Hackout | Portalul Atacurilor Cibernetice din România

Frauda „Digital Wallet Enrollment”

Muresan Alin — Sat, 10 Jan 2026 14:07:20 +0000

Portofelele digitale, noua frontieră a fraudelor bancare: Cum funcționează schema „Apple Pay/Google Pay”

O nouă formă de criminalitate informatică face ravagii în rândul posesorilor de carduri din România. Dacă până acum atacatorii se mulțumeau să fure datele cardului pentru a face cumpărături online, noua metodă vizează înrolarea completă a cardului victimei în portofelul digital al atacatorului.

Recent, o alertă majoră a fost emisă de instituțiile bancare și documentată de portalurile de știri precum Ziare.com, semnalând o creștere alarmantă a cazurilor în care clienții rămân fără economii prin tranzacții efectuate direct cu telefonul de către atacatori.

La Hackout, am descompus acest atac pentru a înțelege de ce este mult mai periculos decât phishing-ul clasic.

1. „Cârligul”: Mesajul de smishing (SMS)

Totul începe cu un SMS care exploatează un sentiment de urgență sau o curiozitate. Atacatorii impersonează servicii de curierat (Fan Courier, Sameday), instituții de stat (ANAF, Poșta Română) sau chiar banca ta.

Mesajul te anunță că „un colet a fost suspendat” sau că „există o problemă la contul bancar” și îți cere să accesezi un link pentru a rezolva situația prin plata unei sume modice (de obicei câțiva lei).

2. Capcana: Pagina clonă și colectarea datelor

Odată accesat link-ul, ești direcționat către o pagină care vizual este identică cu cea a băncii tale sau a unui procesator de plăți cunoscut.

În acest moment, utilizatorul crede că efectuează o plată legitimă de 2-5 lei. În realitate, atacatorul preia aceste date în timp real și le introduce în propria aplicație Apple Pay sau Google Pay pe telefonul său.

3. Momentul critic: Înrolarea în Digital Wallet

Aici apare marea diferență față de fraudele vechi. Atunci când atacatorul introduce cardul tău în telefonul lui, banca îți trimite un cod prin SMS sau o notificare de tip 3D Secure.

ATENȚIE: Mesajul de la bancă nu spune „autorizează plata de 5 lei”, ci spune clar „Cod pentru înrolarea cardului în Apple Pay” (sau Google Pay).

Dacă victima introduce acest cod pe site-ul fals, ea nu confirmă plata de 5 lei, ci oferă atacatorului controlul total asupra cardului. Din acest moment, cardul tău este în telefonul atacatorului, iar acesta poate plăti oriunde, fără a mai avea nevoie de alte coduri de confirmare, deoarece tranzacțiile prin portofel digital sunt deja considerate „verificate”.

4. De ce este această metodă atât de periculoasă?

Spre deosebire de o tranzacție online singulară, înrolarea în portofelul digital permite atacatorului:

Să facă plăți repetate la POS în magazine fizice oriunde în lume.
Să retragă numerar de la bancomate contactless.
Să ocolească limitele standard de tranzacționare, deoarece plata prin portofel digital este considerată biometrizată (autorizată prin FaceID/Fingerprint pe telefonul atacatorului).

5. Checklist de protecție „Zero Trust”

Pentru a nu deveni o victimă, Hackout îți recomandă să fii extrem de vigilent la următoarele detalii:

Citește textul SMS-ului de confirmare: Banca specifică întotdeauna pentru ce este codul. Dacă scrie „înrolare card” sau „Apple Pay/Google Pay” și tu doar voiai să plătești o factură, STOP! Este o fraudă.
Verifică URL-ul: Nicio bancă nu îți va cere datele cardului pe un domeniu care nu este cel oficial (ex: bcr-confirmare.net în loc de bcr.ro).
Nu introduce datele cardului pentru sume mici: Dacă un serviciu de curierat îți cere 2 lei pentru „reprogramare”, verifică mai întâi în aplicația oficială a curierului.
Activează notificările Push: Folosește aplicația băncii pentru a monitoriza tranzacțiile în timp real.

Concluzie

Criminalitatea informatică se adaptează rapid la noile tehnologii de plată. Comoditatea portofelelor digitale este acum arma principală a atacatorilor. Nu uita: codul de confirmare este „cheia” către banii tăi. Odată predată, hoțul are acces direct în buzunarul tău digital.

Sfat final: Dacă ai introdus datele cardului pe un site suspect, blochează cardul imediat din aplicația bancară și contactează banca pentru reemiterea acestuia.

The post Frauda „Digital Wallet Enrollment” first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

Emailuri false în numele ANAF. Phishing la plata taxelor.

Gabriel Puiu — Fri, 09 Jan 2026 09:04:17 +0000

Introducere

Atacatorii cibernetici exploatează, de cele mai multe ori, contextul politic, social și economic al unei țări. De aceea, vedem constant campanii de atac legate de evenimente cunoscute: sărbători, introducerea unor taxe noi, actualizări de date bancare sau notificări despre colete aflate „în așteptare”.

În ultimii trei ani, începutul de an a adus aproape inevitabil valuri de phishing și diverse escrocherii legate de plata taxelor. Mesajele se prezintă, de regulă, ca fiind trimise de ANAF sau de alte instituții cu atribuții în domeniul fiscal.

Scenariul este mereu același: dacă nu plătești rapid „restanțele”, vei primi amenzi și penalități mai mari. Atacatorii mizează pe frică și urgență, forțând victima să acționeze în grabă, fără să verifice informațiile, de teamă să nu rămână cu taxe neplătite și probleme suplimentare.

Prima fază a atacului: Emailul fals

Totul începe cu un email fals, trimis de pe adrese care nu aparțin ANAF. Adresele oficiale ale instituției folosesc exclusiv domeniile @mfinante.ro sau @anaf.ro. Orice altă variantă nu este legitimă. ANAF nu va trimite niciodată mesaje de pe adrese personale, nominale sau de pe servicii publice precum @gmail.com, @yahoo.com sau altele similare.

Exemple de adrese folosite în aceste campanii: [email protected], [email protected], [email protected].

Așa cum se întâmplă în majoritatea atacurilor de acest tip documentate până acum, modul de operare este unul bine cunoscut. Atacatorii folosesc infrastructuri deja compromise: servere de email sau site-uri sparte anterior, iar uneori chiar adrese false de Gmail sau Yahoo. De pe acestea trimit în masă mesaje către liste de email obținute din alte campanii de spam, phishing, breșe de date sau baze de date compromise.

Mesajele sunt redactate generic și construite în jurul unei urgențe artificiale, tocmai pentru a grăbi victima și a-i distrage atenția de la detaliile care ar putea trăda înșelătoria.

A doua fază a atacului: Pagina de phishing

Odată ce utilizatorul apasă pe butonul sau linkul din email, este redirecționat către o pagină falsă, care nu aparține ANAF. În cazurile analizate de noi, victimele ajungeau pe domenii precum anaf-ro.web.app, scanned.page, anaf.life sau headlinemonitor.com. Deși unele dintre acestea conțin cuvântul „anaf” în denumire, ele nu au nicio legătură cu domeniul oficial anaf.ro.

Pentru a ocoli filtrele de securitate la nivel de email și pentru a îngreuna detectarea, atacatorii folosesc frecvent servicii de redirecționare, precum bit.ly sau platforme similare.

Odată ajuns pe pagina de phishing, utilizatorul poate întâlni mai multe variante de interfață, însă toate urmăresc același tipar: copiază sigla și identitatea vizuală ANAF și solicită date sensibile, precum CNP-ul, numărul de telefon, adresa de email, informațiile cardului bancar sau alte date personale.

Scopul final este de colectare de date personale ce pot fi folosite în ulterioare atacuri sau uneori chiar colectarea cardurilor și extragerea unor sume de bani direct.

Faza finală a atacului: Scam-uri ulterioare sau golirea cardurilor

Odată ce datele sunt introduse în pagina de phishing, în practică apar două scenarii principale folosite de atacatori.

În primul caz, ți se cer direct datele cardului. Atacatorii inițiază rapid o plată și solicită confirmarea prin codul primit prin SMS sau aplicația de autentificare, sub pretextul achitării unor „diferențe de taxe”. Sumele sunt, de obicei, mici – între 2 și 50 de lei – tocmai pentru a nu ridica suspiciuni.

În al doilea scenariu, datele nu sunt folosite imediat. Ele sunt păstrate și valorificate ulterior, prin apeluri telefonice repetate în care atacatorii se dau drept reprezentanți ai băncii tale. Cunoscând deja informații personale reale, reușesc să pară credibili și să câștige încrederea victimei. De aici, escrocheriile pot lua mai multe forme: te anunță că cineva încearcă să facă un credit pe numele tău și te conving să efectuezi anumite tranzacții „de securizare”, sau îți cer să instalezi aplicații pe telefon, prin care obțin acces de la distanță și golesc conturile.

Exemplele pot continua. Cert este că, odată compromise, datele personale sau bancare ajung în baze de date folosite și reutilizate de rețele de atacatori, care vor încerca în timp numeroase metode de fraudare.

Cum te poți proteja?

În fața acestui tip de atacuri, câteva măsuri simple pot face diferența. Nu țin de cunoștințe avansate de securitate, ci de atenție și verificare.

În primul rând, verifică mereu expeditorul. Emailurile care pretind că vin de la ANAF trebuie să provină exclusiv de pe domeniile @anaf.ro sau @mfinante.ro. Orice altă adresă este un semnal clar de alarmă.

Nu accesa niciodată linkurile din astfel de mesaje. Dacă ai dubii legate de o plată sau o notificare, intră manual pe site-ul oficial, căutându-l în Google, sau folosește adresa salvată deja în browser. Linkurile din email sunt cea mai frecventă capcană.

Fii extrem de atent la mesajele care creează presiune. Urgența, amenințările cu amenzi sau penalități și cererile de plată „imediată” sunt tactici clasice de manipulare. Instituțiile statului nu cer date sensibile sau plăți urgente prin email.

Nu furniza niciodată date personale sau bancare prin formulare primite pe email. ANAF și băncile nu solicită CNP, date de card sau coduri de confirmare prin astfel de canale.

Validează informațiile printr-o a doua sursă. Sună direct la instituția respectivă folosind un număr oficial, verifică Spațiul Privat Virtual sau discută cu banca ta prin aplicația oficială. Nu folosi datele de contact din emailul suspect.

În final, păstrează o doză sănătoasă de suspiciune. Dacă un mesaj pare „prea urgent”, „prea grav” sau „prea simplu”, oprește-te un moment și verifică. Graba este principalul aliat al atacatorilor, iar atenția rămâne cea mai eficientă formă de protecție.

Indicatori și referințe

https://www.euronews.ro/articole/emailuri-false-trimise-in-numele-anaf-pentru-a-fura-bani-din-conturi-sau-date-per
[email protected]
https://www.headlinemonitor.com/SicakHaberMonitoru/Redirect/?url=httpst.co3JTI8HrbpA
[email protected]
Anaf.life
https://anaf.life/declaratie
https://anaf-ro.web.app/public/index.html
[email protected]
https://web.archive.org/web/20250322224706/https://anaf-ro.web.app/public/index.html

The post Emailuri false în numele ANAF. Phishing la plata taxelor. first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

Cum să detectezi „cabanele fantomă” și ofertele fictive din turismul de iarnă. Revelion în siguranță.

Muresan Alin — Wed, 24 Dec 2025 18:13:14 +0000

Context

Sărbătorile de iarnă declanșează un fenomen psihologic bine documentat în rândul specialiștilor în securitate cibernetică: Urgența Artificială. Pe măsură ce disponibilitatea cabanelor din zone populare precum Poiana Brașov, Predeal sau satele tradiționale din Maramureș scade, utilizatorii tind să ignore semnele de alarmă în speranța de a „prinde” o ultimă ofertă convenabilă.

Atacatorii cibernetici au evoluat dincolo de simplele anunțuri postate pe grabă. În sezonul 2024-2025, observăm un mix sofisticat de inginerie socială, automatizare prin AI și platforme de publicitate legitime folosite pentru a crea iluzia unei afaceri sigure.

La Hackout, am analizat mecanismele din spatele acestor „țepe” de sezon pentru a te ajuta să rămâi în siguranță.

1. Anatomia unei „Cabane Fantomă”: Dincolo de pozele spectaculoase

Schema începe, invariabil, cu elementul vizual. Escrocii descarcă fotografii de înaltă rezoluție de pe platforme imobiliare de lux din țări precum Elveția, Austria sau chiar din portofoliile unor arhitecți de renume. Acestea sunt prezentate ca fiind locații din România, la prețuri care sfidează logica economică a sezonului de vârf.

O metodă tot mai des întâlnită este multi-rezervarea fictivă. Atacatorul închiriază aceeași locație inexistentă către 10-20 de grupuri diferite pentru același interval de Revelion. Fiecare grup trimite un avans generos (între 30% și 50%), iar „proprietarul” menține comunicarea activă pe WhatsApp până în pragul sărbătorilor, când toate numerele de telefon sunt dezactivate simultan.

Exemple reale: Percheziții la Șotrile și „fantomizarea” Predealului: Când vacanța se termină la Poliție

Anul acesta, escrocheriile nu mai sunt doar povești pe forumuri, ci dosare penale cu intervenții ale mascaților. Recent, pe 18 decembrie, liniștea din localitatea Șotrile (Prahova) a fost spartă de polițiștii care au descins la locuința unui tânăr de 26 de ani.

Acesta reușise să convingă familii din București și Teleorman să-i vireze avansuri de câte 4.000 de lei pentru o vilă superbă în Săcele. Metoda era simplă și brutală: poze „împrumutate” de pe net, o voce convingătoare la telefon și o dispariție subită imediat ce confirmarea de plată apărea în aplicația bancară. (Sursa: ProTV)

Nici Predealul nu a scăpat de „infecția” fraudelor. Cazul „Cabana Volcri” a lăsat 15 prieteni în stradă. Deși anunțul arăta impecabil, un detaliu tehnic ar fi putut salva situația: pagina de Facebook era administrată dintr-o locație din Vietnam. Pozele? Aparțineau unei cabane reale, dar situată la sute de kilometri distanță, în Bucovina. (Sursa: Antena 3 CNN)

Sfat Hackout: Dacă o cabană de lux pentru 12 persoane este disponibilă cu doar trei săptămâni înainte de Revelion la un preț de „early booking”, probabilitatea unei fraude este de peste 95%. Cererea în această perioadă depășește cu mult oferta reală.

Inteligența Artificială, noul „complice” din spatele recenziilor perfecte

Dacă înainte recunoșteai o țeapă după greșelile gramaticale, astăzi, grație AI-ului, textele sunt impecabile. DNSC avertizează că atacurile de tip phishing au crescut cu 900% în calitate.

Escrocii folosesc acum ChatGPT pentru a genera mii de recenzii false, extrem de specifice. Nu mai scriu doar „a fost frumos”, ci detalii care să te prindă: „Am apreciat că gazda ne-a lăsat lemne de fag gata tăiate pentru grătar și că ciubărul era deja la 38 de grade când am ajuns”. Totul este generat sintetic pentru a-ți dezarma instinctul de conservare.

Mai mult, aceștia cumpără pe „piața neagră” conturi de Facebook vechi de 10-15 ani. Când vezi un anunț postat de un profil creat în 2012, tinzi să ai încredere. În realitate, este doar un cont furat și „curățat” special pentru sezonul de iarnă.

Capcana din interiorul Booking.com: Tactica „ClickFix”

Poate cea mai perfidă metodă de anul acesta vizează chiar platformele mari. Nu mai ești scos de pe site, ci ești atacat direct în chat-ul oficial al aplicației.

Cum funcționează? Atacatorii infectează calculatorul unui hotel real cu un malware (infostealer). Odată ce au acces la panoul de administrare, îți trimit un mesaj oficial: „Plata a eșuat. Reintrodu datele cardului în 2 ore sau pierzi rezervarea”.

Deoarece mesajul vine de la hotelul unde chiar ai rezervat, pe canalul oficial, mulți turiști cad în capcană și își introduc datele bancare pe o pagină clonă care arată identic cu Booking.com. (Sursa: DNSC)

2. Ingineria Socială: Furtul de date și recenziile AI

Atacatorii nu vor doar banii tăi, ci și datele tale de identitate. Sub pretextul întocmirii unui „contract legal de închiriere”, aceștia solicită adesea fotografii ale buletinului. Aceste date sunt ulterior tranzacționate pe forumurile de Dark Web sau folosite pentru a crea identități false în alte scheme de fraudă online.

Mai mult, pentru a combate scepticismul, escrocii folosesc Inteligența Artificială pentru a genera sute de recenzii pozitive care par autentice. Acestea includ detalii specifice („gazda a lăsat lemne suficiente pentru ciubăr”, „drumul a fost curățat de zăpadă”), menite să creeze o falsă stare de siguranță pentru potențiala victimă.

3. Mecanismul de plată și rolul „Money Mules”

Este esențial să înțelegem de ce escrocii insistă pe transferul bancar direct (IBAN) sau transferuri tip Revolut către numere de telefon. O plată efectuată prin card pe o platformă securizată permite procedura de chargeback (recuperarea sumei în caz de fraudă). Transferul bancar autorizat de tine, însă, este aproape imposibil de anulat.

Banii ajung de obicei în conturile unor „Money Mules” (cărăuși de bani) — persoane care își închiriază conturile bancare către rețelele criminale. De acolo, fondurile sunt transferate imediat în criptomonede sau retrase la bancomate din alte orașe sau chiar țări, făcând urma banilor imposibil de urmărit în timp util pentru bănci.

4. Checklist Tehnic: Verificări obligatorii înainte de orice plată

Nu te baza pe instinct; folosește instrumente digitale pentru a valida orice ofertă care pare prea bună pentru a fi adevărată:

Verificarea Domeniului (Whois): Folosește site-uri precum ro sau who.is. Dacă agenția pretinde că este pe piață de 5 ani, dar site-ul a fost înregistrat acum 14 zile, oprește orice interacțiune.
Căutare Inversă de Imagini: Încarcă pozele cabanei în Google Lens. Dacă aceeași casă apare ca fiind un hotel de lux din Alpii Elvețieni, ai confirmat frauda.
Verificarea CUI-ului (Cod Unic de Înregistrare): Dacă ți se oferă o factură proformă, verifică firma pe portaluri de tip ro. Verifică dacă obiectul de activitate are legătură cu turismul și dacă firma nu este recent înființată sau radiată.
Google Street View: Caută adresa exactă. Dacă la locația indicată Street View arată un teren viran sau o construcție în paragină, escrocheria este evidentă.

Tipuri de phising:

Atenție la mesajele care vin prin WhatsApp/SMS sub masca platformelor mari (Booking/Airbnb) cerând „re-validarea cardului” printr-un link extern pentru a nu pierde rezervarea de Revelion. Nicio platformă serioasă nu cere acest lucru. Link-ul te va duce pe o pagină clonă creată special pentru a-ți capta datele bancare în timp real.

În 2025, scammerii de Revelion au bugete de marketing, tehnologie AI și o răbdare infinită să te mintă. Nu trimite niciodată poze cu buletinul prin WhatsApp și rămâi mereu în interiorul platformelor de plată securizate.

Atenție la siguranța ta! În universul digital, un strop de scepticism este cea mai eficientă metodă de protecție.

Sărbători fericite în siguranță!

The post Cum să detectezi „cabanele fantomă” și ofertele fictive din turismul de iarnă. Revelion în siguranță. first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

React2Shell: vulnerabilitate RCE critică în React / Next.js descoperită – actualizează imediat!

Echipa Hackout.ro — Sat, 06 Dec 2025 16:48:07 +0000

Echipa Hackout.ro lucrează activ în aceste zile pentru a identifica website‑urile care folosesc tehnologia afectată, iar atunci când descoperim astfel de cazuri încercăm să contactăm proprietarii prin email pentru a-i informa.

Dacă citești acest mesaj și ai primit deja un email de la noi, găsești mai jos ce trebuie să faci și cum să înțelegi situația. Vă rugăm să distribuiți mai departe aceste resurse, pentru a ajuta la limitarea impactului vulnerabilității.

Introducere

Pe 3 decembrie 2025, echipa React a publicat un avertisment de securitate privind o vulnerabilitate gravă (scor CVSS 10.0) în implementarea server-side a React Server Components (RSC). Vulnerabilitatea, cunoscută sub numele „React2Shell”, permite executarea de cod arbitrar pe servere fără autentificare, printr-o simplă cerere HTTP POST.

Aceasta afectează nu doar React, ci şi framework-uri ce se bazează pe RSC, în special Next.js, ceea ce o face una dintre cele mai serioase amenințări recente pentru aplicațiile web moderne.

Ce este React2Shell / CVE-2025-55182 și CVE-2025-66478

Identificatori: CVE-2025-55182 pentru React, respectiv CVE-2025-66478 pentru Next.js.
Severitate: scor maxim, CVSS 10.0 – vulnerabilitate „critical” / „maximum severity”.
Componente / versiuni vulnerabile:
- Pentru React: pachetele react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack în versiunile 19.0.0, 19.1.0, 19.1.1, și 19.2.0.
- Pentru Next.js (App Router): versiunile 15.x și 16.x – precum și versiuni canary începând cu 14.3.0-canary.77.
Atenție: chiar dacă aplicația ta nu definește explicit “Server Functions”, dacă folosește React Server Components sau o versiune Next.js afectată, este potențial vulnerabilă.

Impactul și riscul existent

Prin compromiterea serverului, un atacator ar putea avea acces complet la filesystem, baze de date, credențiale interne, instaleze backdoor-uri, malware sau să exfiltreze date sensibile.
Potențialul de exploatare este foarte ridicat – chiar un “hello world” creat cu create-next-app, în varianta de producție, fără modificări extra, poate fi vulnerabil.
Conform estimărilor din industria cloud, o proporție semnificativă de medii (“workloads”) în producție rulează React/Next.js – ceea ce sugerează că expunerea este largă.

Cum poți testa aplicația ta dacă este vulnerabilă?

Instalezi Nuclei: https://docs.projectdiscovery.io/opensource/nuclei/install
Actualizezi lista de templates din nuclei cu comanda: nuclei -update
Descarcă template-ul pentru React2Shell: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-55182.yaml
Rulează comanda:
- nuclei -u https://siteultau.ro -t ~/locatia-fisierului/CVE-2025-55182.yaml

Recomandări — ce să faci acum

Inventariază toate aplicațiile care folosesc React / Next.js / RSC în organizația ta, verifică package.json, package-lock.json / yarn.lock ca să identifici pachetele vulnerabile (react-server-dom-*, Next.js 15.x/16.x, canary 14.3.0+ etc.).
Actualizează imediat – pachetele cu patch sunt deja disponibile:
1. React: versiunile 19.0.1, 19.1.2, 19.2.1 conțin fix-ul.
2. Next.js: versiunile fixate sunt 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 și 16.0.7.
Dacă nu poți patch-ui imediat: dezactivează temporar „Server Functions” / RSC .
Implementează WAF (firewall aplicațional web) care filtrează tiparele cunoscute de exploit.

Concluzie

Vulnerabilitatea React2Shell (CVE-2025-55182 / CVE-2025-66478) este o avertizare serioasă pentru toți cei care folosesc React/Next.js cu Server Components. Din fericire, patch-urile există deja – dar timpul joacă împotrivă: fiecare moment fără actualizare crește riscul de compromis. E momentul să verifici toate aplicațiile, să actualizezi, și să implementezi mecanisme de protecție suplimentare. Informarea la timp și acțiunea rapidă pot preveni un dezastru.

Surse

The post React2Shell: vulnerabilitate RCE critică în React / Next.js descoperită – actualizează imediat! first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

Slăbiciunile care lasă organizațiile expuse atacurilor cibernetice

Vlad Vlaicu — Mon, 01 Sep 2025 16:45:33 +0000

Compromiterea credențialelor și atacurile de exfiltrare a datelor rămân cele mai mari puncte slabe în apărarea cibernetică, conform celui mai nou raport Picus.

Ca profesioniști în securitate cibernetică, ne concentrăm adesea pe identificarea celor mai complexe vulnerabilități și a celor mai avansate tehnici de atac. Ne uităm la zero-day-uri, la exploit-uri sofisticate sau la campanii APT foarte bine coordonate. Cu toate acestea, realitatea arată că cele mai eficiente atacuri nu se bazează pe aceste metode avansate, ci pe puncte aparent banale: parole slabe și conturi compromise.

În ciuda investițiilor masive în infrastructură, tehnologii moderne și a eforturilor constante de conștientizare, raportul Picus Blue 2025 arată că organizațiile continuă să întâmpine dificultăți în două zone fundamentale: prevenirea spargerii de parole și detecția conturilor valide abuzate de atacatori. Datele prezentate evidențiază un contrast îngrijorător între nivelul avansat al apărărilor implementate și eficiența lor în fața unor tehnici de atac atât de vechi și banale, dar încă extrem de eficiente.

Creșterea alarmantă a atacurilor prin credențiale slabe

Ediția 2025 a Picus Blue Report, care este bazată pe cel puțin 160 de milioane de simulări de atacuri, scoate la iveală o realitate îngrijorătoare: – În 46% dintre mediile testate, cel puțin o parolă (hash) a fost spartă cu succes și transformată în text clar, față de 25% anul trecut. Acest lucru evidențiază folosirea unor politici slabe pentru parole și algoritmi de hashing depășiți. – Atacurile care folosesc conturi valide (Valid Accounts – MITRE ATT&CK T1078) au avut o rată de succes de 98%, fapt ce confirmă că autentificarea slab protejată rămâne una dintre cele mai exploatate metode de acces.

Cifrele acestea ne arată cât de ușor pot atacatorii să se infiltreze și să rămână nedetectați odată ce reușesc să pună mâna pe un set de credențiale valide.

Data exfiltration: un blind spot periculos

Raportul mai evidențiază încă o problemă critică: metodele de prevenire a exfiltrării datelor au scăzut la doar 3% eficiență, față de 9% în 2024.

Această scădere dramatică vine într-un moment în care: – atacurile de tip double-extortion ransomware (furt și publicare de date) sunt în creștere, – iar infostealer-ele s-au triplat în ultimul an, conform Red Report 2025.

Cu alte cuvinte, organizațiile sunt tot mai expuse la furtul de informații sensibile, fără să aibă soluții eficiente pentru a-l detecta sau opri.

Ransomware: BlackByte rămâne cel mai periculos

Ransomware-ul rămâne o preocupare de top, iar varianta BlackByte continuă să fie cea mai dificilă de prevenit, având o rată de succes a prevenției de doar 26%. După aceasta, urmează BabLock (34%) și Maori (41%). Aceste familii de ransomware se remarcă prin viteza cu care exploatează aplicațiile expuse public și prin tehnici de ‘double-extortion’, combinând exfiltrarea datelor cu criptarea acestora pentru a crește presiunea asupra victimelor.

Unde s-au înregistrat progrese

Sunt însă și vești bune. Simulările Attack Path Validation (APV) realizate de Picus arată o îmbunătățire vizibilă în apărarea infrastructurii interne: – compromiterea conturilor de domain administrator a scăzut de la 24% în 2024 la 19% în 2025, – iar accesul efectiv la privilegii de domain admin a scăzut de la 40% la 22%.

Rezultatele sugerează o segmentare mai bună a rețelelor și o utilizare mai matură a practicilor de validare a identității.

Recomandări cheie pentru organizațiile din România

Pentru a reduce aceste vulnerabilități, raportul celor de la Picus recomandă: 1. Validarea continuă a expunerilor – nu doar inventarierea lor, ci testarea exploatabilității reale. 2. Consolidarea apărării împotriva exfiltrării de date prin soluții Data Loss Prevention (DLP), monitorizarea traficului outbound și detecție comportamentală. 3. Politici stricte de parolare și eliminarea algoritmilor de hashing învechiți. 4. Adoptarea MFA la scară largă, nu doar pentru conturile privilegiate. 5. Testarea constantă a controalelor de securitate pentru a identifica degradările în timp. 6. Îmbunătățirea pipeline-ului de detecție – creșterea acoperirii log-urilor și transformarea lor în alerte acționabile.

Concluzie

Picus Blue Report 2025 transmite un mesaj clar: chiar dacă există progrese în anumite zone, lipsa unor controale eficiente asupra parolelor și exfiltrării datelor lasă organizațiile extrem de vulnerabile.

Pentru companiile din România, unde digitalizarea rapidă aduce beneficii dar și riscuri ridicate, acest raport este o lectură obligatorie. Investițiile în validare continuă, politici stricte de identitate și controale de date nu mai sunt opționale – ele sunt esențiale pentru a preveni următorul incident major.

“Organizațiile trebuie să adopte o mentalitate de”assume breach”, pornind de la ideea că eșecul este posibil la fiecare nivel al apărării și că aceste slăbiciuni trebuie descoperite înaintea adversarilor.” – Picus Blue Report 2025

The post Slăbiciunile care lasă organizațiile expuse atacurilor cibernetice first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

Investigație: Coduri QR false pe panourile pentru parcări

Gabriel Puiu — Sun, 27 Jul 2025 15:05:58 +0000

TL;DR:

Pe 25 iulie 2025, au apărut sesizări privind stickere care au înlocuit codurile QR oficiale de plată din parcările din București. Noile coduri redirecționau utilizatorii către un site malițios, unde datele bancare introduse erau colectate și folosite pentru tranzacții frauduloase. Echipa noastră a analizat unul dintre codurile QR și a identificat mai mulți indicatori de compromitere (vezi la finalul articolului).

Intro

Pe 25 iulie, în mai multe parcări din centrul Bucureștiului, câteva stickere aparent inofensive au trecut complet neobservate de majoritatea șoferilor. În realitate, acele bucăți de hârtie acopereau codurile QR originale folosite pentru plata parcării și le înlocuiau cu unele care redirecționau utilizatorii către un website controlat de atacatori. Ce a urmat e un exemplu clar de cum ingineria socială, combinată cu infrastructură web malițioasă, poate transforma un gest banal – scanarea unui cod QR – într-un risc serios de fraudă financiară. În acest articol detaliem cum funcționează atacul, ce am descoperit în urma analizei tehnice și ce indicatori pot ajuta la detectarea acestui tip de abuz.

Surse inițiale

https://www.youtube.com/watch?v=xvm2Ziot9ys
Observator news
https://www.youtube.com/watch?v=HIZ51D2fOS4
Conform Poliției Capitalei au fost identificate panouri cu stickere false în următoarele zone: Piața Amzei, CEC – Judecătorie, Eforie, Brezoianu, Ion Câmpineanu.

Codurile QR

Atacatorii au folosit stickere albe aplicate direct peste codurile QR originale de pe panouri (figura 1). Deși bine aliniate, acestea păreau lipite în grabă — multe erau deja parțial dezlipite sau prezentau urme vizibile de deteriorare.

La scanare, codurile false nu redirecționau către platforma oficială de plată (https://pay.qport.app/p/cmpb), ci către un link generat prin scanned.page — un serviciu gratuit de creare și gestionare a codurilor QR. Acest URL ( https[:]//scanned.page/p/685b040e3a87f ) intermediar permitea atacatorului să modifice oricând destinația finală de redirecționare.

Până pe 26.07.2025, ora 02:00 AM, redirecționarea ducea către un site malițios (https[:]//209-38-122-248.cprapid.com); ulterior, redirectul a fost înlocuit cu linkul legitim QPort, semn că atacatorul a încercat să șteargă urmele și să închidă campania.

Platforma web

După scanare, utilizatorul era redirecționat către https[:]//209-38-122-248.cprapid.com. Pe lângă aspectul evident suspect al linkului, domeniul principal — cprapid.com — aparține infrastructurii CPanel, folosită pentru administrarea conturilor de hosting. Subdomeniul 209-38-122-248 este generat automat de CPanel și corespunde direct adresei IP a serverului care găzduia site-ul malițios: 209.38.122.248.

Pagina de la adresa https[:]//209-38-122-248.cprapid.com (vezi 2) imita identitatea vizuală a platformei PayByPhone — un serviciu legitim de plată a parcării disponibil în țări precum UK, Franța, Germania, Elveția, Italia, SUA și Canada. Deși acest serviciu nu operează în România, atacatorul a folosit sigla și designul pentru a părea credibil.

Site-ul afișa un formular în care utilizatorul introducea durata dorită pentru parcare (cu un preț vizibil mai mic decât cel real din București), numărul de înmatriculare și datele cardului bancar. După completare, era afișată o scurtă animație de încărcare, urmată de o solicitare de „validare a tokenului”. În realitate, datele cardului erau deja transmise, iar atacatorii le foloseau pe un alt site, în paralel, pentru a efectua plăți frauduloase.

Infrastructura atacului

Adresa IP 209.38.122.248 este un server VPS linux – ubuntu -localizat în India pe infrastructura DigitalOcean. La momentul analizei, singurele porturi deschise erau cele standard pentru CPanel, semn că instanța era minim configurată.

Atacul s-a bazat pe mai multe endpointuri web active:

https[:]//209-38-122-248.cprapid.com/index.php
https[:]//209-38-122-248.cprapid.com/gate.php
https[:]//209-38-122-248.cprapid.com/admin.php

În plus, serverul conținea resurse statice organizate în două directoare:

/img/ – conținea logo-urile: tpark, PayByPhone, Visa, American Express
/files/ – conținea fișiere precum app.css, audio.mp3, engine.js și NeutrinoAPI.php (figura 3)

Endpointul admin.php era restricționat și nu a putut fi accesat direct. Presupunem că servea drept interfață de administrare pentru atacator, posibil utilizată pentru monitorizarea activității și gestionarea datelor colectate. Accesul părea condiționat de parametri suplimentari sau autentificare.

Datele bancare completate în formularul din index.php erau transmise către endpointul gate.php. După trimitere, browserul iniția periodic requesturi către același endpoint, aparent pentru a verifica dacă serverul returnează un răspuns sau comandă nouă (figura 5) – fiecare parametru avea o comandă definită – vezi conținutul fișierului javascript mai jos.

Analiza codului sursă din index.php și /files/engine.js a evidențiat logica din spatele fluxului de interacțiune și a parametrilor utilizați, dar și mai multe comentarii scrise în limba română — un indiciu relevant privind localizarea autorului (figurile 6 și 7).

Pentru corelare, am investigat alți indicatori asociați cu gate.php, index.php și infrastructura cprapid.com. Am descoperit campanii (figurile 8, 9 și 10) similare datând din 2021 și 2025, care reutilizau aceleași fișiere (engine.js), dar fără comentarii în română. Cel mai probabil, atacatorul a adaptat scripturi și playbookuri deja existente, folosite anterior în alte regiuni, modificându-le pentru contextul local.

Lista completă a indicatorilor ce prezintă elemente similare, alături de codurile sursă ale fișierelor analizate, este disponibilă la finalul articolului.

Userul folosit pe cPanel precum si unul dintre subdomeni erau numite kakat11 (kakat11.209-38-122-248.cprapid.com – figura 11), user pe care il regasim ulterior si pe server, unde exista o baza de date numita: kakat11209381222_kaka1 .

Baza de date

Baza de date kakat11209381222_kaka1 conținea trei tabele: admin_settings, results și visits. Tabela admin_settings avea o singura valoare redirect = https://www.paybyphone.com/, indicând că atacatorul folosea redirectarea către site-ul real PayByPhone — compania pe care o imita vizual, în locul celei oficiale din București.

Tabelele visits și results stocau date despre utilizatori: accesări ale paginii și informațiile cardurilor introduse. Am identificat aproximativ 30 de IP-uri unice și peste 80 de sesiuni, toate înregistrate într-un interval scurt de 2–3 ore. Presupunem că baza de date era curățată periodic, ceea ce face imposibilă estimarea exactă a duratei campaniei sau a numărului total de victime.

Concluzii

Campania analizată nu este una singulară și, cel mai probabil, nici recentă. Am identificat indicatori identici — același design, aceleași fișiere, aceeași structură de atac — în mostre din luna mai 2025. Acest lucru sugerează că atacatorii au reutilizat același kit de phishing într-o altă zonă sau oraș, cu adaptări minime pentru contextul local.

Din analiza codului și a infrastructurii reiese un modus operandi destul de clar: VPS găzduit pe DigitalOcean, instanță CPanel configurată minimal, domenii de forma *.cprapid.com (specifice CPanel) — probabil pentru a evita detecția automată și listele de block. Codul sursă este slab scris, cu erori și implementări rudimentare, semn că a fost adaptat rapid dintr-un playbook extern, fără prea multă înțelegere a funcționalității.

Elementele din comentarii, structura bazei de date și prezența fizică necesară pentru lipirea stickerelor susțin ipoteza că autorii sunt locali. Mai mult, conform informațiilor din presă, autoritățile au deschis o anchetă și au ridicat probe, inclusiv amprente. Rămâne de văzut dacă aceste investigații vor duce la identificarea suspecților.

Este de așteptat ca astfel de atacuri să continue și să se diversifice. Codurile QR au devenit parte din interacțiunea zilnică — în parcări, restaurante, facturi, reclame — ceea ce le face o țintă ideală pentru atacuri de tip phishing fizic. Este important ca utilizatorii să verifice întotdeauna cu atenție adresa web deschisă în urma scanării unui QR, mai ales în contexte ce implică plăți.

Echipa Hackout.ro vă recomandă să rămâneți vigilenți. Orice cod QR scanat trebuie privit cu prudență — verificați cu atenție adresa web înainte de a introduce date personale sau de plată. Dacă aveți dubii, folosiți o metodă alternativă de plată sau verificați informațiile direct pe site-ul oficial al furnizorului. Nu presupuneți niciodată că un cod QR este sigur doar pentru că se află într-un spațiu public.

Indicatori

https[:]//scanned.page/p/685b040e3a87f

Endpoint-uri web:

- https[:]//209-38-122-248.cprapid.com/
- https[:]//209-38-122-248.cprapid.com/gate.php
- https[:]//209-38-122-248.cprapid.com/admin.php
- https[:]//209-38-122-248.cprapid.com/files/engine.js
- https[:]//209-38-122-248.cprapid.com/files/
- https[:]//209-38-122-248.cprapid.com/files/NeutrinoAPI.php

Domenii:

- 209-38-122-248.cprapid.com
- kakat11.209-38-122-248.cprapid.com

IP:

- 209.38.122.248

Indicatori similari / alte campanii:

Coduri sursă:

- Cod sursa engine.js https://pastebin.com/nJtAc2NM
- Cod sursa index web https://pastebin.com/WNiSWAek

The post Investigație: Coduri QR false pe panourile pentru parcări first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

Administratorul XSS.is arestat la Kiev după 12 ani de activitate

Echipa Hackout.ro — Fri, 25 Jul 2025 07:01:02 +0000

Administratorul XSS.is arestat la Kiev după 12 ani de activitate

Kyiv, 22 iulie 2025 — Europol a confirmat arestarea presupusului administrator al forumului XSS.is, unul dintre cele mai vechi și influente huburi de criminalitate cibernetică vorbitoare de limbă rusă. Acțiunea a fost condusă de Poliția Franceză, cu sprijinul autorităților ucrainene și al Europol, în cadrul unei investigații lansate în 2021. (Sursa)

XSS.is (cunoscut anterior ca DaMaGeLaB) funcționa din 2013 și avea peste 50.000 de utilizatori înregistrați. Platforma era considerată unul dintre pilonii infrastructurii rusești de cybercrime, împreună cu Exploit.

Se vindeau aici:

acces la rețele corporate compromise (în special pentru grupări ransomware),
baze de date furate și informații bancare,
kituri de malware și exploit-uri,
servicii precum spălare de bani și DDoS la comandă.

Forumurile dispuneau de reputație internă și escrow — administratorul acționa ca arbitru, blocând fondurile până la confirmarea tranzacțiilor.

Suspectul, un veteran activ de aproape 20 de ani, gestiona nu doar partea tehnică, ci și relațiile de încredere între actori infracționali. Era, de asemenea, implicat în operarea thesecure.biz, o platformă de mesagerie criptată pentru infractori. Profit estimat: 7 milioane euro, din comisioane și publicitate.

Infrastructura forumului, confiscată

Autoritățile au preluat și domeniul clearnet al XSS.is. Vizitatorii sunt întâmpinați de un mesaj de sechestru emis de Brigada de Luptă împotriva Criminalității Cibernetice din Franța, cu sprijinul SBU.

Serverele confiscate conțin:

arhive de mesaje private,
portofele cripto,
adrese IP,
date de login și detalii despre tranzacții.

Acestea sunt o mină de aur pentru forțele de ordine și pot duce la noi arestări în lunile ce urmează.

Dispariția XSS.is produce:

panică în forumurile rivale (precum Exploit),
migrație haotică a utilizatorilor către alte platforme,
restructurare a relațiilor între grupări,
creștere a riscului operațional în comunicare și tranzacții.

Este o lovitură majoră în strategia europeană de demantelare a rețelelor cybercrime, urmând altor acțiuni recente, precum ofensiva împotriva grupului pro-rus NoName057(16).

NoName057(16)

Săptămâna trecută, Europol a anunțat o operațiune ce a vizat infrastructura acestui grup de tip hacktivist pro-rus. Gruparea, activă între 2024–2025, a atacat 3.776 de ținte din UE și Ucraina folosind instrumentul DDoSia, un tool Go-based susținut de voluntari. Printre ținte: guverne, transporturi, media și entități financiare.

Gruparea NoName057(16) este un colectiv pro-rus de tip hacktivist activ din ianuarie 2022, cunoscut pentru campanii masive de atacuri DDoS (nivel rețea și aplicație) împotriva instituțiilor din țări care susțin Ucraina.

Folosește instrumentul DDoSia, un tool Go-based open source, distribuit voluntarilor prin Telegram. Participanții primesc criptomonede ca recompensă.
Ținte principale: guverne, infrastructură publică, presă, transport și sector financiar din Ucraina, Polonia, Franța, Germania, Italia, Suedia, Cehia și Marea Britanie.
SUA, deși un aliat major al Ucrainei, nu a fost vizat în mod semnificativ, semn că grupul prioritizează atacuri în spațiul european.
Infrastructura lor include o rețea multi-tier C2 cu servere Tier 1 rotite frecvent (275 identificate) și Tier 2 protejate prin ACL-uri.
Au capacitate de 50+ ținte zilnic, iar ritmul atacurilor crește în funcție de evenimente geopolitice.
Nu se implică în breșe de securitate sau exfiltrare de date, ci urmărește disruptivitate și propagandă digitală.

Grupul operează public pe canale Telegram, unde anunță țintele și își promovează „succesul”. Activitatea lor este susținută ideologic și mediatic, fiind considerată o extensie informală a operațiunilor hibride ruse.

The post Administratorul XSS.is arestat la Kiev după 12 ani de activitate first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

16 Miliarde de Parole Compromise

Muresan Alin — Fri, 20 Jun 2025 09:35:45 +0000

16 Miliarde de Parole Compromise: Ce Înseamnă Cea Mai Mare Breșă de Securitate din Istorie

Pe 19 iunie 2025, cercetătorii au confirmat cea mai mare scurgere de date din istoria internetului: 16 miliarde de parole și credențiale de autentificare, afectând giganți precum Apple, Google, Facebook, dar și platforme de mesagerie, VPN sau guvernamentale. Dimensiunea acestei breșe este fără precedent și ridică nivelul de risc pentru orice utilizator digital.

Această colecție masivă de date a fost descoperită după o investigație de șase luni. Scurgerea include atât parole noi, neraportate anterior, cât și date de autentificare colectate prin malware de tip infostealer și prin exploatarea unor configurări greșite ale serviciilor cloud. Datele sunt structurate clar (site, utilizator, parolă), ceea ce facilitează exploatarea rapidă de către atacatori.

Cum s-a produs breșa?

Au fost identificate 30 de seturi uriașe de date, fiecare cu zeci de milioane până la peste 3,5 miliarde de înregistrări.
Majoritatea datelor sunt noi, neraportate anterior, colectate prin malware de tip infostealer care extrage parole, cookie-uri și tokenuri de autentificare din browsere și aplicații.
O parte din date provin din expuneri accidentale ale unor servere cloud, unde securitatea a fost configurată greșit.
Datele includ parole simple, dar și tokenuri de sesiune, informații de acces la platforme de dezvoltare, servicii bancare, email, social media și multe altele.

Fenomenul Infostealer: Motorul din Spatele Breșei

Definiția și Funcționarea

Infostealerele reprezintă o categorie de malware specializat în extragerea discretă a informațiilor sensibile de pe dispozitivele infectate. Aceste programe malițioase accesează browserele, managerii de parole și alte aplicații pentru a fura credențiale, cookie-uri de sesiune, tokeni de autentificare și date financiare. Spre deosebire de ransomware, care perturbă în mod evident activitatea sistemelor, infostealerele prosperă în obscuritate, operând fără să fie detectate.

Ecosistemul Criminal

Industria infostealerelor a evoluat într-un ecosistem sofisticat de Malware-as-a-Service (MaaS). Atacatorii de top precum Storm-2477 (dezvoltatorul Lumma Stealer) oferă servicii complete, inclusiv panouri de control pentru construirea binarelor malware și gestionarea comunicațiilor C2. Între martie și mai 2025, Microsoft a identificat peste 394.000 de computere Windows infectate global doar cu malware-ul Lumma.

Creșterea Exponențială

Statisticile din 2024 confirmă o creștere dramatică a atacurilor cu infostealer cu 58%. Check Point Software raportează că 70% dintre toate dispozitivele infectate cu infostealer sunt personale, nu corporative, indicând o strategie deliberată de vizare a politicilor BYOD (Bring Your Own Device). Această tactică permite atacatorilor să acceseze resurse corporative prin puncte de intrare aparent nevinovate.

Cine și ce este afectat?

Parole pentru conturi personale, profesionale și guvernamentale.
Date de autentificare pentru servicii bancare, email, social media, GitHub, Telegram și VPN-uri.
Informații deja comercializate pe dark web la prețuri foarte mici.
Utilizatori din întreaga lume, inclusiv România, unde infrastructura digitală este deja sub presiunea atacurilor de tip phishing și malware.

De ce este atât de grav?

Oricine poate deveni victimă: datele sunt deja folosite pentru preluarea de conturi și campanii de phishing ultra-credibile.
Atacatorii pot accesa conturi personale, email-uri, servicii bancare, rețele sociale, dar și infrastructură profesională sau guvernamentală.
Volumul și diversitatea datelor expuse fac ca riscul să fie persistent și greu de controlat în viitor.
Informațiile sunt deja tranzacționate pe dark web, ceea ce permite chiar și atacatorilor fără resurse mari să le folosească.
Se estimează că această breșă va alimenta atacuri cibernetice sofisticate pentru mulți ani de acum înainte.

Ce poți face acum?

Schimbă parolele la toate conturile importante, în special dacă ai folosit aceeași parolă pe mai multe platforme.
Activează autentificarea cu doi factori (2FA) acolo unde este posibil.
Folosește un manager de parole pentru a genera și stoca parole complexe și unice.
Fii atent la mesajele suspecte care solicită date personale sau acces la conturi.
Verifică dacă ai fost compromis folosind servicii de monitorizare a scurgerilor de date (ex: Have I Been Pwned).
Informează-ți colegii și familia despre riscuri și măsuri de protecție, pentru a limita efectele breșei la nivel de comunitate.

„Această breșă nu este doar un incident tehnic, ci un semnal de alarmă pentru toți utilizatorii digitali. Securitatea nu mai este opțională.”

Breșa de 16 miliarde de parole arată cât de vulnerabilă a devenit infrastructura digitală globală.
Acționează rapid și protejează-ți identitatea digitală!

Referințe

The post 16 Miliarde de Parole Compromise first appeared on Hackout | Portalul Atacurilor Cibernetice din România.

Directiva NIS 2: Ce se schimbă la nivel european și în România

Muresan Alin — Fri, 06 Jun 2025 11:16:11 +0000

NIS 2 – Răspunsul UE la noile riscuri cibernetice

Atacurile cibernetice asupra infrastructurilor critice – spitale, rețele de energie, transport, servicii publice – au devenit tot mai frecvente și mai periculoase. În fața acestor amenințări, Uniunea Europeană a adoptat Directiva NIS 2 (UE 2022/2555), un nou cadru legislativ care își propune să crească nivelul de securitate cibernetică în toate statele membre.

Față de vechea directivă (NIS 1), noul text vine cu schimbări importante:

Mai multe domenii reglementate: de la 7 la 18 sectoare critice, inclusiv alimentație, apă, gestionarea deșeurilor, marketplace-uri online, echipamente medicale și altele.
Clasificare clară a organizațiilor: entități „esențiale” și „importante”, cu obligații și sancțiuni adaptate nivelului de risc.
Reguli stricte pentru raportarea incidentelor: notificare în 24 de ore, raport detaliat în 72 de ore, raport final în 30 de zile.
Sancțiuni mai dure: amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală.

NIS 2 nu este doar o lege – este un pas esențial spre o Europă mai sigură digital, în care atât organizațiile publice, cât și cele private trebuie să trateze securitatea cibernetică ca pe o prioritate.

Transpunerea în România: OUG 155/2024

Prin Ordonanța de Urgență nr. 155/2024, în vigoare de la 31 decembrie 2024, s-au definit entitățile vizate și s-au stabilit obligațiile naționale:

Înregistrare în Registrul național al entităților, administrat de DNSC, în termen de 30 zile de la intrarea în vigoare.
Evaluare și gestionare a riscurilor cibernetice, cu politici și proceduri documentate.
Planuri de continuitate și recuperare după incidente.
Raportarea incidentelor conform graficului UE (24 h / 72 h / 30 zile).
Exerciții periodice (table-top, pen-testing, simulări de phishing).
Training și conștientizare pentru toți angajații.

Exemple de companii vizate

Categoria	Exemple de entități în România
Esențiale	Transelectrica, OMV Petrom, Romgaz, CFR Călători, Metrorex, ANAF, Registrul Comerțului, Spitale de stat
Importante	eMAG, OLX România, Poșta Română, FAN Courier, Apa Nova, Regina Maria, Electrica Furnizare

Notă: Lista completă și criteriile exacte de încadrare se regăsesc în textul OUG 155/2024.

Principalele obligații ale entităților

Analiza de risc: evaluări periodice și actualizarea măsurilor de protecție.
Politici de securitate: autentificare multi-factor, segregarea rețelelor, controlul accesului.
Răspuns la incidente: procese clare și coordonate, cu notificări către DNSC și alte autorități.
Exerciții și teste: simulări practice pentru antrenarea echipelor și verificarea procedurilor.
Formare continuă: sesiuni de training adaptate fiecărei linii de business și niveluri ierarhice.

Cum te pregătești pentru NIS 2

Identifică aplicațiile, serviciile și furnizorii critici.
Revizuiește politicile de securitate. Dacă nu ai, creează unele simple dar conforme (acces, backup, actualizări, răspuns la incidente).
Setează sisteme care detectează incidente și definește pașii de raportare (24h, 72h, 30 zile).
Fă simulări (table-top), phishing de test și pen-testuri. Nu doar tehnic, ci și procedural.
Training constant, teste de conștientizare și scenarii practice.

Directiva NIS 2 și transpunerea sa prin OUG 155/2024 marchează un moment esențial pentru securitatea cibernetică din România. Indiferent dacă operezi într-un minister, o companie de utilități, un furnizor IT sau un retailer online, acum este momentul să-ți aliniezi procesele și să-ți pregătești echipa.

NIS 2 nu este doar „încă o reglementare” este un pas concret spre maturizarea digitală și protejarea reală a infrastructurilor critice din Uniunea Europeană. Impactul se va resimți în lanț: de la organizațiile mari, la furnizori, parteneri și utilizatori finali.

Dacă activezi în IT, securitate sau management, implică-te activ. Este mai eficient și mai sigur să construiești acum o cultură solidă de securitate decât să repari după un incident.

La Hackout.ro, vom continua să oferim informații clare, resurse utile și exemple aplicate pentru a sprijini comunitatea să înțeleagă și să se adapteze la noile cerințe. Împreună putem construi o comunitate digitală mai sigură și mai pregătită.

Link-uri utile

- DNSC – https://dnsc.ro/pagini/ansrsi

- Safeonweb@work – https://atwork.safeonweb.be/nis2

- NIST – https://www.nist.gov/cyberframework

The post Directiva NIS 2: Ce se schimbă la nivel european și în România first appeared on Hackout | Portalul Atacurilor Cibernetice din România.