Резюме: Фишингът в България ескалира както по обем, така и по техническа изтънченост — от класически имейл измами до сложни кампании „сменен IBAN“ и евро-свързани измами. В този материал ще разгледаме най-актуалните форми, примери, статистика, технически аспекти, ролята на AI и конкретни стъпки за превенция и реакция.
1. Какво се случва в момента (синтез)
През 2024–2025 г. българските фирми и граждани са подложени на усилен фишинг натиск: престъпни групи използват компрометирани бизнес имейли, прицелени кампании и социално инженерство, като често целта е пренасочване на плащания към фалшиви банкови сметки („сменен IBAN“). Това явление вече води до сериозни парични загуби за компании и институции.
2. Количествени сигнали и примери
Официални данни и разследвания сочат десетки до над стоте фирми, пострадали от IBAN-схеми само за една година; сумите по някои случаи достигат милиони евро общо. Най-тежките инциденти през последните години показват, че проблемът е системен и свързан с организирана престъпност.
3. Защо фишингът „работи“ в България
- Социално инженерство: експлоатира се доверие в доставчици, банки и държавни процедури.
- Слаба вътрешна контролна култура: липса на двуфакторна автентикация, редовни проверки на договорни реквизити, процедури за плащания.
- Бърза поява на нови поводи: преход към еврото, административни промени и масови комуникации, които престъпниците използват като предтекст.
4. Тактики и техники, които наблюдаваме
| Тактика | Как работи | Примерни индикатори |
|---|---|---|
| IBAN switch (сменен IBAN) | Компрометиран имейл или подправено съобщение, в което се иска плащане към „нов IBAN“ | Неочаквани промени в банкови детайли, леки граматични несъответствия, наложителност |
| Фалшиви плащни портали | Фалшифицирани сайтове, които искат плащане/конверсия (напр. във връзка с евро) | Несигурен сертификат, подозрителни домейни, неправдоподобни методи на плащане |
| Софтуерно-генериран фишинг (AI) | Автоматично генерирани имейли, персонализирани чрез AI/ML | Много персонализирани съобщения, които избягват филтрите |
| Камперни имейли от компрометирани акаунти | Използват се реални корпоративни акаунти за изпращане на фишинг | Имейл от легитимен домейн, но с външни линкове/прикачени файлове |
5. Технически механизми и нови методи
През 2025 г. наблюдаваме еволюирало използване на техники, които преминават през класическите защити: имейлите използват динамично генерирани URL-та, кратки домейни, усложнени редиректи и практически „чисти“ текстове, които заобикалят антифишинг филтрите. Някои кампании симулират реални карантинни нотификации или смяна на платежни инструкции, което дава висока успеваемост.
6. Последствия за бизнеса и потребителите
- Финансови загуби — директни (неправилно преведени суми) и индиректни (прекъсване на услуги, съдебни разходи).
- Репутационни щети — губене на доверие от клиенти и партньори.
- Оперативни рискове — компрометираните системи могат да доведат до допълнителни атаки (ransomware и пр.).
7. Какво работи: защита и превенция (ръководство)
Ефективната стратегия включва технически, организационни и човешки мерки. По-долу давам конкретен, приложим чеклист:
| Ниво | Мерки | Приоритет |
|---|---|---|
| Техническо | Имплементирайте SPF/DKIM/DMARC, E-mail filtering, URL sandboxing, антифишинг решения с ML | Висок |
| Процедурно | Двустепенни потвърждения за промяна на банкови реквизити, политика за плащане, независими проверки | Висок |
| Обучение | Регулярни симулации на фишинг, обучение как да се проверяват IBAN и домейни | Среден |
| Мониторинг | SIEM, IDS/IPS, мониторинг на аномалии в трафика и финансовите транзакции | Среден |
| Правна/институционална | Регистрирайте инциденти, работете с прокуратура/полиция и платежни институции за бързо блокиране | Нисък/Среден |
8. Роля на AI — заплахи и защита
AI увеличава мащаба и персонализацията на фишинга (по-добри имитации, преводачески качества, социален контекст), но също така дава мощни инструменти за детекция — моделите могат да откриват аномалии в езика, структурата на URL, IP-поведения и временни модели. Борбата ще бъде динамична: атакуващите прилагат AI за генериране, защитниците — за анализ и блокиране.
9. Процедура при инцидент (ръководство стъпка по стъпка)
- Незабавно спиране на плащанията: ако има съмнение за сменен IBAN, спрете трансакцията и уведомете банката.
- Комуникация: уведомете всички засегнати вътрешни страни и външни партньори.
- Събиране на доказателства: имейли, заглавки, IP адреси, логове на системи и плащания.
- Сигнал до органите: подайте сигнал на киберпрестъпността, банката и, при нужда, на Европол/INTERPOL (при трансгранични престъпления).
- Възстановяване и ревизия: анализирайте пропуските, подсилете процедурите и направете обучения.
10. Политика и институционален отговор
През 2025 г. българските институции обръщат по-голямо внимание на киберпрестъпността, а подготовката за еврото повишава риска, който държавата и бизнесът трябва да управляват. Необходима е по-тясна координация между банки, Дирекция „Киберпрестъпност“, доставчици на облачни услуги и големи платформи за сигурност.
11. Практически съвети за потребители
- Проверявайте банковите детайли чрез независим канал (телефон/лична среща).
- Не кликайте спешно в линкове — отворете сайта ръчно или в различен браузър.
- Използвайте двуфакторна автентикация за важни услуги и банкови приложения.
- Обучавайте служителите с реални симулации на фишинг.
12. Кратко сравнение: България спрямо регионa
| Показател | България | Регион (ЕС) |
|---|---|---|
| Честота на IBAN switch | Висока | Умерена |
| Институционална координация | Расте, но има пропуски | По-стандартизирана (NIS, GDPR) |
| Уязвимост на МСП | Висока | Значителна |
13. Мнение на автора
Фишингът в България е комбинация от добре познато социално инженерство и нови технологични методи. Най-слабият елемент не е технологичен — той е човешки и организационен. Тези, които ще изберат да вложат в процедури, верификации и обучение, ще намалят риска значително. Не става въпрос само за технология; става въпрос за дисциплина, проверки и култура на внимание.
Източници
Capital, BTA, Xinhua, Reuters, Webasha, KnowBe4, Novinite, Standa rdnews, Europol, личен практически опит.