За разследващите от ГДБОП следната ситуация е добре позната.Мъж е

...
За разследващите от ГДБОП следната ситуация е добре позната.Мъж е
Коментари Харесай

От романтичен чат до сменен IBAN: Новият път на инвестиционните измами

За проверяващите от ГДБОП следната обстановка е добре позната.

Мъж е писал онлайн с жена. Месеци наред. Живеела в чужбина, имала атрактивна фотография и говорела нежно за общо бъдеще. Някъде сред третата и петата седмица загатнала, че схваща от вложения и изпратила линк към платформа, в която автоматизиран търговски бот работел с акции, злато и криптовалута и обещавал да утрои спестяванията за три седмици.

Първите вноски растели на екрана. Печалбата изглеждала същинска и можела да се тегли. После платформата поискала още. После поискала налог върху облагата, преди да освободи парите. После изчезнала.

По думите на Владимир Димитров, шеф на дирекция „ Киберпрестъпност “ в Главна дирекция „ Борба с проведената престъпност “ към Министерство на вътрешните работи, такива случаи са ежедневие.

Жертвите са „ всевъзможни “ – IT експерти, водачи, преподаватели, чиновници в държавната администрация. Възрастта им е сред 35 и 70 години. Средната загуба е сред 50 000 и 70 000 лв.. Около 70% са мъже.

Схемата има неприятно име. Възникнала е в Китай, документирана е към 2016 година и там я назовават ша джу пан - „ кръвопролитие на угоено прасе “. Метафората разказва метода със студена точност: измамникът на първо време „ угоява “ жертвата с внимание, подправена непосредственост и дребни облаги, а когато доверието натежи, я „ заколва “, като я убеждава да вложи всичко. В британския език терминът се наложи като pig butchering.

През декември 2024 година Интерпол, интернационалната организация на престъпната полиция, прикани този израз да бъде зарязан. Аргументът е, че думата „ прасе “ дехуманизира и засрамва потърпевшите, което ги отхвърля да подават сигнали. Полицията предлага по-неутралното romance baiting, или „ сантиментална стръв “. Спорът за името в действителност разказва най-важното свойство на схемата. Тя работи точно тъй като жертвата се срами. А срамът мълчи.

Дълго време това изглеждаше като частна покруса. Самотен човек, празна сметка, история, която никой не споделя на глас. Промяната през последните две години е, че измамата си откри втори адрес. Тя се научи да влиза през вратата на офиса.
Двете порти
Класическата фишинг офанзива разчита на бързината. Фалшив имейл, незабавно известие, един неправилен клик. Дългата игра прави противоположното. Тя влага седмици и месеци в един човек, с цел да направи финалната молба да наподобява естествена, а не подозрителна. Тази толерантност е и повода отбраните, подготвени да разпознават спешността, постоянно да я пропущат.

Към компанията схемата нормално минава през две порти.

Първата е служителят като директна цел. Тук ловната територия е LinkedIn – професионалната обществена мрежа, в която милиони хора разгласяват длъжността си, екипа и кариерата си. За измамника това е подготвена организационна скица. Той вижда кой управлява заплащанията, кой има достъп до системите, кой преди малко е сменил работа и търси последваща. После основава излъскан профил на вложител, съветник или сътрудник и стартира бавния диалог.

Мащабът на казуса проличава в личните цифри на платформата. Само през втората половина на 2024 година LinkedIn е премахнал над 80.6 млн. подправени акаунта още при регистрация, по отношение на 70.1 млн. през предходния интервал. Това са профилите, които автоматизираните логаритми хващат, преди да стигнат до някого. Онези, които се промъкват, са най-добре направените.

През лятото на 2025 година американският специалист по сигурността Уолтър Уилямс получава в LinkedIn оферта за поверителна позиция CISO – шеф по осведомителната сигурност, най-високата служба за отбрана на данните във всяка компания. Разговорът е траял над три месеца. Имало е подписан по електронен път контракт, елементи, самообладание.
 new inner pic
Целта е Уилямс да вложи най-малко 1000 $ в „ инвестиция “, обвързвана с новата му работа. Той разпознава клопката рано и го документира. Ашли Джес, анализатор в американската компания за разузнаване на киберзаплахи Intel 471, изяснява за какво методът е характерен: нападателите стартират контакт в границите на доверени платформи, точно тъй като там човек смъква гарда. Покана за работа от рекрутер наподобява безобидна. В това е силата ѝ.

Когато целта има финансови пълномощия или просто употребява служебния преносим компютър за персоналната машинация, персоналната злополука може да се трансформира в корпоративна. Фалшивата платформа може да изиска данни за вход. Откраднатите данни могат да отворят достъп до системи, които нямат нищо общо с първичната жертва. Така измамата, почнала като романс в обедната отмора, се озовава в мрежата на работодателя.

Втората врата е по-тиха и по-коварна: служителят се трансформира в неволен канал.

Това е мостът, който ГДБОП вижда от близко. Най-сериозната киберизмама против българския бизнес от години носи името „ Сменен IBAN “.

Механизмът е следният: нарушител прониква в имейл кореспонденцията сред две компании, изчаква действителен диалог за действителна фактура и в точния миг подменя единствено едно нещо – номера на банковата сметка за заплащане. Парите потеглят, само че не натам, накъдето би трябвало. На западния диалект това се назовава Business Email Compromise – компрометиране на бизнес преписка. През 2024 година по тази скица в ГДБОП са постъпили към 130 сигнала със загуби от порядъка на 13 млн. евро. Само за първите девет месеца на 2025 година над 70 компании към този момент са изгубили близо 5 млн. евро, а сигнали постъпват съвсем всяка седмица.

Открадната по този метод сума би трябвало бързо да бъде изведена. Тя минава през „ парично муле “ – човек, който приема непознати пари по сметката си и ги препраща нататък, нормално против %, от време на време без въобще да схваща какво прави. И тук двете порти се срещат.

Около една десета от „ мулетата “, които ГДБОП наблюдава, се оказват жертви на друга машинация. Димитров разказва съответен случай. По банкова сметка на българка влизат 50 000 $ от потърпевша американска компания. Полицията я открива. Жената изяснява: предиздвикал я приятелят ѝ от обществената мрежа, „ американски военачалник “, с който вярвала, че е във връзка. Тя е жертва на сантиментална машинация и по едно и също време с това е звеното, през което непозната компания е изгубила парите си.

Една машинация зарежда друга. Самотата на единия, заплаща за пробива в счетоводството на другия. Това е затвореният кръг, който прави схемата толкоз сложна за прекъсване.
Фабриките за доверие
Лесно е да си представим в другия завършек на чата един съобразителен шарлатанин. Реалността е в индустриални мащаби.

През април 2025 година Службата на Организация на обединените нации по опиатите и престъпността разгласява отчета Inflection Point, един от най-обстойните разбори на явлението досега. Изводът е, че измамите към този момент се създават в мащаб. В Югоизточна Азия работят стотици „ лъжливи комплекси “ – оградени уреди, проведени като прът центрове, в които хиляди хора по сюжет обработват жертви по целия свят. По оценка на службата, тези интервенции генерират близо 40 милиарда $ годишна облага.

Голяма част от „ служащите “ в тези комплекси са жертви на трафик. Примамени с разгласи за добре платена работа в маркетинг или техническа поддръжка, те са прехвърляни през граница, паспортите им са отнети, а свободата им – също. Човекът, който „ угоява “ жертвата от другата страна на екрана, постоянно самичък е пандизчия, принуждаван под опасност да прави същото, на което е станал жертва.

Технологията прави всичко това на ниска цена и бързо. Сценариите са написани върху психически модели за обвързаност и доверие. Снимките са крадени или генерирани. Все по-често в приложимост влизат deepfake видеа – синтетични фрагменти, в които фиктивен човек приказва и се усмихва на видеоразговор задоволително безапелационно, с цел да заглуши последното подозрение. Фирмата за блокчейн разбори Chainalysis оцени криптоизмамите за 2024 година на към 12.4 милиарда $, като капиталовите схеми от този вид заемат огромен дял.

Парите изчезват по същата индустриална логичност. Внесеното от жертвата се трансферира мигновено през вериги от посреднически сметки и крипто портфейли, разпръсква се през стотици адреси и излиза в юрисдикции със слаб финансов надзор. Възстановяването на средства е необичайност.
Българската сметка
България от дълго време е част от тази карта.

В края на 2025 година дирекция „ Киберпрестъпност “ на ГДБОП се включи в интернационална интервенция, разрушила мрежа за криптоизмами и подправени реклами, изпрала над 700 млн. евро през десетки подправени капиталови платформи. Разследването сплоти осем страни с координацията на Европол – организацията на Европейски Съюз за полицейско съдействие, и Евроджъст – организацията за правосъдно съдействие. Арестите минаха на два стадия през октомври и ноември. Бяха конфискувани пари в брой, криптовалута, парцели и първокласни часовници.

Числата от чужбина удостоверяват посоката. В Съединени американски щати интервенция на ФБР с името Level Up, стартирана, с цел да търси и предизвестява жертви на криптоинвестиционни измами, е уведомила 8103 души към декември 2025 година 77% от тях въобще не са подозирали, че са излъгани, преди полицията да почука. Предотвратените загуби надвишават 511 млн. $.

Зад тези суми стоят съответни хора, които постоянно мълчат. Рецензирано изследване, показано през 2025 година на конференцията по сигурност и дискретност SOUPS, наблюдава виталния цикъл на схемата и откри това, което прави формалните цифри непълни: към 73% от потърпевшите изпитват такова оскърбление, че не споделят претърпяното и не търсят помощ. Реалната сметка е по-голяма от записаната. Точно по тази причина разногласието на Интерпол за думата „ прасе “ има значение. Срамът е част от бизнес модела.
Какво вижда счетоводството
За компанията поуката е неуместна, тъй като размива границата сред персоналния живот на служителя и сигурността на компанията.

Защитата против незабавен фишинг има стеснен резултат против тази скица. Дългата игра не носи нормалните червени знамена на суматоха и напън. Тя носи самообладание. Затова ограниченията, които имат значение, са организационни, софтуерни и процедурни по едно и също време.

Промяна на банкова сметка по фактура би трябвало да се удостоверява по втори, самостоятелен канал, а освен по имейл. Големите преводи би трябвало да изискват повече от едно утвърждение. Многофакторното засвидетелствуване би трябвало да прави открадната ключова дума незадоволителна сама по себе си. А образованието би трябвало да демонстрира на хората по какъв начин наподобява постепенно построеното доверие, тъй като подправеният имейл към този момент е единствено една част от казуса.

Точно тук киберсигурността излиза от рамката на обособения програмен продукт и се трансформира в част от метода, по който една компания работи. Доставчици на решения за киберсигурност като А1 могат да оказват помощ на бизнеса да построи процеси, при които един диалог, един имейл или една открадната ключова дума остават сигнал за инспекция, вместо да се трансфорат във финансов удар.

Видимото в тази история е постоянно спретнато. Излъскан профил в професионална мрежа. Топло известие в неделя вечер. Чиста фактура с една-единствена заменена цифра. Усмихнато лице на видеоразговор.

Скритото е друго. Ограден комплекс на хиляди километри. Принуден оператор, който следва сюжет. Верига от сметки, която отмива парите за минути. И в българския случай – двама потърпевши едновременно: единият уединен, другият с пробита счетоводна сметка, свързани от един превод, който никой в офиса не е изискал.

Компаниите харчат, с цел да пазят периметъра си от пробив извън. Тази машинация не пробива стената. Тя влиза през приемната, показва се общително и чака да я поканят.
ГДБОП капиталови измами киберсигурност финансови измами фишинг атаки
Източник: economic.bg


СПОДЕЛИ СТАТИЯТА


КОМЕНТАРИ
НАПИШИ КОМЕНТАР