un scan antivirus cu bara de progres animata si afiseaza '18 virusi detectati critici'. Butonul de inchidere nu functioneaza sau deschide alta fereastra. Formularul de 'curatare' cere plata unui abonament (30-150 EUR) cu cardul sau date personale. Unele variante blocheaza browserul complet (browlock) si afiseaza numar de telefon 'suport'. Produsul instalat este inutil sau inexistent. Varianta avansata instaleaza malware real in timpul 'curatarii'. Detectabil: nicio aplicatie legitima nu afiseaza scanuri prin fereastra browser.

Atasamentul email (PDF, Word cu macros, ZIP) contine ransomware care se executa la deschidere sau la activarea macrocomenzilor. Cripteaza toate fisierele accesibile — inclusiv drive-urile partajate in retea — in 30-90 minute. Nota de rascumparare cere plata in Bitcoin pentru cheia de decriptare. Suma: 500-5.000 EUR pentru persoane fizice, 50.000-2.000.000 EUR pentru companii. Plata nu garanteaza recuperarea. Backup offline si segmentarea retelei sunt singurele protectii efective. In 2023, ransomware a costat global 1,1 miliard USD in plati.

Aplicatia instalata prin App Store sau sideloading capteaza contacte, SMS-uri, locatia GPS, istoricul browser, fotografii. Datele sunt transmise la servere ale atacatorilor si utilizate pentru: targeting pentru alte atacuri, santaj, vanzare catre brokeri de date sau servicii de intelligence. Unele aplicatii intercepteaza SMS-uri de autentificare si le transmit atacatorilor (bypass 2FA). Exemple documentate: aplicatii de lanterna, de monitorizare baterie, de stiri. Permisiunile excesive cerute la instalare sunt semnalul principal de alarma.

Extensia de browser instalata (adesea prin 'necesara pentru vizualizarea unui video' sau bundled cu software gratuit) monitorizeaza tot traficul web. Capteaza formularele completate, inlocuieste reclame cu altele malitioase, redirectioneaza catre site-uri de phishing, modifica rezultatele cautarilor. Unele variante modifica IBAN-urile din paginile de internetbanking (web inject). Detectie: greu — extensia functioneaza legal in contextul permisiunilor acordate. Verificare periodica a extensiilor instalate este esentiala.

Pop-up-ul anunta ca 'Chrome/Firefox/Windows necesita actualizare urgenta de securitate'. Download-ul este de pe un domeniu similar dar fals (chrome-update-security.com). Fisierul instalat contine malware mascat ca installer real. Varianta avansata: distributia prin publicitate online pe site-uri legitime (malvertising) — victima viziteaza un site de stiri si vede reclama de 'update'. Update-urile reale ale browserelor sunt automate si nu cer confirmare manuala printr-un pop-up.

USB-urile infectate sunt lasate deliberat in locuri strategice: parcarea sediului companiei tinta, sala de conferinte, recuptia unui hotel de business. Curiozitatea naturala ('cui ii apartine?') determina conectarea la computer. La conectare, executie automata (daca AutoRun este activat) sau prin fisier atractiv ('Salarii 2024.exe' sau 'Strategia_Confidentiala.pdf.exe'). Tehnica documentata in atacuri APT (Advanced Persistent Threat) si attack-uri de spionaj industrial. Simpla si eficienta in organizatii care nu au politici de restrictionare USB.

Victima viziteaza un site web complet legitim care a fost compromis anterior de atacatori. Codul malitios injectat in site exploreaza vulnerabilitati ale browserului sau ale plugin-urilor (Flash, Java, PDF reader) pentru a executa cod fara nicio interactiune a utilizatorului — zero click. Malware-ul este instalat silentios. Victima nu stie nimic. Eficienta maxima prin combinarea cu 'watering hole' (site-uri vizitate de o tinta specifica). Contramasura: browser si plugin-uri actualizate la zi, extensie de tip NoScript.

In loc sa atace compania tinta direct, atacatorul compromite un furnizor de software folosit de aceasta — actualizarea software-ului devine vectorul de infectie. Cazul SolarWinds (2020) a afectat 18.000 de organizatii simultan printr-o actualizare troianizata. Victimele au instalat singure malware-ul, considerand actualizarea legitima. Supply chain malware este considerat unul din cele mai sofisticate si periculoase tipuri de atac deoarece ocoleste toate mecanismele de securitate perimetrale.

Fileless malware nu scrie nimic pe disc — ruleaza exclusiv in memoria RAM, in contextul unor procese legitime (PowerShell, WMI, cmd.exe). Antivirusul traditional nu detecteaza nimic deoarece nu exista fisier de scanat. Executia se face prin scripturi PowerShell codificate in baza64, reflective DLL injection, sau abuz de Windows Management Instrumentation. Persistenta este mentinuta prin registry sau task scheduler fara fisiere. Disparut la restart — dar atacatorul reinitializeaza daca are persistence. Detectabil doar prin analiza comportamentala in timp real (EDR).

Stalkerware este instalat fizic pe dispozitivul victimei de catre o persoana care are acces la acesta — partener, angajator, cunostinta. Odata instalat, transmite in timp real: locatia GPS, mesajele WhatsApp/Signal/SMS, apelurile telefonice, fotografiile facute, activitatea browser. Aplicatia este invizibila pe ecranul principal si nu apare in lista de aplicatii. Utilizat in contexte de abuz domestic, spionaj industrial, control parental abuziv. Legal ambiguu — ilegal in Romania daca instalat fara consimtamant.

GPT-4 si modele similare genereaza emailuri de phishing perfect personalizate in secunde, la cost zero. Atacatorul colecteaza date OSINT despre victima (LinkedIn, Facebook, site-ul companiei, comunicaturi de presa) si le introduce ca prompt. Modelul genereaza un email care mentioneaza colegii reali ai victimei, proiectele curente, stilul de comunicare al organizatiei. Rata de click pentru phishing personalizat AI: 53% vs 36% generic. La scala industriala: 10.000 emailuri personalizate pe zi cu cost de 50 USD. Detectia prin filtre traditionale este ineficienta.

Chatbot-ul AI este embebat in site-uri false sau injectat prin reclame pe site-uri legitime. Imita perfect suportul tehnic al unui brand (bancii, unui operator telecom, unui retailer). Conversa natural, raspunde la intrebari specifice, construieste incredere, si in mod gradual extrage: date card, credentiale cont, date personale. Spre deosebire de formularele de phishing clasice, conversatia reduce vigilenta — utilizatorul simte ca vorbeste cu cineva. AI-ul nu oboseste, nu greseste, conduce mii de conversatii simultan.

Documentele juridice generate AI — notificari ANAF, citatie judecatorie, ordin de executare, notificare GDPR, contract — sunt perfect formatate, au numar de dosar plauzibil, stampile digitale, si urmeaza exact structura documentelor oficiale reale. Victima nu are posibilitatea de a distinge un document fals de unul real fara verificare manuala la institutie. Sub presiunea amenintarii juridice, oamenii actioneaza imediat — platesc 'amenda', dau date 'pentru regularizare', semneaza documente fara a citi. AI-ul a redus costul producerii unui document fals la zero.

Platformele de recrutare AI false (cu branding profesionist, anunturi de joburi reale, matching algorithmuri simulate) atrag candidati care isi incarca CV-ul complet — date personale, adresa, telefon, CNP, copie buletin 'pentru verificare'. Unele cer si IBAN-ul 'pentru plata cheltuielilor de deplasare la interviu'. Datele colectate sunt vandute sau folosite pentru identitate sintetica. Diferenta fata de job scam-urile clasice: platforma AI este convingatoare, are interfata functionala, raspunde la intrebari plauzibil.

Modelele de voice cloning pot reproduce vocea oricui dupa 3-30 secunde de audio de referinta — disponibil pe YouTube, TikTok, interviuri publice, mesaje vocale. Vocea sintetizata este indistinguibila de original in convorbiri telefonice standard. Scenariul clasic: atacatorul cloneaza vocea CEO-ului sau a unui director financiar si suna departamentul contabil cu un transfer 'urgent' si 'confidential'. Rata de succes pentru CEO fraud cu voice clone: semnificativ mai mare decat prin email. Imposibil de detectat fara protocoale de verificare secundara.

Aplicatia de 'diagnostic AI' — pentru simptome, analize medicale, testare genetica — este proiectata sa colecteze date medicale sensibile sub pretextul unui serviciu de sanatate. Datele biometrice colectate (simptome, varsta, boli cronice, medicatia) sunt valoroase pe piata dark web (valoare medie: 250-1.000 USD per profil medical vs 5-30 USD per date financiare). Unele aplicatii initiaza si abonamente recurente greu de anulat. Nicio aplicatie medicala legitima nu functioneaza fara supraveghere medicala licentiata.

Widgetul de chat aparent al bancii sau retailerului este de fapt injectat prin reclama malitioasa pe site-ul legitim sau prin extensii de browser compromise. Utilizatorul crede ca vorbeste cu suportul oficial. Chatbot-ul colecteaza treptat: numarul cardului, CVV-ul, data expirarii, adresa — sub pretextul 'verificarii' sau 'activarii unui serviciu'. AI-ul gestioneaza conversatia natural, raspunde la indoieli, creeaza urgenta daca e necesar. Exfiltreaza date in timp real catre serverul atacatorului.

Articolele false generate AI sunt publicate pe site-uri de stiri cu aspect profesionist, SEO optimizat pentru cautari curente. Titluri: 'BNR anunta retragerea din circulatie a bancnotelor vechi — schimbati acum', 'Studiu confirma: X supplement previne cancerul — oferta limitata'. Scopul: generarea de trafic catre site-uri de frauda, manipularea preturilor actiunilor, sau raspandirea dezinformarii. Detectia umana este dificila — articolele par scrise de jurnalisti. Verificarea sursei originale si a datei publicarii este esentiala.

AI-ul este folosit ca instrument de suport in timp real de catre atacatorul uman. In timp ce escrocul vorbeste cu victima la telefon, AI-ul genereaza in timp real raspunsuri la obiectiile victimei, sugestii de contraargumente, informatii despre victima din date publice, scripturi pentru diferite scenarii. Atacatorul aude sugestiile prin casca si le reproduce natural. AI-ul creste dramatic eficienta atacatorilor neexperimentati si reduce erorile care ar putea expune frauda.

Pipeline-ul automat de atac: (1) Scraper colecteaza email-uri si date LinkedIn. (2) AI genereaza profil psihologic per victima. (3) AI genereaza email personalizat. (4) Email-ul este trimis automat. (5) Raspunsurile sunt procesate automat si escalate catre operator uman. Zero interventie umana pana la angajarea victimei. Cost per email: sub 0.01 USD. La 10.000 emailuri zilnic cu 1% rata de succes in obtinerea credentialelor = 100 conturi compromise pe zi. Democratizeaza atacurile sofisticate catre atacatori fara experienta.

AI-ul genereaza contracte perfect formatate — imobiliare, auto, de servicii, de munca — cu toate clauzele standard incluse. Notarizarea digitala falsa este creata prin clonarea semnaturii digitale a unui notar real sau prin generarea uneia fictive. Victima semneaza digital, plateste avansul sau prima transa, si descopera ulterior ca contractul nu are valoare juridica si proprietatea/serviciul nu exista. Valori uzuale: 2.000-50.000 EUR. Recuperare aproape imposibila.

LLM prompt injection introduce instructiuni malitioase in continut procesat de un sistem AI — documente, emailuri, pagini web. Modelul, urmarind instructiunile din continut, executa actiuni neautorizate: trimite date la URL extern, genereaza raspunsuri false, modifica contextul conversatiei. In sisteme corporative care integreaza AI cu baze de date interne, un document malitios poate determina AI-ul sa exfiltreze date confidentiale. Suprafata de atac creste pe masura ce AI-ul este integrat in mai multe fluxuri de lucru.

Un site clonat complet poate fi generat in minute cu AI — design identic, continut reprodus, formulare functionale. Domeniile sunt inregistrate cu variante typosquatting. AI-ul nu are nevoie de un designer sau programator. Costul unui site de phishing a scazut de la saptamani de munca la 15 minute si ~10 USD. Detectia devine mai dificila pe masura ce calitatea clonarilor creste.

Identitati sintetice complete — fotografie realista generata de AI (nu este o persoana reala), documente falsificate consistent, istoric social media fabricat, referinte de munca plauzibile — sunt folosite pentru deschiderea de conturi bancare, obtinerea de credite, fraude de asigurare. Sistemele KYC (Know Your Customer) bazate pe recunoastere faciala nu detecteaza deepfake-urile avansate. Fenomenul este in crestere exponentiala odata cu democratizarea modelelor generative.

Bot-ul vocal AI conduce intregi conversatii de vishing fara interventie umana — raspunde la intrebari neplanificate, gestioneaza obiectii, creeaza urgenta, revine la subiect. Vocea este naturala, cu ezitari si intonatii umane. Daca victima pune o intrebare la care bot-ul nu are raspuns, transfera automat la un operator uman. Cost per apel: sub 0.10 USD. Pot efectua 10.000 apeluri zilnic simultan. Sistemele telefonice nu pot distinge un bot AI de un om real in convorbiri scurte.

Voice cloningul AI in timp real (prin software precum Real-Time Voice Cloner) substituie vocea atacatorului cu vocea oricui in cadrul unui apel telefonic live. Atacatorul vorbeste normal si software-ul transforma vocea in timp real. Latenta: sub 200 milisecunde — indistinguibila in conversatie normala. Nu mai este nevoie de inregistrare in avans a victimei — clonarea se face din primele secunde ale apelului. Toate apelurile telefonice cu cereri financiare trebuie verificate pe canale alternative, indiferent de cat de familiara suna vocea.

Pipeline-ul automat AI selecteaza victimele pe baza profilurilor de vulnerabilitate (varsta, venituri estimate, comportament online), personalizeaza mesajul per victima, selecteaza canalul optim (email, SMS, apel, social media), si ajusteaza tonul si urgenta. La scara de milioane de contacte simultane cu cost marginal zero, chiar si o rata de succes de 0.01% genereaza mii de victime. Campaniile AI depasesc capacitatile defensive traditionale prin viteza si personaliz area simultana.

Campania AI de dezinformare financiara sau electorala produce articole, video-uri, tweet-uri si postari coordonate care par sa vina din surse multiple independente — in realitate generate de acelasi pipeline AI. Scopul financiar: manipularea pretului unei actiuni sau unui token. Scopul politic: influentsarea alegerilor. Detectia este extrem de dificila deoarece volumul si diversitatea aparenta a surselor suprascriu capacitatile umane de verificare.

Atacatorul genereaza un video deepfake cu fata si vocea CEO-ului real, bazat pe materiale publice disponibile (interviuri, prezentari, YouTube). Intr-un apel video Zoom sau Teams, CEO-ul 'virtual' cere directorului financiar un transfer urgent si confidential catre un 'partener strategic nou'. Calitatea deepfake-urilor in timp real a avansat rapid — in 2024, mai multe companii europene au transferat sume intre 200.000-500.000 EUR dupa astfel de apeluri. Singurul protocol de securitate eficient: niciun transfer major fara confirmare pe canal secundar (telefon personal cunoscut anterior).

Modelele de voice cloning (ElevenLabs, Vall-E) reproduc vocea oricui cu acuratete de 99% dupa 3-30 secunde de audio. Atacatorul cloneaza vocea unui copil adult sau a unui parinte al victimei. Apelul: 'Sunt [prenume], am accident, sunt la spital, am nevoie urgent de 5.000 RON, trimite la numarul X'. Parintii nu au posibilitate reala de a distinge vocea clonata de vocea reala in conditii de stres si emotie. Contramasura: cuvant de cod secret stabilit in familie, verificare prin apel direct la numarul cunoscut al persoanei.

Deepfake pornografic generat din fotografii publice de pe Instagram, Facebook sau LinkedIn. Atacatorul ameninta victima cu publicarea materialului daca nu plateste. Suma initiala: 500-2.000 EUR. Plata nu opreste santajul — cererile continua. Victimele sunt adesea persoane cu expunere publica, angajati cu pozitii importante sau adolescenti. Important de stiut: continutul generat AI nu este material real compromitator. Raportarea imediata la politie si refuzul oricarei plati este singurul raspuns corect.

Sistemele KYC (Know Your Customer) ale bancilor si exchange-urilor crypto cer o 'selfie live' sau un video scurt pentru verificarea identitatii. Deepfake-ul video aplicat in timp real (prin software care se interpune intre camera web si platforma) trece aceste verificari. Atacatorul poate astfel deschide conturi bancare frauduloase, exchange-uri crypto, conturi de trading pe identitatea altcuiva. Bancile investesc masiv in detectia deepfake liveness, dar competitia este continua.

Video-ul deepfake al unui politician, CEO cunoscut sau vedeta prezinta un discurs sau o recomandare complet fabricata. Utilizat pentru: promovarea platformelor de investitii false, colectarea de donatii fictive, manipularea preturilor actiunilor, campanii de dezinformare. Platforma care gazduieste video-ul (YouTube, Facebook) il poate sterge dar nu inainte ca milioane de vizualizari si implicit zeci de mii de victime sa fi actionat pe baza lui.

Deepfake-ul live in Zoom sau Teams este realizat prin software (DeepFaceLab, FaceFusion) care substituie fata atacatorului cu cea a persoanei tinta in timp real. Calitatea actuala permite conversatii interactive convingator. Reactiile sunt natural — deepfake-ul clipeste, rade, exprima emotii. Utilizat in mediul corporate pentru a impersona CEO, CFO, parteneri de afaceri. Orice solicitare financiara sau de date sensibile primita prin video call trebuie confirmata prin canal secundar.

Atacatorul se prezinta ca jurnalist de investigatie de la un ziar sau televiziune credibila, cercetator academic, sau analist de securitate. Solicita informatii interne 'pentru un articol', documente 'pentru un studiu', sau acces la sisteme 'pentru un audit de securitate'. Organizatii mai putin riguroase furnizeaza informatii fara verificare. Verificarea identitatii unui jurnalist sau cercetator se face exclusiv prin contactarea redactiei sau institutiei prin canalele oficiale cunoscute — nu prin datele de contact furnizate de solicitant.

Elon Musk, Bill Gates sau vedete locale recomanda intr-un video realistic o 'oportunitate de investitie limitata' cu garantia triplarii investitiei. Video-ul este distribuit pe Facebook, Instagram, YouTube prin reclame platite. In 2023, frauda de tip celebrity endorsement deepfake a generat pierderi estimate la 25 miliarde USD global. Nici una dintre personalitatile reale nu a facut aceste recomandari. Verificarea: cautarea numelui + 'scam' sau 'fraud' pe Google, si vizualizarea canalelor oficiale ale personalitatilor respective.

Atacatorul inregistreaza si manipuleaza audio de la apeluri de earnings reale pentru a crea versiuni false cu 'informatii privilegiate' despre performantele financiare ale unei companii. Distribuite selectiv investitorilor inainte de anuntul oficial, aceste manipulari pot produce miscari semnificative ale pretului actiunilor, beneficiind short-seller-ii sau long-sell-erii positionati anterior. Manipulare de piata cu componenta deepfake — fenomen emergent in 2024.

Contul de email sau social media al persoanei decedate este preluat sau imitat pentru a contacta familia si cunostintele. Mesajele sunt generate AI in stilul persoanei, bazate pe comunicarile anterioare publice sau accesate prin contul compromis. Scopuri: colectarea de 'mostenire' fals, obtinerea de date personale, sau pur si simplu frauda emotionala. Dintre toate tipologiile, aceasta este considerata cel mai abuziv din punct de vedere etic.

Clonarea vizuala a unui brand include: exact aceleasi culori, logo, fonturi, disclaimer legal, semnatura email, structura paginii, fotografii de produs. Diferenta fata de original este detectabila doar la analiza minutioasa a URL-ului sau a certificatului SSL. Utilizat pentru captarea credentialelor, platilor sau datelor personale. Costul producerii unui site brand-clone a scazut la sub 2 ore de munca cu instrumente AI si template-uri.

AI-ul genereaza documente oficiale false cu acuratete ridicata: buletine de identitate cu CNP generat valid, contracte cu stampila scanata si replicata, diplome universitare, certificate de inmatriculare. Calitatea permite trecerea unor sisteme automate de verificare. Utilizate pentru: identitate sintetica, obtinerea de credite, inchirierea de proprietati, frauda la angajare. Verificarea autentica necesita acces la bazele de date oficiale — ANAF, Registrul Auto, RMUR.

Contul de Facebook sau Instagram al victimei este clonat complet: acelasi profil photo, bio, aceleasi postari primele cateva. Trimite cereri de prietenie tuturor contactelor victimei reale. Ulterior: mesaje de urgenta ('Am pierdut portofelul in strainatate, poti trimite 500 RON?'), link-uri de phishing, invitatie in grupuri de investitii false. Victimele contactate cred ca vorbesc cu prietenul/ruda lor real. Contul clonat este o tehnica simpla dar extrem de eficienta.

Platforma (Twitter/X, Instagram, Facebook) ofera un badge albastru de verificare care certifica autenticitatea unui cont. Escrocii imita procesul de verificare cu un site fals care cere credentialele contului sub pretextul 'aplicatiei pentru badge'. Alternativ, vand conturi deja verificate (de persoane publice care nu mai sunt active) si le rebranduiesc. Badge-ul de verificare nu garanteaza autenticitatea actuala a contului — conturi verificate pot fi compromise sau vandute.

Angajatul primeste un email aparent de la colegul din IT sau de la departamentul IT central cu cerere urgenta de reset parola, confirmare date de acces, sau instalare software 'necesar pentru update'. Emailul are sigla corecta, semnatura corecta, formatul intern corect. Este trimis de pe o adresa similara celei reale (IT-suport@companie-it.ro vs it.suport@companie.ro). Orice cerere de credentiale din partea IT trebuie verificata prin canal alternativ — telefon intern sau direct la biroul IT.

CEO Fraud este cea mai costisitoare frauda corporativa documentata. Atacatorul compromite sau spoofuieste adresa de email a CEO-ului si trimite o cerere urgenta si confidentiala de transfer catre CFO sau directorul financiar. Caracteristici tipice: urgenta maxima, confidentialitate ceruta explicit ('nu discuta cu nimeni'), suma mare, beneficiar nou sau neobisnuit. Companii mari din Romania au pierdut intre 50.000 si 2 milioane EUR in astfel de atacuri. Procedura obligatorie: orice transfer major necesita confirmare telefonica directa cu CEO-ul, pe un numar cunoscut anterior.

Atacatorul compromite emailul unui furnizor real al companiei — sau creeaza o adresa extrem de similara — si monitorizeaza corespondenta timp de saptamani. Identifica facturile periodice, valoarea medie, datele de plata. In momentul trimiterii urmatoarei facturi legitime, atacatorul trimite o versiune modificata cu IBAN-ul sau. Compania plateste furnizorului fals. Furnizorul real contacteaza pentru neplata. Pana la identificarea erorii, banii sunt retrasi. Contramasura: verificarea telefonica a IBAN-ului la orice schimbare de date bancare a unui furnizor.

Atacatorul contacteaza departamentul HR sau payroll impersonand un angajat: 'Am schimbat banca — noile date sunt...'. Schimbarea este procesata fara verificare adecvata. La urmatoarea rulare de salarii, salariul este transferat in contul escrocului. Angajatul real constata problema abia la data platii. Varianta: atacatorul a compromis emailul angajatului real si a trimis cererea din contul sau legitim. Contramasura: verificarea schimbarilor de date bancare prin apel direct la numarul de telefon inregistrat in dosar.

In tranzactii imobiliare, un intermediar (agent imobiliar, notar, avocat) este tinta sau mijlocul atacului. Corespondenta email a unuia din participanti este compromisa. Atacatorul monitorizeaza negocierile si in momentul final — la transferul avansului sau al pretului integral — trimite din contul compromis sau spoofuit instructiunile de plata cu IBAN-ul sau. In SUA, FBI estimeaza 2.4 miliarde USD pierdute anual in fraudele imobiliare BEC. In Romania cazuri similare au implicat sume de 50.000-500.000 EUR.

Exfiltrarea de date corporative nu este intotdeauna un atac extern — uneori este facilitat de un insider. Atacatorul extern recruteaza un angajat cu acces la sisteme critice oferind plata pentru copierea de fisiere sau instalarea unui backdoor. Datele corporative vizate: baza de clienti, strategia comerciala, proprietate intelectuala, contracte, date financiare nepublice. Valoarea medie a bazei de clienti exfiltrate in cazurile documentate: 100.000-5.000.000 EUR.

Atacatorul trimite un email companiei tinta anuntand o oferta sau un audit de achizitie/fuziune, aparent de la un fond de investitii sau o companie mare. Sub pretextul due diligence, cere informatii financiare detaliate — bilant, clienti mari, proiecte in curs, EBITDA real, datorii. Informatiile obtinute sunt folosite: concurential, pentru santaj, sau pentru a rafina un atac BEC ulterior. Nicio cerere de due diligence neverificata nu trebuie onorata fara confirmarea identitatii prin canale oficiale.

Angajatul recrutat de escroaci devine un insider threat: copiaza baze de date de clienti, instaleaza RAT pe calculatoarele companiei, modifica setarile de securitate, sau redirectioneaza plati. Motivatia: plata directa (500-50.000 EUR), santaj (fotografii compromitatoare, amenintare familie), sau resentiment fata de angajator. Detectia necesita monitoring comportamental al acceselor la date sensibile — sisteme UEBA (User and Entity Behavior Analytics).

Atacatorul nu ataca compania tinta direct — ataca un furnizor cu acces la reteaua sau sistemele companiei tinta. Furnizorul de software, curatenie IT, contabilitate externa, sau securitate fizica devine poarta de intrare. Odata compromis furnizorul, atacatorul foloseste accesul legitim al acestuia pentru a se deplasa lateral catre compania tinta. Contramasura: auditarea periodica a acceselor furnizorilor, principiul privilegiului minim, segmentarea retelei.

Compania primeste un email sau un apel de la un 'reprezentant' al unui furnizor IT (antivirus, Microsoft, Cisco, SAP) anuntand o 'vulnerabilitate critica descoperita' sau o 'actualizare urgenta de securitate'. Solutia propusa necesita plata unei facturi sau instalarea unui software furnizat de ei. Factura este frauduloasa. Software-ul este malware. Atacul functioneaza bine in organizatii unde IT-ul extern este gestionat de o companie terta — angajatii nu stiu exact ce software legitim ar trebui sa instaleze.

Whaling (vanatoarea de balene) este spear phishing tintit exclusiv catre C-suite: CEO, CFO, COO, CTO. Cercetare OSINT extensiva — 1-3 saptamani per tinta. Emailul mentioneaza: boardul de administratori pe nume, initiativa strategica recenta, ton adecvat rangului. Tinteste decizii de mare valoare: transferuri financiare majore, dezvaluiri de informatii strategice, aprobari de achizitii. Costul mediu per incident de whaling: 1.8 milioane USD (FBI, 2023).

Atacatorul se interpune in corespondenta email in curs dintre doi parteneri de afaceri — prin compromiterea unuia din conturi sau prin creare de reguli de forward. Citeste corespondenta saptamani intregi. La momentul oportun, trimite un email in conversatia existenta (acelasi subiect, citate din emailurile anterioare) modificand instructiunile de plata sau datele bancare. Victima nu are motive sa suspecteze — emailul face parte dintr-un lant de corespondenta autentica.

Atacatorul creeaza un portal fals de parteneriat care imita exact portalul oficial al unui brand major (SAP, Salesforce, Oracle, Microsoft, un retailer mare). Trimite invitatii partenerilor acestui brand cerandu-le sa se 'reautentifice' sau 'sa isi actualizeze datele de parteneriat'. Credentialele corporative obtinute permit accesul la date de business, contracte, liste de clienti sau sisteme interne.

Compania primeste o oferta de produse la preturi sub piata de la un 'distribuitor autorizat' nou. Produsele comandate nu sunt livrate sau sunt produse contrafacute (electronice, echipamente de securitate, consumabile). Escrocul dispare dupa plata. Varianta avansata: produsele contrafacute sunt echipamente de securitate (switch-uri Cisco false, camere de supraveghere) care pot contine backdoor-uri hardware sau pot fi defectuoase in situatii critice.

Compania primeste o notificare 'urgenta' de la o 'autoritate de reglementare' (ANPC, ANSPDCP, ASF, BNR) anuntand o incalcare si cerind plata unei 'amenzi administrative' pentru a evita suspendarea activitatii sau o investigatie publica. Suma: 2.000-50.000 EUR. Platile catre autoritati se fac exclusiv in conturile publicate oficial pe site-urile institutiilor — niciodata prin transfer bancar la cerere prin email sau telefon.

Atacatorul creeaza un document fals al sedintei de consiliu de administratie care autorizeaza o 'tranzactie exceptionala'. Documentul este trimis directorului financiar ca aprobare formala pentru un transfer care in realitate nu a fost niciodata discutat in board. Utilizat cand atacatorul a compromis emailul unui membru al boardului sau al unui secretar general. Tranzactiile de aceasta natura necesita confirmare directa cu mai multi membri ai boardului prin canale independente.

Atacatorul compromite contul de email al unui furnizor real prin phishing sau credential stuffing. Monitorizeaza conversatia emailurilor de afaceri saptamani intregi fara a interveni. Cand identifica o factura in pregatire sau o discutie despre o plata, se insereaza in conversatia existenta trimite instructiunile de plata modificate (IBAN-ul sau). Emailul vine din contul real al furnizorului — toate indicatoarele de legitimitate sunt adevarate. Metoda este practic imposibil de detectat fara verificare telefonica.

Atacatorii achizitioneaza discret cantitati mari dintr-un token cu capitalizare mica (micro-cap, low liquidity). Dupa pozitionare, lanseaza o campanie masiva de promovare pe Twitter, Telegram, Reddit — mesaje coordonate, conturi false, influenceri platiti — creand artificial o efervescenta de cumparare. Pretul creste rapid. Investitorii reali cumpara impulsionati de FOMO. Atacatorii vand la varf, pretul se prabuseste in ore sau minute. Investitorii reali raman cu token-uri valorand 5-10% din pretul de cumparare. Varianta moderna foloseste bot-uri AI pentru mesaje si cont-uri false.

Platforma de trading are interfata profesionista, grafice live, 'profit vizibil' in cont, serviciu clienti responsiv. Dar este o simulare — banii depusi nu se investesc niciodata. 'Profiturile' afisate sunt fictive. La cererea de retragere: se invoca taxe de retragere, taxe fiscale, praguri minime neatinse, sau pur si simplu contul este blocat si platforma dispare. Varianta 'pig butchering': investitia este adusa gradual de un 'prieten romantic' cunoscut online, care recomanda platforma. Pierderi documentate per victima: 10.000-500.000 EUR.

Proiectul DeFi (protocol de lending, yield farming, DEX) este lansat cu audit de securitate fals, echipa anonima prezentata cu identitati false, promisiuni de APY ridicat. Lichiditatea furnizata de utilizatori este 'blocata' in contract. La atingerea unui prag de fonduri tinta, echipa executa o functie ascunsa in smart contract care transfera intreaga lichiditate la adresele lor. Audit-ul de securitate a fost fals sau nu a verificat backdoor-ul. Timp de la lansare la rug pull: 2-90 zile. Fonduri furate: de la 100.000 la sute de milioane USD.

Site-ul de mint are un timer care creeaza urgenta: 'Mint se inchide in 02:17:34'. Smart contractul accepta ETH de la oricine dar nu emite NFT-urile promise sau emite NFT-uri cu valoare zero pe OpenSea. Alternativ, emite NFT-uri dar echipa vinde imediat toate token-urile rezervate si abandonaza proiectul (rug pull post-mint). Contractul este open-source si poate fi verificat, dar putini cumparatori au competentele tehnice necesare si presiunea timpului elimina verificarea.

Protocol-ul de staking ofera APY de 500-2000% (randamente economice imposibile). Smart contractul permite depuneri dar nu retragerile — fie prin design deliberat, fie printr-o functie de 'emergency pause' activata de proprietar. Alternativ, contractul este vulnerabil si fondurile sunt furate ulterior printr-un exploit. Utilizatorii care au verificat contractul pe Etherscan au descoperit functia malitioasa abia dupa blocare. Verificarea contractelor de staking necesita expertiza in Solidity.

Malware-ul monitorizeaza clipboard-ul si detecteaza cand utilizatorul copiaza o adresa de wallet (40 caractere hexazecimale). In milisecunde, inlocuieste adresa copiata cu adresa proprie. Utilizatorul listeaza adresa din clipboard fara a o verifica si trimite fondurile catre atacator. Protectie: verificarea manuala a primelor si ultimelor 4-6 caractere ale adresei dupa paste, sau scanarea QR code-ului adresei destinatarului cunoscut.

Pe Twitter, Telegram sau Discord, conturi false cu username-ul '[ExchangeName]Support' sau '[ExchangeName]Help' raspund la tweet-urile sau mesajele utilizatorilor care isi exprima problemele. Ofera 'asistenta' si cer, sub diverse pretexte, seed phrase-ul sau credentialele contului pentru 'verificare'. Niciun exchange legitim (Binance, Coinbase, Kraken) nu are personal de suport care contacteaza proactiv utilizatorii pe retele sociale. Suportul legitim se face exclusiv prin ticketing in platforma.

Un bridge DeFi (sau orice protocol major) este anuntat ca avand o vulnerabilitate critica — uneori reala, uneori inventata. Utilizatorii sunt directati urgent catre un site de 'fix' sau 'migrare'. Site-ul cere conectarea wallet-ului si semnarea unei tranzactii de 'aprobare'. Tranzactia semneaza de fapt un approval maxim catre contractul escrocului — care dreneaza imediat toate token-urile aprobate. Exploatarea panicii dintr-un incident de securitate real este o tehnica raffinata.

DAO-ul anunta un vot de governance pentru un 'upgrade al protocolului'. Propunerea are un titlu neutru dar codul executat este malitios — transfera fondurile din treasury sau modifica parametrii in avantajul atacatorului. Putini detinatori de token-uri citesc codul Solidity al propunerii. Atacatorul poate detine suficiente token-uri pentru quorum sau poate manipula votul prin flash loans (imprumuturi instantanee). Verificarea independenta a codului oricarei propuneri DAO este esentiala.

Site-ul anunta ca wallet-ul tau este 'eligibil pentru un airdrop' de X token-uri. La conectarea wallet-ului, esti solicitat sa semnezi o tranzactie. Tranzactia nu este un simplu 'confirm' — este un approval pentru un contract care obtine permisiunea de a muta toate token-urile din wallet. In secunde dupa semnare, contractul dreneaza ETH, USDC, USDT si orice alt token aprobat. Suma de recuperat: zero. Tranzactiile blockchain sunt ireversibile.

Email sau SMS de la 'autoritatea fiscala' anunta o rambursare de taxe crypto (impozit pe castiguri supraachitat). Procesul de rambursare necesita 'verificarea identitatii' — care include KYC complet cu buletin, selfie, si uneori plata unei 'taxe de procesare' de 5-50 EUR. Datele KYC sunt vandute sau folosite pentru identitate sintetica. Taxa de procesare se pierde. Rambursarea nu exista. Autoritatile fiscale nu initiaza rambursari prin email nesolicitat.

Smart contractul permite depuneri cu APY atractiv si simuleaza corect acumularea randamentelor. Dar functia de retragere are o conditie ascunsa care este activabila de owner si blocheaza retragerile. Sau smart contractul a fost auditat — dar backdoor-ul este intr-un contract proxy care poate fi actualizat de owner dupa audit, modificand comportamentul. Honeypot-urile sunt o trampa premeditata — banii pot intra dar nu pot iesi.

Token-ul existent 'trebuie migrat' la o noua versiune — din motive de 'upgrade', 'rebranding', sau 'vulnerabilitate de securitate'. Utilizatorii sunt trimisi la un site de migrare care le cere conectarea wallet-ului. Tranzactia de 'migrare' transfera token-urile la adresa escrocului. Nu exista token nou — doar transferul celor vechi. Proiectele legitime anunta migrarile exclusiv prin canalele oficiale verificabile si nu cer accesul la wallet printr-un site nou.

Contul sau tweet-ul unui 'whale' celebru in ecosistemul crypto (o balena cu portofoliu de zeci de milioane) anunta ca a intrat intr-un proiect specific nou. Anuntul este fals — contul este fals sau compromis. Pretul token-ului creste pe valul de FOMO. Atacatorul vinde la varf. Uneori este combinat cu pump & dump real. Verificarea oricarui anunt de investitie de la o personalitate crypto necesita confirmarea pe toate canalele oficiale ale acelei persoane.

Site-ul 'ofera rambursarea gas fees platite in exces' — un serviciu aparent util pentru utilizatorii activi. Procesul de reclama necesita conectarea wallet-ului si semnarea unei tranzactii de 'autorizare'. Tranzactia semneaza un approval maxim sau un permit EIP-712 care permite contractului sa transfere fonduri ulterior. Gas fee-ul de 0.50 USD revendicat costa in realitate toate fondurile din wallet.

Email sau notificare anunta ca wallet-ul a fost 'compromis intr-un incident de securitate' si ca utilizatorul trebuie 'sa revoce aprobaproblle si sa migreze fondurile urgent' printr-un link furnizat. Link-ul duce la un site de drain. Urgenta si frica de a pierde fondurile determina actiunea precipitata fara verificare. Verificarea oricarui incident de securitate se face direct pe site-ul oficial al protocolului, tastat manual in browser.

Wash trading creeaza artificial volum de tranzactionare si istoricul de pret al unui NFT: atacatorul controleaza doua wallet-uri si vinde NFT-ul intre ele la preturi crescatoare. Volume-ul si 'istoricul de vanzari' apar pe OpenSea ca activitate reala. Investitorul real cumpara NFT-ul la pretul umflat, bazandu-se pe volumul fals. Dupa vanzare, atacatorul nu mai tranzactioneaza, pretul colapseaza. Detectabil prin analizarea adreselor buyer/seller — daca sunt controlate de acelasi actor, e wash trading.

Grupul Telegram sau Discord 'exclusiv' ofera acces la strategii de arbitraj bazate pe flash loans — imprumuturi instantanee din protocoluri DeFi. Strategia pare sofisticata si legitima tehnic. Membrii sunt invitati sa depuna fonduri intr-un 'pool de strategie' comun. Fondurile sunt furate — nu exista strategie reala. Flash loans sunt reale si legitime in DeFi — dar necesita expertiza tehnica avansata si nu necesita capital extern al investitorilor.

Utilizatorii sunt invitati sa testeze un protocol pe testnet (retea de test fara fonduri reale) cu promisiunea ca activitatea pe testnet va genera token-uri reale la lansare. Mii de ore de munca pentru interactiuni artificiale cu protocoale. La lansare: fie token-urile nu sunt distribuite, fie sunt distribuite in cantitati simbolice, fie proiectul abandoneaza fara lansare. Datele colectate (email, adrese wallet) sunt vandute. Nicio garantie a unui reward testnet nu este contractual aplicabila.

Victima a pierdut deja fonduri intr-o frauda crypto. Escrocul — uneori acelasi, alteori un al doilea grup — o contacteaza oferind recuperarea fondurilor contra unui avans sau a unor 'taxe legale'. 'Expertii in recuperare crypto' nu exista — blockchain-ul nu permite recuperarea tranzactiilor confirmate fara cooperarea destinatarului. Aceasta este frauda pe frauda — victima este vizata a doua oara tocmai pentru ca stie ca a pierdut bani si este disperata sa ii recupereze.

Exchange-ul cripto fals are domeniu profesionist, design similar cu Binance sau Coinbase, suport chat responsiv, volume de tranzactionare simulate. Permite depuneri fara probleme. Uneori permite si retrageri mici initiale (pentru a consolida increderea si a stimula depuneri mai mari). La suma semnificativa depusa, contul este blocat sub diverse pretexte (verificare KYC, suspiciune de spalare bani) si exchange-ul dispare. Fondurile depuse nu au fost niciodata investite.

Contractul de staking a trecut de auditul de securitate — dar functia de 'emergency withdrawal' sau 'owner-only' permite proprietarului sa extraga toata lichiditatea. Aceasta functie exista in cod, auditorul a mentionat-o ca 'centralization risk' dar nu a marcat-o ca vulnerabilitate critica. Proiectul o exploateaza dupa ce fondul atinge o valoare suficienta. Investitorii care au citit raportul de audit superficial nu au observat avertismentul de centralizare.

Emailul sau notificarea anunta 'Wallet-ul tau necesita un upgrade urgent de securitate la versiunea X.X' altfel fondurile vor fi 'inghetate'. Procesul de upgrade cere seed phrase-ul pentru 'export si reimport' sau semnarea unei tranzactii 'de migrare'. Seed phrase-ul furnizat da acces complet la wallet. Nicio aplicatie legitima de wallet (MetaMask, Ledger, Trezor) nu cere seed phrase-ul pentru un upgrade — seed phrase-ul nu trebuie furnizat niciodata, nimeni legitim nu il cere.

Votul de governance propune o schimbare tehnica aparent minora (modificarea unui parametru de protocol). In realitate, schimbarea permite atacatorului sa extraga fonduri din treasury sau sa modifice mecanismul de distributie in favoarea sa. Codul propunerii este complex si putini votanti il analizeaza — voteaza pe baza titlului si descrierii sumare. Flash loans pot fi folosite pentru a obtine putere de vot temporara suficienta pentru a trece o propunere malitioasa.

Exploatarea unui bridge cross-chain (protocol care transfera tokene intre blockchains diferite) este anuntata printr-un mesaj urgent in canalele comunitatii. Utilizatorii sunt directionati printr-un link de 'protectie' catre un site care cere aprobari de wallet. In realitate, bridge-ul nu a fost exploatat — sau daca a fost, 'solutia' propusa este un al doilea exploit. Stirea falsa despre un hack real creeaza panica suficienta pentru a determina actiuni precipitate.

Flash loan-urile sunt imprumuturi DeFi instantanee fara garantie — valabile doar intr-o singura tranzactie. Un atacator cu 0 capital poate imprumuta 100 milioane USD, manipula pretul unui token pe un DEX cu lichiditate mica, vinde la pretul manipulat pe un alt DEX, si returna imprumutul in aceeasi tranzactie. Profitul: diferenta de pret. Victimele: detinatorii de token care vad pretul prabusindu-se artificial. Nu e ilegal tehnic — dar destabilizeaza ecosistemele DeFi cu lichiditate insuficienta.

Schema Ponzi functioneaza simplu: primele randamente platite provin din banii noilor investitori, nu din investitii reale. Atata timp cat afluxul de bani noi depaseste platile, schema functioneaza si construieste reputatie. In momentul in care fluxul de noi investitori scade — din orice cauza — schema se prabuseste inevitabil. Operatorii dispar cu fondurile ramase. Cea mai mare schema Ponzi din istorie: Bernie Madoff, 65 miliarde USD. In Romania, schemele Ponzi documentate au atras intre 500.000 si 50 milioane RON per incident.

Grupul WhatsApp are 20-50 de membri, toti aparent investitori de succes care posteaza zilnic screenshot-uri cu 'castiguri' si grafice de profit. Administratorii sunt escrocii. Membrii sunt fie complici platiti, fie victime anterioare reconvertite in 'promotori'. Dupa o perioada de consolidare a increderii, victimele sunt directionati catre o platforma de trading specifica unde 'demonstreaza live' profiturile. Platforma este falsa. Sumele depuse nu se pot retrage. Metoda este extrem de eficienta deoarece exploateaza validarea sociala.

Influencerul real sau fals posteaza 'rezultatele mele de trading' sau 'cum am facut X RON in Y zile' cu referinte la o platforma specifica. Screenshot-urile de profit sunt editate sau generate de platforme fictive care afiseaza orice profit doresti. Influencerii reali sunt platiti pentru promovare (uneori fara a sti ca platforma este frauduloasa) sau au conturile compromise. Platformele recomandate au interfete profesioniste dar fondurile depuse nu se pot retrage. ANSC Romania a emis avertismente pentru sute de astfel de platforme.

Serviciul de semnale de trading promite 80-95% acuratete bazata pe 'AI', 'algoritmi exclusivi' sau 'insider knowledge'. Abonamentul lunar costa 200-1.000 EUR. Semnalele furnizate duc constant la pierderi sau sunt atat de evazive incat nu pot fi actionate eficient. In unele cazuri, semnalele sunt deliberat rele — brokerul afiliat castigand din pierderea clientului (model ECN invers). In alte cazuri, semnalele sunt aleatoare si statistic echivalente cu ghicitul. Nu exista strategie de trading cu 80%+ acuratete consistent.

Optiunile binare sunt un produs financiar simplu — prezici daca pretul unui activ va fi mai sus sau mai jos la expirare. Platformele neautorizate ofera o optiune ce pare sa 'castige' la inceput (banii virtuali sau sume mici reale) pentru a stimula investitii mai mari. Ulterior, algoritmul este manipulat sa produca pierderi. Casa castigatoratotdeauna in modele neautorizate. Optiunile binare sunt interzise pentru retail investors in UE din 2018, dar platformele offshore continua sa activeze.

Proprietatile prezentate nu exista, nu sunt disponibile sau sunt supraevaluate masiv. 'Randamentul garantat' de 15-20% anual din chirii este imposibil economic. Avansurile platite dispar. Uneori proprietatea exista dar nu este detinuta de vanzator — documentele sunt falsificate. In variante sofisticate, victima viziteaza fizic proprietatea dar aceasta este inchiriata temporar sau prezentata cu titlu de proprietate fals. Due diligence obligatoriu: verificare carte funciara, ANCPI, avocat independent.

Clubul de investitii 'exclusiv' solicita o 'contributie de intrare' si cotizatii lunare pentru a accesa 'oportunitati indisponibile publicului larg' — IPO-uri exclusive, imobiliare subpretuite, proiecte cripto pre-launch. Fondurile colectate sunt insusit de organizatori. Membrii nu primesc nimic sau primesc randamente fictive pentru o perioada inainte de disparitia clubului. Exclusivitatea falsa si comunitatea de 'investitori de succes' sunt principalele instrumente de manipulare.

Proprietatea fractionala in jet privat, opera de arta, vile de lux sau tokenuri imobiliare este prezentata cu documentatie impresionanta si randamente garantate din inchiriere sau apreciere. Activul nu exista, exista dar nu este evaluat corect, sau exista dar coproprietatea nu este legal executabila. Platforma care gestioneaza investitia dispare. In variante legitimate ale proprietatii fractionare (care exista!), riscul principal ramane lipsa de lichiditate — nu poti vinde rapid.

Certificatele de carbon sunt prezentate ca investitii cu profit garantat pe fondul cererii crescande din reglementarile UE. Certificatele achizitionate nu exista, nu sunt pe platformele reglementate (EEX, ICE), sau sunt achizitionate la preturi de 10-20x valoarea reala de piata. Nu exista piata secundara lichida pentru certificate false. Investitia in certificate de carbon legitime se face exclusiv prin intermediari autorizati de ANSC si pe platformele reglementate europene.

Email sau apel de la 'Ministerul Finantelor', 'Fondul National de Garantare' sau 'Programul European X' anunta ca beneficiezi de un fond de investitii cu randament garantat, disponibil exclusiv cetatenilor eligibili. Pentru participare: taxa de inscriere (100-1.000 EUR), copii documente, date bancare. Fondul nu exista. Nicio institutie de stat europeana nu distribuie fonduri de investitii prin email nesolicitat cu taxa de inscriere.

Escrocul contacteaza victima cu o poveste elaborata: mostenire blocata in Africa/Orientul Mijlociu, fonduri EU nerevendicate, loterie castigata, cont bancar abandonat al unui decedat bogat. Victima trebuie sa plateasca 'taxe administrative', 'taxe consulare', 'comisioane bancare' pentru a debloca suma. Fiecare plata este urmata de o alta 'taxa neprevazuta'. Victimele au pierdut in medie 8.000 EUR inainte de a realiza inselatoria. Principiul fundamental: nicio mostenire legitima nu necesita plata in avans.

Recuperatorii de fonduri isi gasesc victimele prin forumuri de frauda, grupuri de sprijin sau liste de date achizitionate. Se prezinta ca 'avocati specializati in recuperare fonduri' sau 'hackeri etici'. Cer un avans de 10-30% din suma de recuperat pentru 'cheltuieli'. Fondurile nu sunt recuperate — blockchain-ul nu permite reversarea tranzactiilor confirmate, iar bancile coopereaza doar prin proceduri judiciare formale. Aceasta este o a doua frauda pe aceleasi victime.

MLM-ul fara produs real sau cu produs fara valoare reala (suplimente, cosmetice, servicii de comunicatii la preturi umflate) plateste comisioane in principal din taxele de recrutare ale noilor membri. Matematica este clara: intr-o structura piramidala, 99%+ din participanti pierd bani. Numai nivelurile de top profita. Prezentarile MLM prezinta intotdeauna 'câstigatorii' — nu statistica completa a participantilor. Studiile pe companiile MLM majore arata ca peste 99.7% din participanti inregistreaza pierdere neta.

Fondul ESG sau 'verde' are certificari false, documente de reglementare inventate, site profesionist cu 'rapoarte de impact'. Randamentele promise (15-25% anual) depasesc semnificativ benchmarkurile fondurilor legitime. Nu este inregistrat la ASF sau autoritatile europene. Investitia in orice fond necesita verificarea autorizatiei la autoritatea de reglementare (ASF in Romania, FCA in UK, SEC in SUA). Un minut de verificare pe site-ul ASF.ro previne frauda.

Aurul fizic sau alte marfuri 'stocate in seif' sunt prezentate cu certificate de proprietate si fotografii ale depozitelor. Activul nu exista sau este detinut in comun de mai multi investitori cu pretentii suprapuse. La cererea de livrare sau vanzare: taxe suplimentare, intarzieri, disparitia companiei. Investitia in aur fizic se face exclusiv prin dealeri autorizati, cu livrare fizica sau stocare verificabila la institutii auditate.

Cumpararile OLX sau Facebook Marketplace targetează vânzătorii. Cumpărătorul trimite un link de 'plată curier' (Fan Courier, DHL sau Sameday falsificate) prin WhatsApp: 'Plătește 1 RON taxa de activare și primești banii în 24h.' Formularul de plată capturează datele complete ale cardului. Nu există taxă reală — escrocul vrea datele cardului. Semnalul de alarmă: nicio platformă de curierat nu cere datele cardului vânzătorului pentru a-i transfera bani. Fondurile se transferă prin PayPal, Revolut sau direct, niciodată prin curierat.

Magazinul online fals are design profesionist, prețuri cu 40-70% sub piață, review-uri 5 stele false generate AI, politici de retur copiate de pe site-uri legitime. Comanda este plasată și plata procesată. Produsul nu este livrat niciodată sau sosește o contrafacere inutilizabilă. La reclamație: email-urile nu primesc răspuns, numărul de telefon nu mai funcționează, site-ul dispare. Verificarea unui magazin online: ANPC, Google + 'reclamații', data înregistrării domeniului (Whois), lipsa adresei fizice verificabile.

Biletele false la concerte, meciuri Champions League, festivaluri sau evenimente sportive sunt vândute pe Facebook, OLX sau site-uri specifice. Biletele sunt duplicate (vândute de mai multe ori), generate cu coduri de bare false, sau pur și simplu inventate. Escrocul solicită plata prin transfer bancar sau Revolut (ireversibil) și furnizează un PDF sau QR ce nu funcționează la intrare. Escrocul dispare. Biletele se cumpără exclusiv de pe platformele oficiale ale evenimentului.

Proprietatea listată pe Airbnb, Booking sau direct pe OLX/Facebook are fotografii reale (furate de pe alte anunțuri) și preț atractiv. Escrocul solicită plata avansului în afara platformei (transfer bancar direct) pentru a 'evita comisioanele'. Proprietatea nu există, nu este disponibilă sau aparține altcuiva. La sosire: adresa este greșită sau aparține altcuiva. Plata exclusiv prin platforma oficial — care oferă protecție cumpărătorului — este singura garanție.

Site-ul este pixel-perfect identic cu eMAG, Altex, F64 sau alt retailer major. URL-ul diferă prin 1-2 caractere (emag-oferte.ro, altex-deals.com). La plasarea comenzii, datele cardului sunt capturate. Produsul poate fi livrat (al doilea scop este testarea cardului) sau nu. Escrocul obține datele cardului și le vinde sau le folosește pentru tranzacții frauduloase. Verificarea URL-ului exact înainte de orice plată online este obligatorie.

Reclama Facebook sau Instagram pentru magazinul fals este targetată precis pe baza intereselor utilizatorului. Landing page-ul este profesionist, cu review-uri false, timer de ofertă limitată, prețuri cu 80% discount. Plata cu cardul este procesată de un procesor real (dar contul merchant este fraudulos). Produsul nu sosește. Reclutarea lui Meta sau Instagram nu garantează legitimitatea advertiserului. Verificarea independentă a magazinului înainte de orice achiziție.

Produsele contrafăcute vândute ca originale vizează: electronice (telefoane, tablete, căști), cosmetice și parfumuri, suplimente alimentare și medicamente, echipamente de siguranță (căști moto, centuri de siguranță), haine de brand. Produsele false pot fi periculoase — bateriile Li-Ion de calitate slabă explodează, medicamentele false nu conțin substanța activă sau conțin ingrediente dăunătoare. Cumpărarea de produse medicale sau de siguranță de pe marketplace-uri neoficiale este un risc real de sănătate.

Mesajul SMS imită perfect notificările reale ale curierilor — logo, format, număr de tracking plauzibil. Taxa cerută (2-7 RON) pare nesemnificativă. Formularul de plată captureaza datele complete ale cardului — număr, CVV, dată expirare, adresă de facturare. Datele sunt testate imediat cu tranzacții mici (1-3 RON) și dacă trec, folosite sau vândute. Curierii reali (Fan Courier, DHL, Sameday, Cargus) nu solicită niciodată plata prin SMS cu link — taxele se achită direct curorierului sau la destinație.

Cumpărătorul plătește cu un cec de casierie sau prin transfer bancar o sumă mai mare decât prețul produsului ('am plătit greșit'). Solicită rambursarea diferenței înainte ca plata să fie validată. Cecul de casierie este fals sau clonatul. Transferul bancar poate fi reversibil (fraud dispute). Vânzătorul trimite produsul real + rambursarea diferenței. Ulterior, plata originală este anulată sau contestată cu succes. Vânzătorul pierde produsul și suma rambursată.

Serviciul escrow fals se interpune în tranzacții mari (mașini, electronice scumpe, proprietăți) pentru 'siguranța ambelor părți'. Ambii participanți depun fondurile sau produsul în serviciul escrow. Escrow-ul confirmă recepția și 'verifică'. Ulterior: serviciul dispare cu banii și/sau produsul. Serviciile escrow legitime sunt reglementate și verificabile. PayPal, Wise sau servicii escrow recunoscute sunt singurele opțiuni acceptabile pentru tranzacții între necunoscuți.

Magazinul online nu are stoc real — comandă produsele de la furnizori când primește o comandă. Problema: furnizorii sunt indisponibili, produsele sunt discontinuate, sau magazinul nu mai are fonduri să plătească furnizorii. Comenzile rămân procesate și plătite dar nelivrate săptămâni sau luni. Magazinul poate fi de rea credință sau pur și simplu incompetent. Indiferent de motiv, consumatorul are dreptul la rambursare conform legii protecției consumatorului.

Vânzătorul cu sute de review-uri false (generate AI sau cumpărate) și badge 'verificat' câștigă încrederea cumpărătorilor și solicită plata avansului înainte de livrare sau chiar a întregii sume pentru produse scumpe. Odată primită plata, dispare. Review-urile false sunt detectabile prin analiza distribuției — 95%+ review-uri de 5 stele fără detalii specifice sunt un semnal clar. Pe OLX: plata cash la livrare este singura metodă sigură pentru tranzacții cu necunoscuți.

Compania trimite gratuit un produs pentru 'testare și review' și solicită 'doar taxa de livrare' de 15-30 RON. Datele cardului introduse pentru livrare activează un abonament recurent de 50-150 RON/lună, menționat în termenii și condițiile pe care nimeni nu le citește. Anularea abonamentului este intenționat dificilă — numărul de telefon nu răspunde, formularul de anulare nu funcționează. Regula: nicio ofertă de 'produs gratuit' nu există cu adevărat.

Aplicația de cashback funcționează real pentru primele câteva luni — cashback-ul se acumulează vizibil. La atingerea pragului de retragere (50-100 RON), fie retragerea este respinsă cu diverse pretexte, fie contul este șters, fie aplicația dispare. Datele cardului conectat au fost capturate și folosite pentru tranzacții frauduloase. Aplicațiile de cashback legitime sunt oferite de companii cu istoric verificabil, nu de aplicații obscure din afara store-urilor oficiale.

Cumpărătorul primește produsul, inițiază o dispută pretinzând că produsul a fost defect sau că nu a ajuns. Returnează o cutie goală sau un obiect diferit. Platforma mediază în favoarea cumpărătorului pe baza politicii de protecție. Vânzătorul pierde atât produsul cât și banii. Documentarea completă a procesului de ambalare și livrare (fotografii, video înainte de expediere) este singura protecție efectivă a vânzătorilor.

Anunțul de chirie este adesea furat de pe un site legitim sau fabricat cu fotografii de pe alte anunțuri. Prețul este cu 20-30% sub prețul pieței — suficient pentru a atrage interesul, insuficient pentru a fi evident fals. Proprietarul este 'plecat în străinătate' și solicită avansul (1-3 luni) prin transfer sau remitere internațională pentru a 'rezerva'. Nu se mai întoarce. Varianta sofisticată: proprietarul chiar există dar a dat un intermediar drept de a semna contracte false.

Mașina la 30-50% sub valoarea de piață este 'disponibilă urgent' deoarece proprietarul trebuie să plece sau să acopere o urgență familială. Cere un avans de 500-2.000 RON pentru 'rezervare' prin transfer bancar. Mașina poate exista dar nu aparține vânzătorului, sau nu există deloc. Avansul se pierde. La mașini cu preț mare, varianta avansată implică un broker intermediar fals care cere 10-20% avans înainte de 'transferul internațional al mașinii'.

Solicitarea de transfer prin PayPal 'Friends & Family' (fără protecție cumpărător), Revolut sau alte servicii P2P pentru achiziții online este un semnal clar de fraudă. Aceste metode sunt ireversibile după execuție și nu oferă protecție în caz de fraudă. Comerțul online legitimate folosește procesori de plată cu protecție cumpărător (card bancar prin 3D Secure, PayPal 'Goods & Services'). Orice vânzător care refuză aceste metode în favoarea transferurilor directe ridică un semnal major.

Platforma de inchiriere auto falsa listeaza vehicule la preturi de 30-50% sub piata, cu fotografii profesioniste furate de pe site-uri legitime (Sixt, Hertz, agentii locale). Rezervarea online necesita plata avansului sau a intregii sume. La ridicarea masinii: adresa nu exista, numarul de telefon nu raspunde sau 'masina a fost avariata' cu cerere de plata suplimentara. Masina nu exista niciodata. Verificarea: contactarea directa a companiei de inchirieri la numarul oficial, nu la cel din anunt.

Pretextul este scenariul fabricat care justifică o cerere neobișnuită. Atacatorul nu cere direct informația sensibilă — construiește un context plauzibil în care victima o furnizează voluntar. Exemple: 'Sunt auditorul extern, am nevoie de accesul la sistemul X pentru verificarea anuală' sau 'Suntem de la HR, facem actualizarea bazei de date — confirmați adresa și CNP-ul.' Pretextul bun este bazat pe realitate — auditurile există, actualizările de date există — și exploatează obișnuința cu proceduri normale.

Obiectul fizic abandonat strategic — USB, CD, QR code pe un afiș fals, badge de acces 'găsit' — exploatează curiozitatea naturală sau sentimentul civic. La sediul companiei: un USB etichetat 'Salarii Confidential 2024.xlsx' lăsat în parcare are șanse ridicate de a fi conectat de un angajat curios. Autorun și exploiturile de browser fac ca simpla conectare sau vizitarea unui URL să fie suficientă pentru infecție. Politicile de securitate care interzic dispozitivele externe neautorizate previn complet acest vector.

Tailgating-ul fizic exploatează politețea socială — oamenii nu refuză să țină ușa deschisă unui 'coleg' cu mâinile pline sau bine îmbrăcat. Atacatorul urmează un angajat autorizat prin ușa cu card de acces fără a-și scana propriul badge. O dată în clădire, are acces la sisteme, documente sau spații restricționate. Companiile cu securitate fizică serioasă instalează turnichete sau airlock-uri care permit trecerea strictă individuală. Cultura de securitate (curajul de a întreba 'Cine ești?') este esențială.

Apelul multi-strat folosește 2-3 actori în coordonare. Apelul 1: 'Operatorul de call center' al băncii — ton neutru, confirmare date. Apelul 2 la 10 minute: 'Managerul' — ton mai serios, confirmare incident. Apelul 3 dacă e necesar: 'Specialistul de securitate' — autoritate maximă. Fiecare apel consolidează credibilitatea apelului anterior. Victima nu realizează că toate sunt parte din același atac. Tehnica exploatează principiul consecvenței — odată ce ai confirmat informații în primele apeluri, le confirmi și în ultimul.

Atacatorul oferă ceva de valoare (un serviciu IT 'gratuit', o evaluare gratuită, informații utile) creând o obligație implicită. Ulterior solicită reciprocitate: accesul la un sistem, o aprobare excepțională, informații sensibile. Psihologia reciprocității este profundă — oamenii se simt obligați să returneze favorurile, chiar și neechilibrat. În mediul corporate: 'I-am rezolvat o problemă de calculator fără bilet și acum are nevoie de un favor' este un pretext folosit frecvent.

Honey trap-ul constă în construirea unei relații — de obicei romantice sau de prietenie — cu scopul explicit de a extrage ulterior informații confidențiale sau acces la sisteme. Folosit în spionaj industrial și competitiv. Atacatorul poate petrece luni construind relația înainte de a face prima cerere. Informațiile cerute par rezonabile în contextul relației — 'îmi poți trimite raportul X că e pentru un priect personal?' Contramasura principală: cultura organizațională care interzice discutarea datelor sensibile cu persoane din afara organizației.

Organizația de caritate falsă exploatează crize reale — cutremure, inundații, boli rare — sau creează cazuri inventate cu fotografii emoționante și povești fabricate. Donațiile merg direct la escroci. Fenomenul este amplificat de social media care facilitează distribuția rapidă a apelurilor înainte de verificare. Verificarea organizațiilor caritabile în România: ANPC, Registrul Asociațiilor și Fundațiilor, Charity Navigator pentru organizații internaționale.

Sistemul de impersonare a autorităților românești funcționează în trepte: apelul de la 'polițistul de cartier' este transferat la 'comisarul de la secție', care transferă la 'procurorul de caz', care la 'judecătorul de instrucție'. Fiecare nivel adaugă gravitate și presiune. Scenariul comun: 'contul dvs. este investigat pentru spălare de bani' sau 'există un mandat pe numele dvs.' Soluția propusă: transferul banilor 'în custodia statului' pentru protecție. Autoritățile nu solicită niciodată transferuri de bani prin telefon.

Principiul consensului social — 'toată lumea face asta' — este folosit pentru a reduce rezistența la o cerere neobișnuită. 'Toți colegii tăi din departament au confirmat deja actualizarea datelor' sau 'Toate companiile partenere au semnat deja acordul revizuit'. Victima nu dorește să fie singura care refuză și ridică dificultăți. Verificarea independentă a afirmațiilor despre 'ce fac ceilalți' este esențială — un simplu apel la colegii menționați ar expune minciuna.

Raritatea artificială și deadline-ul impus elimină verificarea prin presiunea psihologică. 'Oferta expiră în 47 de minute', '2 locuri rămase', 'prețul crește mâine'. Creierul uman în condiții de raritate și urgență procesează deficitar — funcția de analiză critică este redusă. Deciziile luate sub presiunea artificială a timpului sunt sistematic mai rele decât cele luate fără restricție temporală. Orice ofertă care expira brusc este acceptabilă după câteva ore sau zile de analiză.

Un cadou nesolicitat — o carte, un serviciu gratuit, o evaluare — creează psihologic un sentiment de obligație de returnare a favorului, chiar dacă reciprocitatea nu a fost cerută explicit. Atacatorul exploatează această tendință naturală: 'Am rezolvat acea problemă pentru dvs. — pot să rog un favor mic în schimb?' Favoarea cerută este aparent minoră dar vizează date sensibile sau acces la sisteme. Conștientizarea acestui mecanism psihologic este singura protecție.

Tehnica 'foot-in-the-door' funcționează în pași graduali. Prima cerere este mică și ușor de acceptat — confirmarea unui detaliu nesemnificativ, semnarea unui formular simplu. Acceptarea primei cereri creează consistență psihologică — persoana dorește să fie consistentă cu deciziile anterioare. Cererile escaladează treptat, fiecare justificată de precedentul creat. La finalul procesului, victima a furnizat informații sau a luat decizii pe care le-ar fi refuzat categoric dacă ar fi fost cerute de la început.

Dual authority pressure coordonează doi 'ofițeri' care se completează reciproc — 'detectivul' prezintă dovezile, 'procurorul' adaugă consecințele legale. Sau 'angajatul băncii' și 'ofițerul Băncii Naționale'. Victima este prinsă între două autorități și nu poate apela la una împotriva celeilalte — par să fie de acord. Presiunea psihologică este multiplă. Deciziile majore (transferuri, divulgarea de date) nu se iau niciodată sub presiunea unui apel telefonic, indiferent de câți 'ofițeri' sunt implicați.

Angajatul cu acces privilegiat este recrutat direct — oferindu-i-se compensație financiară pentru extragerea de date sau instalarea de malware — sau prin compromiterea (santaj cu material compromițător, presiune asupra familiei). Insider threat-ul este cel mai greu de detectat și cel mai devastator: atacatorul are acces legitim, știe unde sunt datele valoroase și cum să le extragă fără a declanșa alerte. Detectia necesită monitoring comportamental și separarea acceselor critice.

Conversația aparent inocentă extrage sistematic informații prin întrebări directe sau indirecte — niciodată evidente ca sondare. 'Cu ce sisteme lucrați?' (casual), 'Care este procesul pentru X?' (aparent din curiozitate), 'Cine se ocupă de Y?' (aparent pentru a direcționa o cerere). Atacatorul notează răspunsurile și construiește o hartă completă a organizației, fără ca victima să realizeze că a furnizat informații valoroase de intelligence. Regula: datele despre sisteme, procese și responsabili sunt informații sensibile.

Reverse social engineering inversează rolurile: victima crede că ea a contactat escrocul pentru ajutor. Atacatorul creează o situație problemă (ușoară sabotare a unui sistem, confuzie cu o factură) și se poziționează ca rezolvator. Victima apelează la 'expertul' care se oferise anterior sau care apare în rezultatele căutării. Odată stabilit ca rezolvator de probleme, atacatorul extrage datele necesare sau accesul remote sub pretextul rezolvării problemei pe care el însuși a creat-o.

Long con este o operațiune de luni sau chiar ani. Atacatorul construiește o relație autentică — de afaceri, de prietenie sau romantică — fără a cere nimic timp îndelungat. Investeste timp real, furnizează ajutor real, construiește încredere profundă. Craza finală vine după ce încrederea este consolidată — o cerere mare care exploatează relația. Valoarea tranzacției finale justifică investiția în construirea relației. Detectia este aproape imposibilă în timp real.

Profilul fals pe Tinder, Bumble sau Badoo foloseste fotografii furate de la persoane reale (adesea din conturi de Instagram publice ale unor persoane atrăgătoare). Relația evoluează pe o perioadă de 2-6 luni — mesaje zilnice, apeluri video (evitate sau realizate cu deepfake), poveste de viață elaborată. Victima este investită emoțional. Criza financiară apare inevitabil: accident, intervenție chirurgicală urgentă, problemă cu pașaportul, oportunitate de afaceri care necesită capital rapid. Suma cerută crește cu fiecare cerere. Pierderi medii documentate: 15.000-80.000 EUR per victimă.

Pe Facebook sau Instagram, escrocul trimite cerere de prietenie, inițiază o conversație banală și construieste treptat o relație pe parcursul mai multor luni. Mesajele zilnice creează dependență emoțională. Escrocul este adesea parte dintr-un grup organizat (frecvent în Africa de Vest sau Asia de Sud-Est) cu roluri specializate: cercetare OSINT pentru personalizare, operatori de chat, manageri de crize, specialiști în conversii financiare. O singură persoană gestionează simultan 10-50 'relații'.

Militarul american sau european 'în misiune în Afganistan, Mali sau Siria' nu poate fi verificat, nu poate fi întâlnit, nu poate face video call din motive de 'securitate operațională'. Povestea este extrem de elaborată — fotografii în uniformă (furate), documente militare false, vocabular militar autentic. Credibilitatea este mare deoarece victimele știu că militarii există și au restricții de comunicare reale. Cererea finală: bani pentru 'permisie', 'costul transportului acasă', 'tratament medical în baza militară'.

Pig butchering (sha zhu pan în chineză — 'îngrășatul porcului') este cea mai devastatoare formă de romance scam. Opera pe termen lung (3-12 luni): relație romantică sau de prietenie intensă, care duce treptat la introducerea în 'investiții crypto' pe o platformă controlată de escroci. Victima vede profituri mari, investește tot mai mult, uneori ia credite sau ipotechează proprietăți. La final: platforma 'se închide din motive de reglementare' cu toate fondurile. Pierderi documentate: 50.000-1.000.000 EUR per victimă.

Văduvele și văduvii recenți sunt identificați prin necrologi publicate online, anunțuri funerare, sau postări de condoleanțe pe social media. Escrocul contactează în primele săptămâni de doliu, când vulnerabilitatea emoțională este maximă și capacitatea de analiză critică este redusă. Construiește relația pe baza empatiei și înțelegerii pierderii. Ulterior, 'iubitul/iubita online' are propriile crize care necesită suport financiar. Victimele din această categorie pierd adesea economii de o viață.

Catfishing-ul construiește o identitate completă fictivă: fotografii furate de la persoane reale, biografie elaborată, carieră plauzibilă (medic fără medici fără frontiere, inginer petrolier offshore, arhitect internațional). Relația poate dura luni sau ani. Motivele evitării întâlnirilor în persoană sunt creative și variate. Scopul poate fi nu financiar ci emoțional (satisfacție din manipulare) sau colectarea de date personale vândute ulterior. Reverse image search pe fotografiile profilului este prima metodă de verificare.

Aplicația de 'companie virtuală' sau 'AI companion' promite o relație cu un 'partener virtual' cu care poți conversa. Abonamentul este costisitor și escaladant. Datele emoționale și personale dezvăluite în conversații (probleme de sănătate, situație financiară, relații familiale) sunt colectate și pot fi utilizate pentru targeted scam-uri ulterioare sau vândute. Unele aplicații sunt operate de oameni reali care interpretează un 'AI companion'.

Clonarea vocii cu AI a devenit accesibilă și costă sub 10 USD. Apelul este scurt și direct: 'Mamă/tată, am suferit un accident/am fost arestat/sunt în pericol — am nevoie urgentă de bani, trimite la numarul X'. Vocea clonată este indistinguibilă de vocea reală a copilului în condițiile stresului emoțional al părintelui. Cuvântul de cod secret stabilit în familie ('Dacă nu spui cuvântul X, nu este o urgență reală') este singurul mecanism de protecție eficient.

Parteneral online care nu poate fi întâlnit niciodată în persoană din diverse motive — 'blocat în străinătate', 'visa refuzată', 'biletul prea scump', 'copil bolnav' — cere sprijin financiar repetat pentru 'rezolvarea situației'. Fiecare problemă rezolvată duce la alta. Ciclul continuă până când victima epuizează resursele sau realizează înșelătoria. Suma totală transferată creste treptat — primele sume mici (100-500 RON) servesc la testarea disponibilității.

Contul clonat al unui prieten real (aceleași fotografii, același nume, același profil) trimite cereri de prietenie la toți contactele persoanei. Ulterior, mesaje de urgență: 'Am probleme și am nevoie de 500 RON până mâine', 'Poți trimite prin Revolut?' Victimele confirmă că vorbesc cu prietenul lor deoarece recunosc profilul. Semnalul de alarmă: prietenul deja există ca prieten — o nouă cerere de la 'el' este un clone. Verificarea prin apel direct la numărul cunoscut al prietenului real.

Mesajul 'Am greșit numărul, scuze' este intenționat. Escrocul trimite un mesaj neutru care pare greșit. Victima răspunde politicos. Conversația se dezvoltă natural, uneori timp de săptămâni, înainte de a evolua spre o relație romantică sau de investiții. Metoda este eficientă deoarece inițiativa aparentă aparține victimei — aceasta a ales să răspundă, creând un sentiment de control și destin. Este o variantă de 'accidental contact' utilizată mai ales în pig butchering.

Sextorția clasică funcționează astfel: escrocul contactează victima pe o platformă de dating sau social media, inițiează o conversație intimă și o convinge să trimită fotografii/video compromitatoare sau să participe la un video call explicit care este înregistrat. Ulterior: 'Plătești sau trimit la angajatorul/familia/prietenii tăi.' Varianta AI: escrocul generează material deepfake din fotografii publice necompromitatoare. Soluția: nu plăti, raportează la poliție și DIICOT, blochează contactul.

Profilul fals pe aplicațiile de dating colectează sistematic informații personale: vârstă, locație, profesie, stare civilă, copii, situație financiară, sănătate — toate furnizate voluntar în contextul 'cunoașterii' unui potențial partener. Datele sunt agregate și vândute brokerilor de date sau folosite pentru targeted phishing. Unele aplicații false de dating nu au scopul de a extrage bani direct, ci de a colecta date de profil valoroase.

Persoana online 'moștenește' o avere semnificativă de la un unchi/bunic îndepărtat dar nu o poate accesa fără ajutor — din motive legale, fiscale sau bancare — și are nevoie de sprijinul financiar al partenerului romantic pentru a 'debloca' moștenirea. Contribuția victimei va fi rambursată înzecit. Suma totală extrasă de la victimă depășește cu mult senzatia de 'ajutor' dat. Este o variantă a advance fee fraud adaptată contextului romantic.

Terapeutul sau coach-ul fals online construiește o relație de dependență emoțională terapeutică. Sesiunile pot fi gratuite sau plătite, dar scopul principal este crearea dependenței psihologice — victima nu se simte bine fără sesiunile săptămânale. Treptat, apar 'costuri suplimentare' pentru 'tratamente speciale', 'module avansate', 'retrageri terapeutice'. Datele emoționale extrase în sesiuni sunt extrem de sensibile și pot fi folosite ulterior pentru manipulare sau santaj.

Giveaway-ul Instagram solicită follow + like + share pentru 'participare'. Câștigătorul nu există sau este ales dintr-un cerc restrâns (complici). Scopul real: creșterea rapidă a numărului de urmăritori (cont care va fi vândut sau folosit ulterior pentru promovare frauduloasă), colectarea de date personale prin formularul de 'ridicare premiu', sau distribuirea unui link de phishing mascat ca 'site oficial al câștigătorilor'. Nicio marcă legitimă nu organizează giveaway-uri fără proceduri clare și transparente de tragere la sorți.

Produsul fals listat pe Facebook Marketplace la prețul sub piață atrage cumpărători. Escrocul refuză întâlnirea fizică și solicită plata în avans prin transfer bancar sau Revolut. Odată primită plata, nu mai răspunde. Varianta: acceptă întâlnirea dar produsul adus este defect, contrafăcut sau complet diferit față de cel fotografiat. Facebook Marketplace nu oferă protecție cumpărătorului pentru tranzacțiile cash sau directe — spre deosebire de eBay sau Amazon cu sisteme de escrow integrate.

Influencerul cu sute de mii de urmăritori promovează un produs (supliment, dispozitiv, serviciu) care nu funcționează sau nu există. Adesea influencerul nu testează personal produsul sau nu divulgă că a primit compensație financiară pentru promovare. În cazuri extreme, contul influencerului real a fost compromis și folosit pentru promovare fără știrea proprietarului. Întrebarea corectă înainte de orice achiziție bazată pe recomandare: 'Este aceasta o reclamă plătită?' și 'Există recenzii independente?'

Odată preluat, contul real cu istoricul, urmăritorii și credibilitatea acumulate este folosit pentru: mesaje de urgență la toți prietenii ('am probleme, am nevoie de bani'), promovarea de scheme de investiții false, distribuirea de link-uri malițioase, sau vândut pe dark web. Preluarea se face prin phishing de credentiale sau compromiterea emailului de recuperare. Activarea 2FA pe toate conturile de social media este protecția fundamentală.

Pagina clonată a unui business real (restaurant, salon, magazin local) are aceleași fotografii, descriere, date de contact dar un număr de telefon sau link diferit. Clienții care caută compania pe Facebook găsesc clone-ul și plasează comenzi sau rezervări care nu ajung nicăieri. Pagina reală a businessului trebuie să raporteze imediat clone-urile și să solicite verificarea oficială a paginii (badge albastru) pentru a preveni confuzia.

Grupul privat de 'investiții' are 50-200 de membrii cu postări zilnice despre câștiguri spectaculoase, sfaturi de investiții, grafice de profit. Administratorii și majoritatea membrilor activi sunt fie escrocii înșiși, fie persoane plătite să simuleze succesul. Noii membrii sunt convinși să investeasca pe platforma recomandată — controlată de escroci. Toate câștigurile afișate sunt fictive. Platforma nu permite retrageri reale.

Notificarea 'Ai câștigat concursul [Brand X]' vine de la o pagină cu 50 de urmăritori și zero postări anterioare. Premiul (iPhone, mașină, vacanță) necesită achitarea 'taxelor de expediere' (50-300 RON) sau completarea unui formular cu date personale complete. Brandurile mari nu organizează concursuri prin pagini false cu zero credibilitate. Verificarea sursei ofertei pe pagina oficială a brandului este obligatorie.

Hashtag-urile virale sunt exploatate pentru distribuirea de conținut malițios sau dezinformare. La evenimentele majore (alegeri, dezastre naturale, evenimente sportive), escrocii publică conținut cu hashtag-urile trending pentru vizibilitate maximă. Scopul: trafic spre site-uri de phishing, răspândire dezinformare, promovare produse false. Verificarea sursei oricărui conținut viral înainte de distribuire este o responsabilitate digitală fundamentală.

Campania de donații pe Facebook sau GoFundMe pentru o boală rară, un dezastru natural sau un caz emoționant de animal în suferință poate fi complet fabricată. Fotografiile sunt furate sau generate AI. Donațiile merg direct la escroci. Platformele de donații au mecanisme de verificare parțiale, dar nu elimină complet frauda. Donațiile catre ONG-uri înregistrate cu transparență financiară publicată sunt cele mai sigure.

Conturile verificate (badge albastru pe Twitter/Instagram) create de persoane publice sau organizații cu credibilitate sunt cumpărate sau închiriate după ce proprietarii originali nu mai sunt activi. Noul operator rebrăndele contul și îl folosește pentru a promova scam-uri cu legitimitate crescută oferită de badge-ul de verificare. Twitter/X a democratizat verificarea contra abonament, ceea ce a diluat semnificativ valoarea de verificare a badge-ului.

Review-urile false de 5 stele (generate AI, cumpărate de pe platforme specializate sau oferite de 'teste' de produse false) construiesc o reputație fictivă pentru produse sau servicii frauduloase. Detectia review-urilor false: lipsa detaliilor specifice, ton uniform, distribuție anormală (95%+ de 5 stele fără de 3-4 stele), conturi recent create fără alt istoric, review-uri publicate în valuri. Platformele independente de review (TrustPilot, Google Maps, ANPC) sunt mai greu de manipulat.

Story-ul sau reel-ul temporar (dispare în 24 de ore) cu un concurs sau o ofertă exclusivă creează urgență artificiala prin dispariția iminentă a conținutului. Victima acționează rapid, fără verificare, tocmai pentru că 'oferta expiră'. Link-ul din story duce la phishing sau site de scam. Conținutul temporar este utilizat deliberat pentru a preveni verificarea și discutarea — odată dispărut, nu mai există probe.

LinkedIn este exploatat pentru escrocherii B2B: propuneri false de parteneriat, recrutare frauduloasă, sondaje care colectează date de business sensibile, sau scam-uri de investiții adaptate contextului profesional. Profilul atacatorului are recomandări false, experiență profesională plauzibilă, conexiuni de ordinul zecilor cu profesioniști reali (unii necunoscuți, alții conectați în serie). Orice propunere de afaceri de pe LinkedIn necesita verificarea companiei prin canale independente.

Pin-ul Pinterest cu produsul la preț incredibil de mic redirecționează spre un magazin Shopify fals creat în ore. Platformele de e-commerce SaaS permit crearea de magazine fictive cu aspect profesionist fără verificare aprofundată. Produsul nu există sau este contrafăcut. Comandă internațională pentru a complica recuperarea banilor. Pinterest nu oferă protecție cumpărătorilor pentru tranzacțiile realizate pe site-uri externe platformei.

Site-ul generatorului de V-Bucks, Robux, Gems sau alte valute in-game cere autentificarea cu contul de joc 'pentru livrare'. Credentialele introduse sunt capturate și contul este preluat. Dacă nu cere autentificare, solicită instalarea unui 'tool' care este malware. Nu există generator de valute in-game — acestea sunt generate exclusiv de serverele producătorului. Orice ofertă de valute gratuite sau la preț redus prin site-uri terțe este fraudă garantată.

Link-ul de 'skin gratuit' duce la o pagina de login identică cu Steam, Epic Games sau Fortnite, dar pe un domeniu fals. Credentialele introduse sunt capturate. Contul Steam cu inventar valoros (skin-uri rare CS:GO valorând sute sau mii de EUR) este imediat preluat și inventarul transferat sau vândut. Valoarea economiei de skin-uri CS:GO este estimată la 4 miliarde USD — o piață reală care motivează atacuri sofisticate.

Serviciul de 'rank boost' — cineva joacă pe contul tău pentru a-ți crește rangul — necesită accesul la cont. Cu accesul obținut: contul poate fi vândut, inventarul transferat, sau datele de plată asociate exploatate. Alternativ, serviciul nu este prestat și plata se pierde. Boosting-ul este adesea și o încălcare a termenilor de serviciu ai jocului — contul poate fi banat de producător, indiferent de frauda asociată.

Turneul online cu premii de 1.000-10.000 EUR are o taxă de înscriere de 20-50 EUR 'pentru organizare'. Nu există turneu real — nici infrastructura, nici arbitraj, nici platforma de desfășurare. Escrocul colectează taxele de la sute de participanți și dispare. Turneele legitime sunt organizate de studii sau platforme cunoscute și nu necesita taxe de înscriere pentru nivelurile inferioare.

Contul fals imită perfect un streamer popular (Ninja, Shroud, sau local: Cristi Gamer, Alex Velea, etc.) cu același avatar, același username cu o variantă ușor modificată. Anunță un giveaway 'special pentru fanai fideli' cu un link de participare. Link-ul duce la captare de date sau instalare de malware. Streamerii reali nu organizează giveaway-uri prin mesaj direct sau prin link-uri care cer autentificarea contului.

Mod pack-urile pentru jocuri populare (Minecraft, GTA V, Skyrim, Counter-Strike) distribuite pe forumuri unofficiale sau Discord conțin keylogger, RAT sau miner de criptomonede. Utilizatorul instalează mod-ul din surse de încredere ale comunității — dar acel cont al comunității a fost compromis. Aplicațiile anti-cheat (VAC, EasyAntiCheat) nu verifică mod-urile externe. Descărcarea exclusiv din surse oficiale ale modder-ilor verificați este singura protecție.

Notificarea că 'contul tău a primit un raport de cheating și va fi banat în 24 de ore dacă nu apelezi' creează panică în rândul jucătorilor care au investit timp și bani în cont. Link-ul de 'contestare' duce la phishing de credentiale sau la o taxă de 'deblocare' frauduloasă. Nicio platformă de gaming nu procesează contestații la banuri prin email cu deadline de 24 de ore — procesele sunt prin suportul oficial al platformei.

Jocul play-to-earn promite câștiguri reale din joc — 'economiști' calculează că investiția în NFT-uri necesare pentru a juca se recuperează în 3-6 luni. Proiectul este un rug pull elaborat: NFT-urile sunt cumpărate la prețuri mari, economia jocului este nesustenabilă by design, și la momentul oportun, echipa vinde toate token-urile și abandoneaza proiectul. Economia jocului Axie Infinity (un joc P2E legitim) s-a prăbușit în 2022 demonstrând insustenabilitatea modelului chiar și în cazuri reale.

Accesul beta exclusiv la un joc mult așteptat necesită 'donație de susținere' (20-100 EUR) sau furnizarea datelor de cont pentru 'lista de beta testeri'. Accesul nu există — jocul nu este în beta sau accesul beta nu este distribuit astfel. Datele de cont furnizate sunt capturate. Betele legitime sunt anunțate exclusiv pe canalele oficiale ale producătorului și nu necesita plată.

Cheile de joc la reduceri de 70-90% față de prețul oficial provin din achiziții frauduloase cu carduri furate (escrocul cumpără chei cu cardul furat, le revinde ieftin înainte ca tranzacția să fie contestată) sau din giveaway-uri false. Cheile revocate la contestarea plății devin invalide după activare. Platforme de verificat pentru chei: IsThereAnyDeal, G2A (cu verificare), Humble Bundle. Prețuri cu 80%+ față de oficial sunt un semnal clar de fraudă.

Invitația în clan/guild 'de prestige' cu cerința de 'verificare cont' prin login pe un site partener fals este o tehnică clasică de furt de credentiale în MMORPG-uri și FPS-uri competitive. Conturile de gaming de valoare ridicată (range înalt, inventar rar, skin-uri valoroase) sunt o țintă la fel de valoroasă ca un cont bancar pentru atacatorii specializați în economia virtuală.

Tool-ul de aimbot sau wallhack distribuit pe forumuri promite 'undetectable cheat' fara risc de ban. Fișierul conține un Remote Access Trojan sau un miner de criptomonede care rulează în background. Utilizatorul, temandu-se să nu raporteze malware-ul deoarece l-ar expune că folosea cheat-uri, nu ia masuri. Double-victimizare: ban în joc + malware pe computer. Utilizarea de cheat-uri este nu doar lipsită de etică ci un vector de risc real de securitate.

Contractul de esports 'profesionist' conchide că jucătorul cu performanțe bune este recrutat de o 'organizație' cu nume plauzibil. Contractul cere plata unei 'taxe de procesare' sau 'taxa de echipament' și furnizarea documentelor de identitate complete. Nu există organizație reală. Datele personale sunt folosite pentru identitate sintetica sau vândute. Organizațiile esports legitime NU cer plăți la semnarea contractelor.

Trade-ul în jocuri (CS:GO, Team Fortress 2, Dota 2) este inițiat de escrocul care propune schimbul. Victima trimite item-ul primul — 'din curtoazie' sau din urgența scenariului. Escrocul anulează trade-ul, modifică oferta, sau pur și simplu dispare. Unele scam-uri de trade folosesc extensii de browser malitioase care modifică vizual item-urile din fereastra de trade — victima vede ce și-a dorit dar în realitate trimite altceva.

Trial-ul gratuit al unui serviciu de gaming (VPN gaming, booster de lag, anti-cheat premium) se activează automat ca abonament recurent de 15-30 EUR/lună. Anularea este deliberat complicată — nu există buton de anulare vizibil, formularul de anulare nu funcționează, suportul nu răspunde. Abonamentul este detectat abia pe extrasul de cont. Politica GDPR și legea protecției consumatorului din Romania permit anularea forțată cu rambursare pentru astfel de practici abuzive.

Dispozitivul de skimming este un cititor de card miniaturizat atașat discret pe slot-ul ATM sau pe terminalul POS. O cameră minusculă sau o tastatură suprapusă capturează și PIN-ul. Datele cardului sunt transmise wireless sau stocate pe un card de memorie colectat ulterior. Cardurile clonate sunt fabricate și folosite în țări fără chip (magnetic stripe), unde tranzacțiile sunt posibile. Atm-urile compromise sunt identificate prin inspectarea fizică — elemente adăugate, slotul de card mai protuberant decât normal, camera ascunsa deasupra tastaturii.

Aplicația falsă de banking este distribuită pe site-uri de phishing, forum-uri sau prin link-uri de SMS. Imită perfect interfața băncii reale. Captureaza credentialele de login, codul de activare, datele cardului. Unele variante intercepteaza SMS-urile de autentificare (cu permisiunile de acces acordate la instalare). Aplicațiile bancare legitime trebuie descărcate EXCLUSIV din App Store oficial sau Google Play — niciodată din link-uri SMS sau site-uri terțe.

Abonamentul ascuns este activat prin bifele pre-selectate la finalul unui formular de 'trial gratuit' sau 'produs gratuit — plătești doar livrarea'. Termenii și condițiile menționează abonamentul în caractere mici, textul este greu de citit sau este departe de butonul de confirmare. Suma facturată (15-90 EUR/lună) apare prima oară pe extrasul de cont. Recuperarea banilor prin bank dispute este posibilă în 30-90 de zile dar necesită documentare.

Platforma de cashback cere conectarea cardului de credit/debit 'pentru urmărirea achizițiilor eligibile'. Datele cardului sunt capturate. Cashback-ul se acumulează vizibil dar retragerea este blocată: prag minim ridicat, verificare identitate infinit amânată, sau platforma dispare. Procesatorul de plăți folosit de platformele false poate efectua tranzacții mici de test imediat dupa capturarea datelor. Cashback-ul legitim este oferit de bănci direct, nu de aplicații terțe care cer datele cardului.

ONG-ul fals cu nume similar unuia real sau creat în contextul unei crize actuale (cutremur, inundație, boală rară) colectează donații pe canale multiple. Fondurile nu ajung la beneficiari. Transparența financiară: ONG-urile înregistrate în România publică rapoarte anuale pe Ministerul Justiției. Verificarea rapidă: caută ONG-ul pe registrul MJ și verifică dacă există, când a fost înregistrat și dacă are rapoarte financiare publicate.

Aplicația de împrumut rapid (instant approval, fara verificare creditelor) cere: datele de identitate complete, selfie, accesul la contactele telefonice, IBAN-ul. Împrumutul 'aprobat' necesită o 'taxă de activare' sau 'asigurare' plătibilă în avans. Taxa se pierde, împrumutul nu se acordă. Datele colectate (inclusiv contactele telefonice) sunt folosite pentru presiune ulterioară sau vândute. Instituțiile de credit legitime nu cer taxe în avans — costul creditului se recuperează din dobânzile ulterior.

Apelul de la 'angajatul societății de asigurari' anunță că polița de asigurare (auto, casă, sănătate) a expirat sau necesită reînnoire urgentă altfel acoperirea este pierdută. Se solicită plata prin telefon cu cardul. Societatea de asigurare reala trimite reînnoirile exclusiv prin scrisori sau emailuri directe la adresele înregistrate, și nu acceptă plăți prin telefon cu datele cardului rostite verbal.

IBAN Fraud este una din cele mai simple și devastatoare fraude B2B. Atacatorul monitorizează corespondența email și în momentul trimiterii unei facturi legitime, trimite o versiune cu IBAN-ul modificat. Sau mai simplu: trimite un email cu IBAN-ul 'actualizat' al furnizorului. Verificarea schimbărilor de IBAN prin apel telefonic la numărul CUNOSCUT al furnizorului (nu la cel din email) este obligatorie. Suma medie pierduta per incident in Romania: 28.000 EUR.

Consultantul financiar independent cu 'certificări de pe internet' gestionează 'portofoliul de investiții' al victimei. Fondurile sunt transferate în conturi controlate de escroaci. Randamentele promise nu se materializează. Banii dispar treptat sau brusc. Consilierii financiari autorizați sunt înregistrați la ASF (Autoritatea de Supraveghere Financiară) sau sunt angajați ai instituțiilor bancare. Verificarea autorizației la ASF.ro durează 2 minute și previne astfel de fraude.

Gift card-urile (Google Play, iTunes, Steam, Amazon) sunt cerute de 'autoritățile' false (ANAF, poliție, BNR) pentru achitarea unor 'datorii', 'amenzi' sau 'garantii'. Codul de pe spatele card-ului este furnizat telefonic. Codul este revendicat instant și banii nu mai pot fi recuperați. Este important de știut: nicio autoritate de stat din România sau din lume nu acceptă plăți în gift card-uri. Niciodată. Indiferent de ce circumstanțe sunt invocate.

Agenția de colectare falsă contactează victima pentru 'o datorie' despre care aceasta nu știe sau pe care consideră că a achitat-o deja. Folosește limbaj intimidant, amenințări cu executarea silită, termene scurte. Datoria poate fi prescrisă legal sau inventată. Scopul: plata urgentă sub presiune. Orice pretenție de datorie trebuie documentată în scris și verificată cu datele originale ale creditorului. Drepturile debitorului includ solicitarea documentelor justificative.

Money mule-ul este recrutat cu o ofertă de 'job de acasă' aparent legitimă: 'primești transferuri în cont și trimiți mai departe minus un comision de 5-10%'. Recrutatii nu realizează că participă la spălarea banilor proveniți din fraude. Consecintele juridice sunt severe — complicitate la spalare de bani, dosar penal, confiscarea fondurilor și a comisionului reținut. 'Job-urile' de transfer de bani nu există în economia legitimă.

Brokerul ipotecar fals are un site profesionist, documente false de autorizare, și cere o 'taxă de evaluare' și 'taxă de procesare' (500-2.000 EUR) înainte de aprobarea împrumutului. Împrumutul nu se acordă niciodată. Escrocul dispare. Brokerii autorizați de credite imobiliare sunt înregistrați la Registrul Autorității pentru Supraveghere Financiară. Taxa de aprobare se plătește exclusiv la semnarea contractului de credit verificat la notar.

Escrocul cere cumpărarea de carduri prepaid (Paysafecard, Neosurf, Greendot) pentru plata unei 'amenzi urgente', 'taxe de deblocare cont', 'garantie pentru un împrumut'. Codul de 16 cifre de pe spatele cardului este furnizat telefonic sau prin SMS. Cardul este revendicat instant — tranzacție ireversibilă. Cardurile prepaid nu pot fi anulate sau refundate odată ce codul a fost dezvăluit. Metoda este preferata de escroaci tocmai din această cauza.

Farmacia online frauduloasă vinde medicamente la prețuri sub piata (40-70% reducere) sau medicamente greu de obținut fără rețetă. Produsele livrate sunt contrafăcute (fără substanța activa sau cu substanțe dăunătoare), expirate, sau pur și simplu nu se livrează nimic. Medicamentele contrafăcute pentru hipertensiune, diabet sau anticoagulante pot cauza consecinte grave de sănătate sau deces. OMS estimează că 10% din medicamentele circulante global sunt contrafăcute. Farmaciile online legitime din Romania sunt autorizate de ANMDM.

Emailul sau SMS-ul anunță că 'rezultatele analizelor dvs. sunt disponibile' și că trebuie achitată o 'taxă de procesare' pentru acces sau transmitere. Formularul de plată captureaza datele cardului. Rezultatele medicale sunt transmise exclusiv prin sistemele clinicii sau laboratorului — niciodată contra plată separă prin link SMS. Datele medicale obținute prin phishing sunt valoroase pe dark web (record de sănătate: 50-1.000 USD vs date financiare: 5-30 USD).

Apelul de 'verificare a poliței de sănătate' este o formă de vishing medical. Escrocul se prezintă ca reprezentant al asigurătorului și solicită confirmarea datelor pentru 'actualizarea bazei de date': data nașterii, CNP, numărul poliței, datele de plată. Datele de identitate pot fi folosite pentru identitate sintetică sau fraude medicale. Datele de plată — pentru tranzacții frauduloase. Asigurătorii legitimi nu contactează clienții nesolicitat pentru 'actualizarea datelor de plată'.

Aplicația sau platforma de 'coaching psihologic online' la prețuri mici sau gratuit colectează informații extrem de sensibile: istoricul de abuz, problemele de sănătate mentală, relațiile personale, situația financiară — date furnizate în contexte terapeutice în care utilizatorul are o stare de vulnerabilitate crescută. Datele sunt vândute sau utilizate pentru manipulare și santaj ulterior. Platformele de terapie online legitime au psihoterapeuți licențiați verificabili și politici stricte de confidențialitate.

Aplicația de telemedicina cu interfată profesionista conecteaza pacientul cu 'medici' care sunt fie chatboti, fie persoane fără pregătire medicală. Consultațiile plătite nu au valoare medicală. Diagnosticele furnizate pot fi periculoase dacă determină amânarea unui tratament real necesar. Rețetele eliberate sunt false sau imposibil de onorat. Telemedicina legitimă este furnizată de platforme autorizate de Ministerul Sănătății cu medici înscriși în CMR.

Aplicația de monitorizare a sănătății 'certificată medical' sau 'aprobată FDA/CE' colectează date biometrice detaliate: puls, tensiune, saturație oxigen, ritm circadian, activitate fizică, cicluri de somn, date despre medicație. Certificarea este falsă. Datele colectate sunt vândute companiilor de asigurări (care pot modifica primele), angajatorilor, sau brokerilor de date medicale. Consecința: discrimination medicală bazată pe profil biometric.

Studiul clinic fals promite compensație financiară (500-5.000 EUR) pentru participare. Procesul de înregistrare colectează: istoricul medical complet, lista medicamentelor, rezultatele analizelor, scaner de identitate. Taxa de 'participare' sau 'procesare medicală' este cerută în avans. Studiile clinice legitime (înregistrate pe ClinicalTrials.gov sau EudraCT) nu cer niciodată taxe participanților — din contră, compensează și acoperă costurile de deplasare.

Organizația de caritate oncologică falsă exploatează emoțiile profunde asociate cancerului — frica, speranța, solidaritatea. Fotografii de pacienți (reale sau generate AI), poveșți emoționante, campanii de social media virale. Fondurile nu ajung la niciun pacient. Verificarea: asociatiile oncologice legitime sunt înregistrate la MJ, au rapoarte financiare publice, și sunt afiliate la rețele internaționale verificabile (ESMO, UICC).

Suplimentul sau 'tratamentul natural revoluționar' pentru cancer, diabet, Alzheimer sau alte boli grave este vândut cu mărturii false generate AI, studii inventate, aprobări fictive. Produsele nu au eficacitate dovedită clinic și costă de 10-100x prețul ingredientelor reale. Pericolul real: oamenii amână sau abandonează tratamentele medicale dovedite în favoarea 'terapiilor alternative'. Aceasta este una din fraudele cu cel mai mare potențial de daune la sănătate.

Aplicația gratuită de fitness sau sănătate colectează date biometrice, pattern-uri de somn, locație, și informații despre starea de sănătate — și le vinde terților. Terții includ: companii de asigurări, angajatori, brokeri de date, companiile farmaceutice pentru targeting publicitar. Utilizatorul a acceptat aceasta prin termenii și condițiile pe care nu le-a citit. Revizuirea periodică a permisiunilor acordate aplicațiilor este o practică de igienă digitală fundamentală.

Apelul anunță că un familiar (copil, soț, părinte) este la urgența și că necesită o procedura medicala urgenta care trebuie plătită imediat cu cardul înainte ca operația să înceapă. Presiunea emoțională este extremă — viața unui apropiat pare să depindă de acțiunea imediată. Sistemul medical românesc nu condiționează acordarea de urgențe medicale de plăți în avans. Verificarea directă la spital prin numărul oficial, nu prin cel dat de apelant, rezolvă situația.

Mesajul de la 'medicul de familie' sau 'medicul specialist' anunță că rețeta pentru medicamentele cronice a expirat și că trebuie reînnoită 'astăzi altfel pierdeti accesul la medicație'. Link-ul duce la un portal fals de autentificare pentru serviciile medicale online. Credentialele introduse permit accesul la istoricul medical și asigurarea medicală a victimei. Medicii adevărați nu trimit notificări de expirare a rețetelor prin SMS cu link-uri de autentificare.

Apelul anunță că un familiar se află la secția de terapie intensivă și că există un donator compatibil de organ disponibil dar operația trebuie plătita în avans (10.000-50.000 EUR) 'înainte ca donatorul să fie alocat altcuiva'. Sistemul de transplant în Romania este gestionat exclusiv de ANT (Agenția Națională de Transplant) și nu implică plăți directe. Această fraudă exploatează dorința disperată a familiilor de a salva un apropiat bolnav.

Suplimentul de slăbit 'cu rezultate garantate în 30 zile' are fotografii before/after fabricate digital sau furate, testimoniale false generate AI, și un abonament lunar activat la 'trial gratuit' greu de anulat. Produsul este inutil din punct de vedere medical. Unele suplimente conțin substanțe neautorizate care pot fi dăunătoare (diuretice, stimulante, laxative). Industria suplimentelor de slăbit frauduloase generează global peste 6 miliarde USD anual din produse fără nicio eficacitate dovedită.

Oferta de muncă atrăgatoare (salariu dublu față de piață, remote full-time, beneficii generoase) de la o 'companie internațională' nu presupune un interviu real. Procesul de 'angajare' colectează: copie buletin față-verso, selfie, adresa completă, IBAN 'pentru plata salariului', referinte de la angajatorii anteriori. Datele colectate sunt folosite pentru identitate sintetică sau fraude financiare. Nicio companie legitimă nu cere copie buletin și IBAN înainte de un interviu real.

Interviul de angajare online (Zoom, Teams) este condus de 'HR-ul companiei' care pune întrebări profesionale reale, creând aparența de legitimitate. Scopul real: colectarea CV-ului complet (toate datele personale, istoricul profesional, referințele), a documentelor de identitate solicitate 'pentru verificarea de background', și uneori a datelor bancare 'pentru avansul de relocation'. Companiile mari nu cer documente de identitate înaintea ofertei ferme de angajare.

Platforma de remote work pretinde că are sute de locuri de muncă disponibile dar cere un abonament lunar (30-100 EUR) sau o taxă unică (200-500 EUR) pentru 'acces la listele premium de joburi'. Job-urile afișate sunt fictive sau copiate de pe platforme legitime (LinkedIn, Indeed). Platforma nu are contract de muncă cu nicio companie. Platformele legitime de recrutare nu cer niciodată plată de la candidați.

Bursa de studiu 'exclusivă' pentru studenți merituoși necesită o 'taxă de aplicare' sau 'taxă de procesare' de 200-500 EUR. Bursa nu există. Procesul de aplicare colectează: situația academică completă, scrisori de recomandare, eseu personal — informații valoroase pentru identitate sintetică sau vândute pentru fraudă academică. Bursele legitime nu cer niciodată taxe de aplicare — din contră, plătesc ele. Verificarea burselor prin instituția universitară direct.

Jurnalul academic fals are un ISSN inventat sau furat de la un jurnal expirat, un comitet editorial fictiv cu nume de academicieni reali (fără știrea lor), și publică orice articol contra taxă de publicare (150-2.000 EUR). Indexarea promisă în Scopus, ISI, sau Thomson Reuters este falsă. Cercetătorii care publică în aceste jurnale 'predatory' risca penalizare academică și deteriorarea reputatiei profesionale. Verificarea în DOAJ (Directory of Open Access Journals) și lista Beall identifică revistele predatory.

Serviciul de 'eliminare plagiat' sau 'certificat de originalitate' promite că poate modifica software-ul de detecție plagiat (Turnitin, iThenticate) sau poate furniza un certificat fals de originalitate pentru o lucrare. Nu există astfel de servicii — sistemele de detecție plagiat nu pot fi manipulate. Serviciul colectează lucrarea completă (proprietate intelectuala valoroasă) și taxa, și dispare sau furnizează un certificat fals fara valoare.

Conferința sau summit-ul online cu 'speakeri de renume' (care nu au confirmat participarea sau ale căror identități sunt falsificate) vinde bilete la 50-300 EUR. Evenimentul fie nu are loc, fie este o prezentare de 30 de minute mediocra fără nicio valoare. Speakerii menționați nu sunt întotdeauna verificați că participă efectiv. Verificarea conferințelor academice și profesionale: programul publicat pe site-ul oficial al organizației care patronează evenimentul.

Software-ul de supraveghere a examenelor online (proctoring) cere acces la: camera web, microfon, ecran complet, clipboard, istoricul browser, și uneori instalarea unui driver la nivel de sistem (kernel-level). Unele aplicații de proctoring dubioase transmit date sensibile la servere terțe sau conțin vulnerabilități exploatabile. Accesul la nivel de kernel (Ring 0) permite atacatorilor un control total al sistemului dacă software-ul este compromis.

Programul de internship fals de la o 'companie internațională' acceptă toți candidații și colectează: documente complete de identitate, formulare medicale, adresele de domiciliu, referințele personale, contul bancar 'pentru plata stagiei'. Internship-ul nu există. Datele colectate compun un profil complet pentru identitate sintetică. Verificarea existenței și autenticității companiei prin Registrul Comerțului și LinkedIn al angajaților reali.

Angajatorul trimite un cec (sau transfer) de valoare mare pentru 'achiziționarea echipamentului de lucru' înainte de prima zi. Solicită rambursarea diferenței imediat. Cecul de casierie sau transferul este fraudulos și va fi retracat. Angajatul a trimis deja rambursarea din propriii bani. Pierde suma rambursată. Nicio companie legitimă nu trimite avans pentru echipament înainte de semnarea contractului de muncă — echipamentul este furnizat direct de companie sau rambursat la factura.

Agenția de emigrare la muncă garantează plasamentul în Germania, UK, Canada sau alte țări occidentale contra taxă (1.000-5.000 EUR). Promisiunile: salariu minim garantat, locuință asigurată, viză de muncă procesată rapid. Nici un plasament nu se materializează. Taxa se pierde. Datele pașaportului colectate pentru 'procesarea vizei' pot fi folosite pentru identitate sintetică. Procesarea vizelor se face exclusiv prin ambasade și agenții autorizate verificabile.

Certificarea profesionala 'recunoscuta international' sau 'acreditata de X' este vânduta contra 200-2.000 EUR fara niciun curs sau examen real. Diploma nu este recunoscuta de nicio autoritate legitima. Companiile care verifica certificarile primesc raspunsuri negative sau nu pot contacta 'institutia emitenta'. Verificarea acreditarii unui program de certificare: contactarea directa a institutiei/asociatiei profesionale care emite certificarile legitime.

Studiul sau sondajul remunerat ('câștigă 50 RON per chestionar') colectează date personale detaliate: comportament de consum, opinii politice, stare financiară, sănătate, situație familială. Recompensa promisă nu este plătită — praguri de acumulare neatinse, cont inchis înainte de plată, sau pur și simplu escrocul dispare. Datele colectate au valoare mai mare decât suma promisă — de aceea sunt colectate.

Anunțul de job inexistent ('ghost job') este publicat de o companie reală sau fictivă. Scopul: colectarea de CV-uri cu toate datele personale, testarea pieței salariale, sau obținerea de idei de la concurenți. CV-urile conțin: adresa completă, data nașterii, istoricul complet de angajare, referințele, și adesea CNP-ul. Candidații nu sunt contactați deoarece pozitia nu există. Date valoroase colectate fara consimtamantul informat.

Universitatea online cu branding impresionant, oferte de burse parțiale și promisiuni de acreditare internațională percepe taxe de școlarizare de 2.000-20.000 EUR per an. Diploma eliberată nu este recunoscuta de Ministerul Educatiei sau echivalentele internationale. Studentii nu afla ca diploma este inutila decat dupa absolvire si tentativa de utilizare. Verificarea acreditarilor in Romania: ARACIS (www.aracis.ro) listeaza toate institutiile acreditate.

Permisul de munca sau viza 'garantata' este oferita de o agentie fara autorizatie de a procesa documente de imigratie. Taxa platita (2.000-8.000 EUR) nu produce niciun rezultat. Documentele livrate sunt falsificate si pot compromite definitiv optiunile legale ale persoanei. Procesarea documentelor de imigratie se face exclusiv prin avocati de imigratie licentiati sau prin proceduri directe la autoritatile competente.

Atacul in 3 faze este executat de o echipa coordonata. Faza 1: Phishing clasic captureza credentialele emailului sau ale unui cont social media. Faza 2: Din contul compromis, escrocul analizeaza emailurile pentru a identifica banca victimei, soldul aproximativ, si contactele. Initiaza SIM swap folosind datele personale gasite in email. Faza 3: Cu numarul de telefon preluat si accesul la email, reseteaza prin 2FA toate conturile bancare si crypto. In 60-90 minute: identitate digitala complet preluata, conturi golite.

Un email de spear phishing bine cerchetat instaleaza malware care persista in sistem saptamani sau luni, escaladand treptat privilegiile. La momentul ales, ransomware-ul este desfasurat simultan pe toate sistemele retelei (inclusiv backup-urile neizolate). Organizatia este paralizata total — sisteme operationale, financiare, HR, email — toate criptate simultan. Cererea de rascumparare: 100.000-10.000.000 EUR. Timpul mediu de la compromitere initiala la desfasurarea ransomware: 196 zile.

Opera in 4-6 acte pe parcursul a 3-12 luni. Actul 1: Contact romantic initial (Tinder, Facebook, WhatsApp 'gresit'). Actele 2-3: Construirea relatiei emotionale intense — apeluri zilnice, mesaje dimineata si seara, conversatii profunde. Actul 4: Mentionarea casuala a unor investitii crypto de succes. Actul 5: Invitarea victimei sa incerce — initial cu sume mici, cu 'profituri' vizibile. Actul 6: Investitii crescatoare pana la epuizarea economiilor, creditelor, ipotecii casei. Totalul pierdut: adesea toata averea victimei.

Atacul fizic este precedat de saptamani de cercetare digitala: LinkedIn pentru organigramă, angajati cu acces la sisteme critice, furnizori cu acces la sediu. Social engineering telefonic exploatand informatiile OSINT: 'Sunt X de la departamentul Y, am uitat cardul de acces, ma lasati va rog'. La intrarea fizica: instalarea de hardware keylogger, fotografierea documentelor sensibile, plantarea unui USB infectat, sau accesul direct la server room. Combinatia digital + fizic este mult mai eficienta decat oricare singur.

Furnizorul A cu acces la baza de clienți a Companiei B este compromis. Din baza de clienți: escrocul cunoaște exact relațiile comerciale, termenii contractuali, persoanele de contact, frecvența plăților. Trimite facturi frauduloase cu IBAN-ul escrocului direct clientilor Companiei B — care le platesc fara suspiciuni deoarece cunosc furnizorul. Sau accesul la sistemele furnizorului permite inserarea de malware în actualizările software transmise clientilor.