Bitdefender: Peste un milion de români au primit SMS-uri frauduloase care imită mesajele transmise de FAN Courier, într-o campanie de preluare a conturilor de WhatsApp. Atacatorii cer apoi bani contactelor victimei

Cercetătorii Bitdefender au identificat cea mai mare campanie de înşelătorie online din 2026, în care atacatorii trimit SMS-uri care par să vină de la FAN Courier şi îi direcţionează pe destinatari către un site fals pentru a le prelua contul de WhatsApp

Bitdefender, unul dintre cei mai mari jucători globali de pe piaţa de soluţii de securitate informatică, a identificat o campanie de înşelătorie la scară largă prin care peste un milion de români au primit SMS-uri frauduloase ce imită notificările FAN Courier, liderul pieţei locale de curierat, cu afaceri de 1,55 miliarde de lei în 2025. Atacatorii nu instalează programe maliţioase pe telefonul victimei, ci exploatează un mecanism de inginerie socială (smishing) prin care obţin codul de verificare WhatsApp şi preiau controlul contului, pentru a cere apoi bani persoanelor din lista de contacte. Campania este descrisă de Bitdefender drept cea mai mare operaţiune de fraudă online din România din 2026.

„Campania nu presupune instalarea unei ameninţări informatice pe telefon, ci se bazează pe manipulare psihologică şi pe furtul datelor de acces“, precizează cercetătorii de la Bitdefender.

Schema frauduloasă începe cu un SMS care informează destinatarul că un colet este asociat numărului său de telefon şi că trebuie să aleagă un locker pentru ridicare – o formulare care imită notificările standard ale FAN Courier, companie care operează o reţea proprie de lockere (FANbox) şi care a livrat milioane de colete în 2025, potrivit datelor companiei. Linkul din mesaj conduce către un site care copiază identitatea vizuală a FAN Courier, dar care este găzduit pe un domeniu controlat de atacatori. În paralel, aceştia iniţiază reînregistrarea numărului de telefon al victimei pe un alt dispozitiv. WhatsApp trimite un cod de verificare real pe telefonul victimei, iar pagina falsă solicită introducerea acelui cod sub pretextul confirmării livrării. Odată ce victima introduce codul, atacatorii finalizează procesul de autentificare pe dispozitivul lor şi preiau controlul contului de WhatsApp, potrivit analizei Bitdefender. 

„Victima nu ştie că a autorizat transferul şi nu are nicio ameninţare informatică instalată de către atacatori pe telefon“, subliniază cercetătorii.

A doua fază a atacului este cea care generează câştigul financiar. După preluarea contului, atacatorii contactează persoanele din lista victimei şi le trimit cereri urgente de bani, menţionând de obicei o urgenţă şi promiţând returnarea sumei a doua zi. În unele cazuri, banii sunt direcţionaţi către conturi bancare ale altor persoane care au pierdut, la rândul lor, accesul la conturile bancare în urma altor tipuri de atacuri, conform Bitdefender.