Cuprins
Notă: acesta este un atelier educațional, nu consultanță juridică/bancară/IT. Exersăm comportamente sigure și un plan de răspuns la incidente. În exerciții folosim date anonime/fictive; nu ne autentificăm în conturi reale.
1. Obiectiv general și logica atelierului
Obiectiv: participanții recunosc semnalele de alarmă ale escrocheriilor (SMS/e‑mail/mesagerie/marketplace), aplică autentificare sigură (parole puternice, manager de parole, 2FA/passkeys), știu cum să-și protejeze datele personale (inclusiv în mObywatel/ePUAP) și pot reacționa la un incident și îl pot raporta. Logica: „Phish sau legit?” → harta amenințărilor și semnale de alarmă → practici de autentificare și plăți → date și documente (mObywatel/ePUAP, minimizarea datelor) → planul 5‑15‑60 (reacție) → angajament pe 72 h.
Rezultate finale: 1) CY1 — Catalogul semnalelor de alarmă (afiș A3 + A4), 2) CY2 — Auditul conturilor critice (e‑mail/bancă/social), 3) CY3 — Marketplace & plăți (semnale de alarmă – OLX/Vinted/curier/BLIK), 4) CY4 — Parole, 2FA, passkeys (listă de verificare), 5) CY5 — Date personale: minimizare + utilizare sigură a mObywatel/ePUAP (listă), 6) CY6 — Răspuns 5‑15‑60 (pași + contacte), 7) CY7 — Plan pe 72 h (3 pași pentru următoarele zile), 8) CY‑R — Grilă de evaluare la final.
2. Rezultatele învățării (cunoștințe • abilități • atitudini)
Cunoștințe:
cunoaște cei mai frecvenți vectori de atac (phishing, smishing, vishing, portaluri de plată false, impersonare pe marketplace, „pe BLIK”, „taxă suplimentară la colet”, „angajat bancă/funcționar”);
înțelege bazele autentificării sigure (fraze‑parolă, manager de parole, 2FA/TOTP, chei de securitate/passkeys);
știe ce sunt și la ce folosesc mObywatel (mDowód, certificate) și login.gov.pl/ePUAP (autentificare la servicii publice). Abilități:
identifică cel puțin 8 semnale de alarmă în mesaje/anunțuri;
stabilește un plan de îmbunătățire a autentificării (schimbarea parolelor pentru 3 conturi critice + 2FA);
elaborează procedura 5‑15‑60 de reacție la incident și poate raporta un mesaj suspect;
aplică minimizarea datelor și obiceiuri sigure privind documentele digitale. Atitudini: prudență, „verific la sursă”, dreptul de a spune „STOP – nu dau click” și de a pune întrebări.
3. Parametri organizaționali
Sala: aranjament în U + 4 mese; 2 flipcharturi; proiector; cronometru.
Materiale de tipărit (A4/A3, 1/pers.): CY1–CY7, CY‑R; set de mesaje‑exemplu (PH‑A…PH‑H), machete de ecrane (autentificare, portal de plată, anunț).
Echipament: nu este necesar (opțional: demonstrații pe slide-uri).
Evaluare: Mentimeter PRE/POST (3 întrebări – secțiunea 4).
4. Mentimeter — întrebări (PRE și POST)
„Recunosc semnalele de alarmă în mesaje și pe marketplace.”
„Știu să securizez 3 conturi cheie (parolă + 2FA).”
„Știu cum să reacționez și să raportez un incident (planul 5‑15‑60).”
5. Desfășurare detaliată (180’)
0–10’ Deschidere și reguli (10’)
Obiectiv: siguranță și obiectivele atelierului. Instrucțiuni: prezintă planul și rezultatele; reguli: participare voluntară, nu ne autentificăm în conturi reale, nu partajăm datele altor persoane.
10–25’ Încălzire „Phish sau legit?” (15’)
Obiectiv: să activăm „radarul” și un limbaj comun. Materiale: PH‑A…PH‑H (8 exemple de SMS/e‑mail/mesagerie), CY1. Instrucțiuni: la mese, analizați 8 exemple și pentru fiecare marcați 1–2 semnale de alarmă (de ex. greșeli de scriere, link scurtat, presiune de timp, cerere de date/autentificare, atașament .zip/.exe, expeditor afișat ca număr obișnuit, „taxă suplimentară 1,23 PLN”). Debrief (4’): strângeți TOP‑5 semnale pe flipchart.
25–33’ Mentimeter PRE (8’)
33–65’ MODULUL 1 — Harta amenințărilor și semnale de alarmă (32’)
Obiectiv: să numim cele mai frecvente scheme de atac. Materiale: CY1 (afiș), machete de ecrane. Instrucțiuni: mini‑input scurt (10’) despre tipuri de escrocherii (phishing/smishing/vishing, plăți false, impersonare pe marketplace, „pe BLIK”, „angajat bancă/funcționar”, „taxă suplimentară la colet/energie/amendă”). Exercițiul 1 (8’): potrivește „schemă de atac → semnale de alarmă → ce fac în loc să dau click”. Exercițiul 2 (10’): fiecare masă creează un mesaj‑momeală (fictiv) și îl schimbă cu altă masă pentru analiză (marcați semnalele). Criterii de succes: grupul enumeră min. 8 semnale și 3 acțiuni alternative (de ex. intru manual pe site-ul băncii, sun la numărul oficial, raportez conținutul suspect).
65–95’ MODULUL 2 — Autentificare sigură: parole, 2FA, passkeys (30’)
Obiectiv: să implementăm practici de protecție a conturilor. Materiale: CY4, CY2. Mini‑lecție (8’):
Fraze‑parolă (≥14 caractere, trei cuvinte + semne);
Manager de parole (o singură parolă master + parole unice peste tot);
2FA: ideal aplicație TOTP/cheie (nu SMS, dacă poți);
Passkeys/chei de securitate (FIDO2/WebAuthn) – pe scurt ce sunt și când le folosim. Exercițiu (20’): CY2 – Auditul a 3 conturi critice (e‑mail principal, banking/aplicație de plăți, social):
Bifează dacă ai parolă unică, 2FA, opțiuni de recuperare;
Notează 2 pași pe care îi vei face în 72 h (de ex. schimbarea parolei, activarea 2FA, actualizarea e‑mailului de recuperare). Criterii de succes: fiecare are 3 decizii concrete.
95–105’ PAUZĂ (10’)
105–135’ MODULUL 3 — Marketplace și plăți: BLIK, curier, OLX/Vinted (30’)
Obiectiv: să neutralizăm cele mai frecvente escrocherii la cumpărare‑vânzare. Materiale: CY3, machete ale portalului de plată și ale chatului. Instrucțiuni:
Model de atac (6 pași): 1) Inițierea contactului (chat); 2) Link în afara platformei; 3) Presiune de timp („transferul a plecat deja!”); 4) Cerere de date ale cardului/parole/BLIK; 5) Pagină de plată falsă; 6) Furt de fonduri.
Reguli pentru un marketplace sigur:
Plăți doar prin mecanismul integrat al platformei;
Nu oferi codul BLIK și nu accepta „transferuri de retur”;
Nu da click pe linkuri din chat;
Ridicare personală/platã la livrare acolo unde are sens;
Păstrează dovezi ale conversației/anunțului – fă capturi de ecran. Exercițiu (15’): parcurge lista CY3 pentru două scenarii (vând/cumpăr) și marchează unde vei opri conversația. Criterii de succes: participantul poate indica 3 momente STOP și 2 alternative sigure.
135–160’ MODULUL 4 — Date și documente: mObywatel / ePUAP / minimizare (25’)
Obiectiv: utilizarea sigură a identității digitale și a datelor. Materiale: CY5 (listă de verificare), slide cu macheta aplicației. Domeniu:
Minimizarea datelor: partajează doar informațiile necesare; nu trimite scanuri de documente pe chat/e‑mail fără nevoie; regula „fără scanuri de documente în anunțuri”.
mObywatel (mDowód): ce este și unde îl poți folosi de obicei; certificatele din aplicație — ține minte valabilitatea lor; nu face capturi ale documentelor pentru a le trimite altora.
login.gov.pl/ePUAP: poarta de acces către servicii publice; regula: intru mereu prin adresa tastată manual sau de pe site-ul oficial; nu introduc parole după ce am dat click pe un link dintr-un mesaj.
PESEL: dacă ai temeri legate de abuz, ai grijă de statut (verificare/restricționare) și amintește-ți să ridici restricția doar pentru timpul necesar semnării unui contract. Exercițiu (10’): CY5 – lista „ce, cui și cum”: 5 situații (închiriere, recrutare, ridicare colet, vizită la clinică, instituție) – bifează ce date sunt necesare și ce nu divulgi.
160–172’ MODULUL 5 — Răspuns 5‑15‑60 + raportare (12’)
Obiectiv: pași concreți după un „click”/suspiciune de escrocherie. Materiale: CY6 (fișa de răspuns). Procedura 5‑15‑60:
În 5 minute: deconectează internetul (mod avion/dezactivează Wi‑Fi), nu mai oferi alte date, fă o captură de ecran;
În 15 minute: schimbă parola contului, activează/schimbă 2FA, verifică ultimele autentificări; sună la linia băncii și blochează plățile/cardul, dacă este relevant;
În 60 de minute: raportează incidentul prin formular/numere oficiale; dacă s-au pierdut bani/date — depune sesizare (bancă/poliție) și asigură dovezile. Exercițiu (5’): completează CY6 cu propriile numere și puncte de raportare (bancă/ONG/universitate).
172–178’ Mentimeter POST + Plan pe 72 h (6’)
Instrucțiuni: aceleași 3 întrebări; pe CY7 notează 3 pași pentru următoarele 72 h (de ex. „schimb parola la e‑mail”, „activez 2FA”, „șterg vechile scanuri de documente din telefon”).
178–180’ Încheiere (2’)
Ce ar trebui să se întâmple: fotografierea flipcharturilor și a posterelor (fără date personale), reamintire: nu ne autentificăm prin linkuri, raportăm mesajele suspecte; mulțumiri.
6. Bune practici de facilitare
Limbaj simplu, scurt și concret; arată pe machete, nu pe conturi reale.
Modelează comportamentele: „intru manual pe site-ul băncii”, „verific la numărul oficial”, „nu trimit scanuri de documente”.
Normalizează reacția STOP: îndoieli → pauză → verificare prin canal oficial.
Empatie: fără rușine dacă cineva a „dat click” — importantă este reacția rapidă și raportarea.
7. Adaptări, plan B, variante
Barieră lingvistică: pictograme în CY1–CY6, fraze scurte PL/UA/EN în paranteze; perechi mixte lingvistic.
Mai puțin timp (120’): scurtează M1 (20’), M2 (20’), M3 (20’), M4 (15’), M5 (10’); lasă CY7 ca temă pentru acasă.
Mai mult timp (+30’): adaugă un mini‑modul „Confidențialitate pe rețelele sociale” (setări de profil, vizibilitate, autentificare în doi pași, limitarea publicării locației/familiei).
8. Evaluare și indicatori pentru raport
Mentimeter PRE/POST — 3 întrebări.
Produse: CY1–CY7 completate (foto/scan).
Grila CY‑R (0–2 puncte/criteriu, max 10):
Recunoașterea semnalelor (M1)
Plan de conturi și 2FA (M2)
Marketplace – decizii STOP (M3)
Minimizarea datelor (M4)
Reacția 5‑15‑60 + contacte (M5) Interpretare: 0–3 început; 4–7 solid; 8–10 gata de implementare.
Materiale de tipărit
Fiecare fișă are butonul Tipărește — vei tipări doar elementul selectat.
- Link scurtat/domeniu străin
- Presiune de timp („imediat”)
- Greșeli de limbă/literă greșită
- Cerere de autentificare/furnizare date
- Atașament .zip/.exe
- Expeditor afișat ca număr obișnuit
- Mutarea conversației în afara platformei
- Plată „în afara sistemului”
- Promisiune de câștig/rambursare
- Cerere de cod BLIK.
Cont | Parolă unică? (✓) | 2FA? (TOTP/cheie) | Contact de recuperare | Ce voi îmbunătăți în 72 h (2 pași)
- Vând: link pentru „încasarea fondurilor”, cerere de card/BLIK, cerere de autentificare; Cumpăr: cerere de plată în avans în afara platformei, link către „transportator/curier”, ofertă „prea ieftin”.
- Lista STOP: (1) Plată doar prin mecanismul integrat; (2) Nu ofer datele cardului/BLIK; (3) Nu dau click pe linkuri din chat; (4) Capturi de ecran ale conversației.
Fraza‑parolă ≥14 caractere; unică pe fiecare serviciu; manager de parole; 2FA aplicație/cheie; coduri de rezervă; număr de telefon nepublic în profil; passkeys pentru conturile principale.
Minimizarea datelor; fără scanuri de documente în anunțuri/mesaje; mObywatel pentru confirmarea identității la entități autorizate; valabilitatea certificatelor; login.gov.pl/ePUAP doar prin adresă tastată manual; confidențialitatea fotografiilor/copiii/locației pe social media.
- 5 min: deconectează internetul, nu oferi date, captură de ecran.
- 15 min: schimbă parola, activează/schimbă 2FA, sună la bancă/blochează cardul.
- 60 min: raportează incidentul (formular), sesizare la bancă/poliție (dacă sunt pierderi), asigură dovezile.
- Contactele mele: call center bancă: …; operator: …; ONG/universitate: …; altele: …
- Pasul 1 (până la 24 h): …
- Pasul 2 (până la 48 h): …
- Pasul 3 (până la 72 h): …
Rubrica CY‑R (0–2 puncte/criteriu, max 10)
| Criteriu | 0 pct | 1 pct | 2 pct | Scor (0–2) |
|---|---|---|---|---|
| Recunoașterea semnalelor (M1) | Identifică 0–2 | Identifică 3–5 | Identifică ≥6 | __ |
| Plan de conturi + 2FA (M2) | Fără plan | Plan pentru 1–2 conturi | Plan pentru 3 conturi + 2FA | __ |
| Marketplace – decizii STOP (M3) | Nu recunoaște momente STOP | 1 moment STOP | ≥2 momente STOP + alternative | __ |
| Minimizarea datelor (M4) | Împărtășește prea multe date | Limitează parțial | Alege clar doar „necesarul” | __ |
| Reacția 5‑15‑60 + contacte (M5) | Fără pași | 1–2 pași | Secvență completă + contacte | __ |
Interpretare: 0–3 început; 4–7 solid; 8–10 gata de implementare.