Фишингът не е ново явление, но през последните години в България наблюдаваме качествена и количествена ескалация: от класически имейл измами до хибридни кампании с плащания, фалшиви портали, „сменен IBAN“ и AI-генерирани съобщения. Тази статия събира в едно място най-важното — кои форми на фишинг виждаме в България, как действат атакуващите, защо успяват, кои сектори са най-рискови и какво да направим веднага, за да намалим щетите.
Какво е фишинг?
Фишинг е един от най-разпространените методи за кибератака, при който престъпници се представят за доверени институции или компании, за да подмамят жертвите да разкрият лични данни, пароли или банкови детайли. Обикновено това става чрез имейли, SMS или фалшиви уебсайтове, които изглеждат напълно автентични. В България фишинг атаките често използват имената на банки, държавни институции и дори международни компании, за да внушат доверие и да заблудят потребителите.
1. Яснота: кои форми на фишинг виждаме в България
- IBAN switch (сменен IBAN) — жертвата получава легитимно изглеждащо съобщение (често през компрометиран корпоративен имейл), в което се иска да бъде направен превод към „нов банков счет“.
- Фалшиви платежни портали и „евро“ измами — престъпниците използват преходни теми (напр. конверсия към евро) и фалшифицирани процеси за плащане, за да прехвърлят средства на измамни сметки или крипто адреси.
- Имитация на държавни институции и големи доставчици — МВР, НЗОК, данъчни или куриерски фирми се използват като примамка за спешни искания и „проверки“.
- Компрометирани корпоративни акаунти — реални имейл акаунти на компании стават платформи за вътрешни измами (BEC — Business Email Compromise).
- AI-помощен фишинг — автоматично персонализирани имейли и съобщения, които трудно се различават от истински човешки кореспонденции.
2. Защо точно у нас — ключовите уязвимости
Причините не са мистерия:
- Човешки фактор: доверие между партньори, ненавременно потвърждение на промени в реквизити, липса на проверка по втори канал.
- Процесуални дупки: липса на задължителна политика за верификация при промяна на банкови детайли; разрешение за преводи без независим контрол.
- Технологични пропуски: слаб/несъвършен SPF/DKIM/DMARC, отсъствие на URL sandboxing и недостатъчна сегментация на правата в корпоративни системи.
- Нови поводи за измама: преходни финансови събития (като въвеждане на нова валута), големи обществени кампании, кризи — престъпниците ги използват като „социален контекст“.
3. Примери / сценарии (анонимизирани, реалистични)
- Сценарий: Доставчик – смяна на банкова сметка. Фирма А получава имейл от видимо валиден адрес на своя дългогодишен доставчик с инструкция за плащане към «нов IBAN». Имейлът съдържа подпис и логото на доставчика. Плащането се извършва — след което се оказва, че имейлът е компрометиран и парите са прехвърлени към несвързани сметки.
- Сценарий: Евро-конверсия и фалшив портал. Гражданин получава SMS/имейл с покана да „конвертира“ спестявания чрез „официален“ портал. Линкът отвежда към фалшив сайт с формуляр и поле за плащане — средствата се изтеглят незабавно.
- Сценарий: AI-персонализиран фишинг. Служител получава email с негово име, информация за последен проект и искане за спешна справка. Съобщението е граматически безупречно и включва лични детайли, взети от публични профили — филтрите не го хващат.
4. Технически анализ: как атаките заобикалят защитите
- Динамични redirect в URL вериги: кратки домейни → междинни redirect → финален зловреден домейн, който живее кратко и е труден за блокиране.
- Разделяне на payload-а: текст с линк на първо място, зловреден скрипт в CDN или прикачен PDF със скрипт, активиран на друго място.
- Фалшифицирани сертификати и Homograph домейни: малки визуални разлики (латиница/кирилица), заместване на символи.
- Чист текст и персонализация: избягване на червени флагове (липса на прикачени файлове, нормално изглеждаща структура) — всичко това увеличава успеваемостта.
5. Рискова матрица (кой какво губи)
| Актор | Най-вероятни щети | Време за възстановяване |
|---|---|---|
| Малки и средни фирми (МСП) | Финансови загуби, оперативни прекъсвания, репутация | седмици–месеци |
| Големи корпорации | Индиректни щети, законови разходи, supply-chain компромиси | месеци |
| Частни лица | Загуба на спестявания, идентификационни злоупотреби | седмици |
6. Практически, незабавни мерки (чеклист за ръководители и ИТ)
- Незабавно: наложете правило — всяка промяна в банкови детайли да се потвърждава чрез независим канал (телефон или лично лице).
- В рамките на 7 дни: проверете и коригирайте SPF/DKIM/DMARC; активирайте URL sandboxing в e-mail gateway; въведете анти-фишинг решения с ML-детекция.
- В рамките на 30 дни: внедрете двустепенни одобрения за плащания над определена сума; правете регулярни симулации на фишинг за персонала.
- Дългосрочно: създайте политика за управление на доставчици, правете годишни ревизии и включете киберриска в управлението на риска на фирмата.
7. Процедура при инцидент — конкретни стъпки
- Спрете съмнителните плащания и уведомете банката незабавно.
- Съберете и запазете доказателства: HTTP headers, пълен имейл, IP, логи от пощенски сървъри и системи.
- Сигнализирайте на компетентните органи (Дирекция „Киберпрестъпност“, банката, при транснационални случаи — Europol/INTERPOL).
- Проведете вътрешно разследване и въведете незабавни корекции (пароли, права, MFA).
- Комуникирайте прозрачно с партньори и клиенти за възможните последствия и предприетите мерки.
8. Технологии, които работят (и кои са ловушки)
- Полезни: SPF/DKIM/DMARC, URL sandboxing, ML-базирани антифишинг платформи, SIEM интеграция, поведенчески анализ на плащания.
- Ограничения: blacklists/heuristics лесно се заобикалят; много инструменти имат фалшиво отрицателни или положителни детекции — затова човешка проверка е задължителна.
9. Ролята на регулациите и государствената отговорност*
Ефективната защита изисква държавни и частни действия: по-добрa координация между банки, правоохранителни органи и доставчици на комуникационни услуги; ясно определени процеси за блокиране на подозрителни трансакции и бързо замразяване на средства; регулаторни стандарти за комуникация при трансгранични измами.
10. Дългосрочна стратегия — как да трансформираме слабите звена в защитни точки
- Инвестиция в култура: обучение + симулации + отчетност.
- Технологична устойчивост: архитектури, които намаляват правата по подразбиране и изискват multi-party одобрение за значими транзакции.
- Публично–частни партньорства за споделяне на индикатори за компрометирани домейни, IP адреси и IoCs.
11. Индикатори за откриване на фишинг (red flags)
- Неочаквана промяна на банкови детайли без предварително съобщение по независим канал.
- Имейли с възможна подмяна на символи в домейн (homograph), или с нов/нетипичен поддомейн.
- Усилие за бързо/натиск („трябва да преведете веднага“).
- Съобщения, които използват теми от текущи обществени събития, за да предизвикат реакция.
12. Кратки примери за комуникация към екипа (готови шаблони)
До всички служители: Ако получите съобщение за промяна на банкови детайли, не извършвайте плащане, докато личният контакт с доставчика/вътрешния мениджър не потвърди промяната по телефона. Всички плащания над X лв. изискват двоен подпис.
13. Заключителни бележки (мнение на автора)
Фишинг в България е вече системен риск — не само технически, но и организационно. Отговорът не е в една технология, а в цялостен подход: човешки дисциплини, процеси, точни технически контроли и бърза, координирана реакция при инцидент. Най-големият „паник-фактор“ е липсата на подготовка — не останете сред неподготвените. Запомнете: парите следват процеса; ако процесът е слаб, крадците винаги ще намерят път.
Източници на информация
Capital, BTA, Nova, BNT, Novinite, Europol, KnowBe4, Webasha, национални банкови доклади, доклади на доставчици на сигурност (анализи), личен практически опит
*Государствена отговорност е отговорността, която носи държавата като юридическо лице в международните отношения или вътрешноправния ред за свои противоправни действия или бездействия.