În ultimele zile, circulă o nouă campanie de phishing care se folosește de imaginea FAN Courier pentru a fura datele personale și financiare ale utilizatorilor. Atacul este derulat prin SMS-uri care par oficiale, dar provin de la numere necunoscute, fără eticheta standard de expeditor și cu linkuri către domenii suspecte.
Campania ne-a fost semnalată de mai mulți membri ai comunității CyberSkill.ro, care au primit SMS-uri identice și au raportat linkul suspect pentru verificare.
Un exemplu concret de mesaj arată astfel:
„Comanda dvs. nu poate fi expediată din cauza unor erori de date. Vă rugăm să actualizați informațiile și să aranjați expedierea. hxxps[:]//fancourier[.]vip/ro” (rupem formatul linkului ca sa nu dați click din greșeală pe el).
La prima vedere, textul pare legitim. Este formulat politicos, cu o situație credibilă – o „problemă la expediere” – și un apel la acțiune rapidă. Totuși, fiecare element este atent construit pentru a induce în eroare utilizatorul și a-l determina să acceseze linkul.
Analizând mesajele primite de mai mulți utilizatori, s-a constatat că domeniul menționat – fancourier.vip – nu aparține companiei FAN Courier. Domeniul real al firmei este fancourier.ro.
O verificare WHOIS arată că domeniul fancourier.vip a fost înregistrat pe 28 octombrie 2025, exact în ziua în care au început să circule mesajele. Poți verifica și tu data de creare a oricărui domeniu printr-un site public precum whois.domaintools.com ori who.is .
Pare făcut în grabă, dar mecanismul din spate e complex. Site-ul afișează conținut doar când URL-ul conține “/ro/”, ascunde formularul după ce ai introdus datele cardului și nu afișează formularul dacă ești conectat prin VPN.
Cum funcționează înșelătoria
După accesarea linkului din SMS, utilizatorul ajunge pe un site care imită interfața unui portal de curierat. Pagina cere actualizarea datelor de livrare, dar nu există nicio verificare reală a formatului numărului de telefon sau a altor câmpuri. Este un indiciu clar că site-ul a fost realizat în grabă și fără logică funcțională reală – scopul fiind doar colectarea datelor.
După completarea formularului, vizitatorul este redirecționat către o pagină care solicită plata unei taxe de 12,97 lei, pretins „cost de reexpediere”.
Aceasta este etapa critică a atacului:
formularul de plată cere datele complete ale cardului (număr, dată de expirare și cod CVV). În acel moment, informațiile sunt transmise direct atacatorilor, care le pot folosi pentru cumpărături online frauduloase.
De ce este credibil atacul
Mesajul folosește o formulare naturală, în limba română, fără greșeli evidente. Situația descrisă – o problemă la livrare – este una frecventă și plauzibilă pentru oricine a comandat online.
Linkul conține cuvântul „fancourier”, ceea ce sporește încrederea celor care nu observă extensia .vip în loc de .ro. În plus, utilizatorii sunt presați de timp. Mulți accesează linkul automat, fără să verifice expeditorul, mai ales dacă așteaptă un colet.
Cum recunoști un SMS fals
▣ Domenii neoficiale – FAN Courier folosește doar fancourier.ro. Orice alt domeniu (.vip, .com, .xyz) este fals.
▣ Numere de telefon lungi sau necunoscute – mesajele oficiale sunt trimise de obicei din surse etichetate („FANcourier”, „DPD”, „eMAG” etc.).
▣ Mesaje urgente sau alarmiste – atacatorii te presează să acționezi imediat.
▣ Cereri de plată neașteptate – niciun curier nu cere bani prin SMS fără o comandă confirmată.
▣ Formulare suspecte – lipsa diacriticelor sau greșeli de spațiere pot trăda un mesaj tradus automat.
Cum te protejezi
▣ Nu accesa linkuri primite prin SMS de la surse necunoscute. Verifică mai întâi pe site-ul oficial al companiei.
▣ Intră direct pe site-ul real tastând manual adresa fancourier.ro în browser, nu prin link.
▣ Nu introduce datele cardului pentru sume mici cerute în mod neașteptat. Acesta este un semnal clar de fraudă.
▣ Folosește o aplicație bancară cu notificări instant și activează limita de tranzacții online.
▣ Raportează mesajul către FAN Courier și către DNSC (Directoratul Național de Securitate Cibernetică) pe site-ul https://pnrisc.dnsc.ro
▣ Blochează numărul expeditorului și marchează mesajul ca spam în aplicația de mesagerie.
▣ Verifică periodic activitatea cardului și închide cardul imediat dacă observi tranzacții neautorizate.
FAN Courier a confirmat în mai multe rânduri că nu trimite SMS-uri care cer plata unor taxe suplimentare sau actualizarea datelor personale. Comunicarea oficială se face doar prin:
▣ site-ul www.fancourier.ro
▣ aplicația mobilă FAN Courier,
▣ adresele de email @fancourier.ro.
Compania avertizează clienții să nu introducă date personale sau bancare pe alte site-uri și să anunțe imediat autoritățile în caz de suspiciune.
Valul de phishing din 2025
Astfel de atacuri s-au înmulțit în România în ultimele luni.
Grupările de criminalitate cibernetică folosesc domenii nou create și identități comerciale cunoscute pentru a părea legitime.
Scopul este mereu același: obținerea datelor financiare sau a autentificărilor în conturi bancare.
Modelul de atac este simplu: atacatorii cumpără domenii asemănătoare, replică superficial site-uri legitime, trimit SMS-uri sau emailuri în masă și colectează datele victimei pentru a le monetiza rapid.
În majoritatea cazurilor, atacurile dispar după câteva zile, dar sunt înlocuite de altele similare cu alte domenii noi.
Ce poți face dacă ai introdus deja datele
Dacă ai completat formularul sau ai introdus datele cardului pe site-ul fancourier[.]vip, trebuie să acționezi imediat:
▣ Sună banca și solicită blocarea cardului
▣ Verifică extrasele pentru tranzacții neautorizate
▣ Depune o plângere la Poliția Română
▣ Raportează mesajul apelând 1911 sau accesând pnrisc.dnsc.ro și blochează expeditorul
Campania fancourier[.]vip este un exemplu clasic de phishing logistic, în care atacatorii exploatează încrederea în branduri cunoscute.
Faptul că domeniul a fost înregistrat recent, că pagina nu are validări reale și că solicită o plată fictivă de 12,97 lei confirmă scopul infracțional.
Protejează-te verificând sursa fiecărui mesaj, ignorând linkurile suspecte și raportând imediat tentativele de fraudă.
În mediul digital actual, vigilența ta este prima linie de apărare.
