Някъде в Европа човек на име – да го наречем Мартин – си отваря пощата с първото кафе. Между промоциите и работните имейли стои съобщение от Ledger - компанията, която преди няколко месеца му е продала малката черна кутийка с криптовалутите му.
Тонът е сериозен и извинителен. Партньорът им по плащанията, Global-e, е претърпял киберпробив. Имената, имейлите, телефоните и детайлите за поръчките на клиенти са попаднали в неправилни ръце. Компанията препоръчва бдителност и се подписва любезно.
Мартин въздъхва. Сменя си паролата. Затваря лаптопа. Денят продължава.
Шест часа по-късно в пощата му пада втори имейл. Пак от Ledger. Същият шрифт, същият подпис. Само че този път темата е друга: радостна новина за стратегическо сливане между Ledger и основния им конкурент Trezor. Историческо обединение. Нова визия за сигурността на дигиталните активи.
И едно последно, формално задължение – Мартин трябва да мигрира портфейла си към обединената платформа, като въведе своите 24 възстановителни думи в указания линк.
Сливане няма. Платформа няма. 24-те думи дават директен достъп до парите му.
Това не е измислен сценарий от обучителен видеоклип за фишинг. Това е реална кампания, описана още същата вечер от ZachXBT - един от най-популярните разследващи по крипто теми. Между „получавате нашето искрено извинение“ и „имаме удоволствието да обявим“ минават часове. И точно в тези часове работи целият бизнес модел на новия фишинг.
Старият фишинг беше за непознати. Имейл от нигерийски принц. Грешки в правописа. Линкове към сайтове със съмнителни адреси и пиксели, които не съвпадат. Спам филтрите и хората с малко по-богат опит го разпознаваха. Атаката беше масова, евтина и разчиташе на статистика – пращаш един милион имейла и чакаш някой да кликне.
Новият фишинг ви познава по име. Той знае какво сте купили и на коя дата сте го направили. Но най-важното - знае от коя сметка и коя банка ви обслужва. Заедно с това знае кой куриер ви носи пратките, коя застрахователна компания ви праща сметките. Знае го, защото някой друг го е знаел преди него – и този някой друг е бил жертва на кибератака.
В момента, в който получите официално, легитимно известие за пробив, същата информация вече може да тече към атакуващи, които ще ви изпратят още един имейл. Той ще изглежда познато. Ще стъпва върху реален контекст. И ще има съвсем различна цел.
Затова този модел работи толкова добре. В него много неща са верни: името, поръчката, сумата, датата, компанията, поводът. Единствено намерението на изпращача е различно. А намерението не се вижда в имейл.
През 2025 г. Identity Theft Resource Center отчита рекордните 3 332 случая на компрометиране на данни при платформи от всякакъв мащаб. Това е пореден рекорд върху предишен рекорд, а за пет години броят им се е увеличил със 79%. Засегнатите хора надхвърлят 232 милиона.
Звучи далечно, докато не се замислиш кои компании стоят зад тези цифри. Водещи хотелски вериги, платформи за онлайн резервации, финансови компании, Microsoft, Google, Amazon, Apple.
Имена, които ползва и българинът – същите имейли, същите пароли, същите номера на карти. Когато данните на десетки милиони клиенти на една международна компания изтекат в хакерски форум, между тях има и български акаунти. Просто в заглавията на международните доклади това рядко се вижда като български проблем.
А последиците за конкретния човек обикновено идват дълго след самото изтичане. Според Identity Theft Resource Center лична информация, изтекла през 2024 г., може спокойно да бъде използвана през 2026 г. – дълго след като компанията е изпратила извинителното си писмо, безплатното наблюдение на кредитни карти е изтекло, а самият пробив е забравен. Данните остават в обращение с години.
Те се купуват, комбинират с други пробиви и се препродават като все по-пълни профили – имена, имейли, телефони, адреси, поръчки, пароли, навици. Колкото повече контекст има около един човек, толкова по-убедителна става следващата атака.
Точно това прави вторичните атаки толкова опасни. Жертвата вече не е просто имейл адрес в списък. Тя е човек с история, покупки, акаунти, адреси, навици и страхове, които могат да бъдат използвани срещу него.
В средата на март 2026 г. медията BleepingComputer публикува нещо важно. Жертви на пробивите, свързани с Ledger и Trezor, започват да получават физически писма по пощата. Печатани на качествена бланка, със стилизирани лога и фалшиви адреси на изпращача в Швейцария или Лихтенщайн. Текстът е педантично коректен.
Темата: задължителна „проверка за автентичност“, която клиентът трябва да премине, за да запази достъпа до портфейла си. На дъното на писмото има QR код.
Сканираш кода. Отваря се сайт. Сайтът иска двадесет и четирите думи. След това парите ги няма.
Цялата операция е възможна, защото на някакъв етап е изтекла база данни с адреси. Някой е решил, че физическото писмо ще премине през психологическите филтри, които клиентите вече са изградили срещу имейлите. Логиката е проста и зловеща едновременно: ако хората вече се съмняват в линкове, измамата може да дойде на хартия.
Иронията стига още по-далеч. Дори създателят на най-известната услуга за известяване на пробиви – Have I Been Pwned – през март 2025 г. сам става жертва на фишинг. Трой Хънт разказва откровено в блога си: бил уморен от полет, в хотелска стая, когато получил имейл за уж проблем с акаунта му. Кликнал, въвел данни, после видял, че нещо не е наред. Между въвеждането и осъзнаването минават по-малко от две минути. Шестнадесет хиляди записа на абонати са изтеглени автоматизирано.
Услугата, която предупреждава света за пробиви, сама е ударена чрез фишинг. С имейл. В момент на умора.
В България същата машина се завъртя малко по-късно, но със същата логика.
През юли 2025 г. Questona съобщи, че в BreachForums е публикуван списък с над 6,1 млн. български имейл адреса и пароли. Списъкът започва да циркулира свободно. Това не е просто поредният файл в хакерски форум. Това е суровина за бъдещи кампании – фишинг, превземане на акаунти, опити за измами и проверка дали хората използват едни и същи пароли на различни места.
В средата на януари 2026 г. идва кампанията от името на куриерска компания. Имейл, който уж е от нея, иска от клиенти лични данни и номера на банкови карти за „потвърждение на доставка“. Съобщенията минават през спам филтрите на една от най-използваните български пощенски услуги. Минават, защото изглеждат достатъчно добре направени, за да не бъдат блокирани автоматично. Шрифтът е познат, логото също. Адресът за обратна връзка е различен, но не с нещо, което уморен потребител непременно ще забележи.
След това идват имейли, представящи се за банки. „Сметката ви е блокирана. Влезте, за да я отблокирате.“ Това е измама, базирана на страх. Потребителят, който току-що е получил истинско съобщение от истинската си банка, лесно може да пропусне разликата.
Появяват се и фалшиви известия от Google: „Пространството ви е препълнено.“ В някои от тях подателят е изписан като G00gle – с две нули вместо две „о“. Малък детайл, който нито филтърът, нито уморените очи винаги улавят.
Всичко това достига кулминация през май 2026 г.
Преди малко повече от месец ГДБОП проведе специална операция срещу организирана група, свързвана с масови фишинг измами. Арестите са няколко. Имейлите, които жертвите са получавали, идват от различни „институции“ – КАТ с фалшиви електронни фишове, куриерски компании, банки. Щетите варират от 300 евро до няколко хиляди евро на жертва. Парите изчезват в рамките на часове – картите се добавят във виртуални портфейли и се източват преди хората да разберат какво се е случило.
Старши комисар Владимир Димитров, директор на ГДБОП, обяснява механизма публично на специален брифинг: „Преди две-три седмици установихме изпращачи на фишинг съобщения, които приканват жертвите да въведат данните от банковата си карта и SMS кода, който получават от банката. Така жертвите добавят картата във виртуален портфейл и тя може да бъде източвана."
Според разследването на ГДБОП телефонните номера на жертвите са били събирани по два начина – чрез алгоритмично генериране и чрез изтекли или нелегални бази данни.
С тази констатация полицията потвърждава нещо, за което секторът по сигурността говори от години. Пробивите, които се натрупват по света и у нас, не остават в архивите. Те се връщат на терен – в пощата на конкретен човек, в SMS с код за потвърждение, в обаждане в неудобен момент.
Все още голяма част от хората използват еднакви пароли за личните си профили и служебните акаунти за достъп до корпоративните системи. Ако такъв човек попадне сред жертвите на подобни фишинг атаки, заплахата от източване на банковата му сметка придобива мащаба на невинно затруднение, пред катастрофалния проблем, който това би причинило за компанията, в която работи. За да подкрепя своите корпоративни клиенти в надпреварата с киберпрестъпниците, наред с решения за киберустойчивост на данните, ИТ мрежите и инфраструктурата, А1 предлага специални обучения за разпознаване на потенциалните атаки за служителите на корпоративните клиенти. Услугата е част от цялостните предложения за постигане на съвместимост с изискванията на NIS2.
Има нещо особено цинично в това, че самата защита се превръща в материал за атака.
Известието за пробив, което би трябвало да предупреди клиента, се превръща в основа за следващата измама. Имейлът от компанията, чиито данни са изтекли, се имитира от хора, които искат да използват тези данни. Безплатното наблюдение на кредитни карти изтича за година, но самите данни се връщат отново и отново – в нови комбинации, нови форми, нови сценарии.
За потребителя това има много конкретен ефект. Когато всяко известие може да бъде измама, а всяка измама може да изглежда като известие, доверието към легитимната комуникация започва тихо да се изпарява. Реалните предупреждения се удавят сред фалшивите. Реалните банки започват да звучат като измамници. А реалните измамници – като банки.
В подобна зона работят атакуващите. Тяхното предимство не е в това, че всяка измама е гениална. Предимството е в повторението, в тайминга и в търпението да чакат момента, в който човек е уморен, разсеян или вече притеснен от истинско известие. Никой не може да бъде бдителен непрекъснато.
И някъде в средата на цялата тази история стои Мартин с първото си кафе в понеделник сутрин. Сменя си паролата. Затваря лаптопа. Денят продължава.
Той още не знае, че историята всъщност едва сега започва.
Новините на Darik Business Review във Facebook , Instagram , LinkedIn и Twitter !
Грижа по мярка при кастрирани котки
Калкулатори
Най-ново
Две български компании стоят зад нов AI гигант с над 20 млн. евро приходи
преди 56 минДанните ви са изтекли: Как открадната информация се връща като измама
преди 1 часПоскъпват ли iPhone-ите? Тим Кук призна, че увеличението на цените е неизбежно
преди 2 часаПравителството подготвя ускорено завършване на „Хемус“, „Струма“ и „Черно море“
преди 3 часаРесторантьори: Сезонът по морето върви нормално, негативните внушения вредят
преди 3 часаНАСА избра компанията на Ерик Шмид за мисия до Марс и разпали надпревара със SpaceX
преди 4 часаПрочети още
Стоянов, „Възраждане“: Мекият подход на България не води до успехи!
darik.bgПалеж и скандал със Сев. Македония! Антибългарски настроения! Защо? Говори Ивайло Вълчев
darik.bgАлександър от Ice Pro: Без връзки е по-бавно, но успехът е възможен
darik.bgЛекари спасиха зрението на бебе под 800 грама в Александровска болница
9meseca.bg