Източване на милиони: 70 български фирми загубиха 10 млн. лв. от измами със сменен IBAN
70 български компании са загубили 10 милиона лева от началото на годината заради измами със сменен IBAN, показват данни на ГДБОП. Схемата започва с фишинг атака за кражба на достъп до фирмената поща, след което хакерите подменят банковите данни във фактурите.
Мошениците пробиват мейл, до който имат достъп няколко служители. Снимка: Pixabay
Мащабни киберизмами със сменен IBAN са ощетили българския бизнес с над 10 милиона лева от началото на годината. Според данни на ГДБОП, разследваните случаи по тази схема вече достигат 70. Загубите са значителни, като най-голямата единична сума, претърпяна от компания тази година, възлиза на 1 милион лева. Жертва на схемата е станала фирма, търгуваща с канцеларски материали.
Как действа схемата за подмяна на IBAN?
Измамата винаги стартира с фишинг атака. Киберпрестъпниците изпращат мейл до фирмена поща, която се ползва от няколко служители. Съобщението предупреждава, че акаунтът предстои да бъде изтрит и изисква незабавно въвеждане на потребителско име и парола за потвърждение.
Прикаченият линк отвежда жертвата до огледална страница на фирмения сайт. Служителят въвежда данните си, предоставяйки по този начин директен достъп на хакерите до служебната кореспонденция. Веднъж проникнали, престъпниците започват да следят комуникацията, за да се ориентират за предстоящи големи плащания.
Когато наближи датата за трансфер на средства, хакерите създават фалшив имейл адрес. Той е почти идентичен с този на истинския контрагент, но съдържа разлика само в една буква — например, вместо „m“ използват „n“.
След това незабавно блокират оригиналния имейл на контрагента, като автоматично пренасочват всички писма от него към кошчето. От новосъздадения фалшив адрес те изпращат фактура. Тя изглежда напълно автентична, тъй като е създадена по образец на истинската и съдържа всички необходими фирмени реквизити. Единствената и решаваща промяна е в банковата сметка: IBAN-ът на контрагента е заменен със сметка на престъпниците.
В писмото си мошениците обясняват смяната на сметката с фиктивен „проблем“ със старата банкова сметка, подвеждайки жертвата да преведе парите на грешното място.
Възстановяването на парите е почти невъзможно
Според дирекция „Киберпрестъпност“ на ГДБОП, възстановяването на загубените средства е почти невъзможно. Причината е, че жертвите разбират твърде късно за измамата. Заради блокирания оригинален имейл, компаниите не получават никакви сигнали за проблема, докато истинският контрагент не започне да изисква плащането. Обикновено сигналът за измамата се подава около 2 седмици след банковия трансфер. От ГДБОП посочват, че рекордът за закъснение е 4 месеца.
През тези две седмици парите вече са прехвърлени през множество банки и са изтеглени от сметките на измамниците. Киберпрестъпниците често оперират от чужбина, като се установява, че хакерите в много случаи са от Нигерия.
За да се изперат парите, работи отделна група. При разследванията най-често биват залавяни „мулетата“ – лица с нисък социален статус и зависимости като хазарт или алкохол, които са използвани за теглене на средствата. Достигането до истинските автори на схемата и хората, които препират парите, почти никога не се случва.
Мерки за превенция и нова услуга
За да се защитят фирмите от подобни атаки, експертите от ГДБОП дават конкретни съвети. Най-добрата превенция е служителите да преминат обучение по кибербезопасност. Освен това, ако компания уведоми за смяна на банковата си сметка, задължително е тази информация да бъде потвърдена. Това трябва да стане по телефон или чрез друга директна комуникация, но в никакъв случай само с отговор на имейла, който може да е фалшив.
От октомври 2025 г. в България се въвежда и нова услуга, наречена „Проверка на получателя“. Тази система има за цел да предпазва потребителите от измами при онлайн преводи, включително и от сложните схеми със сменен IBAN.
