Un nou val de e-mailuri false circulă în România, iar de această dată atacatorii profită de cea mai sensibilă zonă psihologică a contribuabililor: teama de ANAF. Mesajele sunt construite aparent bine, intră în inbox, cu un ton oficial, un format curat și o semnătură care pare autentică. Totuși, detaliile tehnice trădează rapid frauda, iar destinația finală a linkului din e-mail dezvăluie o operațiune de colectare masivă de date personale.
E-mailul are subiectul „ANAF: Actualizare date fiscale necesară” și este trimis de pe adresa de email comprimisă: bensturm [at] asstl.lernsax.de, un domeniu complet străin de orice instituție românească. Deși antetul afișează denumirea „Agenția Națională de Administrare Fiscală”, domeniul nu aparține statului român. Expeditorul folosește o adresă din Germania, legată de o platformă educațională, ceea ce arată clar că mesajul nu are nicio legătură cu ANAF.
În corpul mesajului se menționează o „discrepanță detectată în documentația fiscală”, care ar afecta „declarația de venituri pentru anul fiscal 2024”. Pentru a o „regulariza”, destinatarul este invitat să acceseze platforma ANAF și să „verifice datele”. Totul pare convingător până când analizăm butonul din e-mail – „Accesează platforma ANAF”. În spatele acestuia nu se află site-ul oficial anaf.ro, ci un link mascat care trece prin două redirecționări succesive:
👉 hxxps[://]q623x.app.goo[.]gl/?link=hxxps://t[.]co/xEpO1ebgJt
Cum funcționează mecanismul de redirecționare
Primul pas folosește serviciul Google App Links (app.goo.gl), care în mod normal este utilizat de aplicații mobile pentru a deschide automat conținut. Al doilea pas trece printr-un link scurtat t.co, serviciul nativ de scurtare folosit de Twitter (X). Atacatorii exploatează aceste servicii legitime pentru a ascunde destinația reală a linkului și pentru a oferi un sentiment de siguranță. Un utilizator obișnuit, văzând „app.goo.gl” și „t.co”, are impresia că accesează un site sigur, fără să realizeze că în fundal este pregătită o redirecționare către o pagină complet falsă.
Destinația finală este hxxps://anaf.e-signpdf[.]com/, un domeniu care imită structura unuia guvernamental. Designul paginii copiază culorile, sigla și elementele vizuale ale platformei ANAF, iar titlul din browser conține denumirea instituției. Totul este gândit să creeze încredere în primele secunde, pentru ca utilizatorul să nu mai aibă timp să observe detaliile tehnice.
Domeniul web este cumpărat în urmă cu mai puțin de două zile
Domain Name: E-SIGNPDF.COM
Registrar WHOIS Server: whois.ownregistrar.com
Updated Date: 2025-10-12T19:15:33Z
Creation Date: 2025-10-12T19:15:33Z
Registry Expiry Date: 2026-10-12T19:15:33Z
Cum arată pagina falsă
Pagina cere imediat introducerea CNP-ului, fără nicio validare tehnică. Poți scrie o secvență de cifre la întâmplare, iar formularul o va accepta, ceea ce dovedește că nu există niciun algoritm real de verificare, ceea ce denotă o grabă în crearea acestei campanii. De regulă se întâmplă acest lucru când avem de-a face cu o grupare ceimpersonalizeaza zeci, sute de instituții, de multe ori nefiind localizată în țara vizată. După acest pas, sunt solicitate alte informații: nume și prenume, adresă de e-mail, tipul de venit, detalii despre împrumuturi, adresa de domiciliu și o copie scanată a cărții de identitate.
După completare, utilizatorul primește un mesaj liniștitor:
„Veți primi o notificare oficială în momentul în care verificarea este finalizată. Vă mulțumim pentru cooperare și pentru respectarea cerințelor procedurale.”
Mesajul este scris într-un limbaj aparent neutru, birocratic, menit să întărească iluzia de oficialitate. În realitate, în acel moment, atacatorii au colectat suficiente informații pentru a reconstrui identitatea digitală și financiară completă a victimei.
De ce este acest tip de fraudă periculos și parșiv
CNP-ul și copia cărții de identitate sunt suficiente pentru o gamă largă de abuzuri. Cu aceste date, o persoană rău intenționată poate deschide conturi bancare, solicita credite online, cumpăra telefoane sau abonamente, ori chiar realiza tranzacții în numele tău. Adresa și informațiile financiare adăugate – precum tipul de venit sau existența împrumuturilor – permit atacatorilor să construiască un profil complet, care poate fi vândut pe piețele negre de date sau folosit pentru alte tentative de fraudă.
Acest tip de atac nu este nou, dar ceea ce îl face extrem de eficient acum este contextul mediatic. În ultimele luni, în România s-a creat o presiune publică puternică asupra mediului de afaceri. Zeci de articole și reportaje au prezentat controale fiscale, cazuri de firme amendate, campanii de conformare voluntară. Termeni precum „verificare fiscală” și „notificare ANAF” au devenit frecvenți în spațiul public.
Antreprenorii se tem să nu greșească și reacționează imediat la orice mesaj care pare provenit de la autorități. Această teamă este transmisă și în rândul persoanelor fizice, care, deși nu sunt ținta directă a controalelor, nu vor „probleme cu ANAF”. Rezultatul este o disponibilitate mai mare de a acționa impulsiv și o scădere a vigilenței. Exact această emoție – frica – este exploatată în campaniile de phishing.
Cum recunoști semnele unei fraude de acest tip
Primul indiciu este adresa de e-mail. ANAF comunică exclusiv de pe domenii @anaf.ro sau prin Spațiul Privat Virtual (SPV). Niciodată instituția nu trimite linkuri directe către formulare online unde trebuie să introduci CNP, date financiare sau copii de acte. Al doilea indiciu este structura linkului. Prezența serviciilor de scurtare (goo.gl, t.co, bit.ly etc.) trebuie să ridice imediat un semn de întrebare.
Un alt indicator este absența validării tehnice. Site-ul fals acceptă orice combinație de cifre ca CNP și permite încărcarea oricărui fișier, fără restricții. În contrast, platformele oficiale folosesc semnături electronice și verificări automate. De asemenea, un site autentic ANAF are întotdeauna domeniu anaf.ro și certificat SSL emis de o autoritate guvernamentală sau comercială cunoscută. Domeniul fals „e-signpdf[.]com” este un domeniu comercial obișnuit, fără nicio legătură instituțională.
Ce trebuie să faci dacă ai primit mesajul
Dacă ai primit e-mailul, nu deschide linkul. Nu descărca atașamente și nu completa niciun formular. Intră direct pe site-ul www.anaf.ro și verifică secțiunea ta din SPV. Dacă acolo nu există nicio notificare, înseamnă că mesajul este fals. Marchează-l ca phishing și raportează-l către DNSC și ANAF.
Dacă ai completat deja datele, trebuie să acționezi imediat.
În cazul în care ai trimis o copie a cărții de identitate, există riscul unui furt de identitate. Păstrează toate dovezile și solicită consiliere juridică. Sfatul nostru este să schimbi cartea de identitate pentru a putea anula astfel informațiile de referință din cartea de identitate încărcată (serie si număr, data emiterii)
De ce aceste atacuri continuă să funcționeze
Succesul acestor campanii nu se bazează pe tehnologie, ci pe comportamentul uman. Oamenii tind să reacționeze la autoritate, mai ales când mesajul implică o instituție de stat. ANAF, Poliția, CNAS sau bănci mari sunt folosite frecvent în campanii de phishing tocmai pentru că inspiră teamă și respect. Atacatorii știu că, atunci când apare o presupusă problemă fiscală, majoritatea oamenilor vor acționa rapid, fără să verifice autenticitatea mesajului.
În plus, aceste campanii nu vizează un grup restrâns. E-mailurile sunt trimise în masă, prin baze de date compromise, iar chiar dacă doar un mic procent reacționează, rezultatul rămâne profitabil. În cazul de față, paginile nu sunt rafinate. Lipsesc validările, designul este făcut în grabă, dar pentru atacatori nu contează perfecțiunea, ci viteza. Important este ca schema să ruleze câteva zile înainte ca domeniul să fie raportat și închis.
Rolul instituțiilor și al educației digitale
Astfel de incidente arată cât de necesară este educația digitală de bază. Autoritățile ar trebui să comunice constant care sunt canalele oficiale și ce tipuri de mesaje nu trimit niciodată. De exemplu, ANAF ar putea publica periodic liste de domenii false și explicații despre cum se verifică un certificat digital sau o adresă de e-mail autentică.
Pe de altă parte, și platformele mari – Google, Yahoo, Microsoft – ar trebui să îmbunătățească filtrele anti-phishing pentru mesajele care conțin combinații de cuvinte precum „actualizare fiscală” sau „notificare ANAF”. Totuși, cea mai eficientă apărare rămâne conștientizarea utilizatorului.
Cum te poți proteja
Verifică mereu adresa expeditorului. Nu accesa linkuri care trec prin redirecționări. Introdu manual adresa oficială a instituției. Activează autentificarea în doi pași pe toate conturile personale. Nu trimite copii după acte prin e-mail sau pe siteuri necunoscute. Învață să citești certificatele SSL și să observi diferențele subtile din domenii.
Dacă primești o „notificare oficială” care cere acțiune imediată, respiră adânc, nu reacționa impulsiv. Frica este instrumentul preferat al atacatorilor. Ei știu că atunci când ești speriat, rațiunea scade, iar dorința de a rezolva rapid o presupusă problemă fiscală devine mai puternică decât prudența.
Campania care circulă acum sub masca ANAF este un exemplu clar de phishing oportunist, adaptat contextului social și emoțional din România. Ea nu folosește tehnologii sofisticate, dar mizează pe reacția umană la autoritate și pe frica de sancțiuni. Într-o perioadă în care antreprenorii și contribuabilii sunt permanent sub presiunea fiscală și mediatică, astfel de tentative au șanse mari de succes.
Soluția rămâne aceeași: verificare, prudență și educație digitală constantă. Orice notificare fiscală trebuie verificată direct în Spațiul Privat Virtual, nu prin linkuri din e-mail. Nu există nicio urgență care să justifice transmiterea CNP-ului sau a copiei cărții de identitate printr-un formular online neconfirmat.
Atacatorii vor continua să profite de teamă, dar frica poate fi contracarată prin informare. O societate care învață să recunoască un mesaj fals devine mai greu de păcălit.