Фишинг атаки, насочени към България

[Р. Теодосиев]

 

 Фишинг атаки, насочени към България в началото на май, са част от по-широка международна операция.

На 8 май 2026 г. МВР и ГДБОП публикуваха официално предупреждение за SMS съобщения, които се представят за МВР и съдържат линкове към фалшиви страници за проверка и плащане на пътни глоби.

В рамките на специализирана операция бяха задържани двама души, за които се твърди, че са участвали в разпространението на подобни съобщения чрез специален софтуер и чужди номера.

Първоначално случаят беше разглеждан като локална фишинг кампания, насочена към български потребители.

Ново разследване на Hunt.io (27 май) проследява над 1600 активни фишинг сайта, използвани за измами чрез SMS-и, имитиращи държавни институции, пощенски и куриерски услуги, телекоми и системи за глоби. Кампанията използва координирана инфраструктура с десетки сървъри и постоянно променящи се домейни. Според Hunt.io това е продължаваща активна кампания.

Една и съща схема се адаптира локално според страната:

- Великобритания – DPD
- САЩ – T-Mobile и DMV
- Испания – SEUR
- Румъния – Ghișeul.ro
- България – МВР и системи за пътни нарушения

Част от идентифицираните фалшиви домейни:

• mvr[.]lat
• mvrx[.]lat
• mvrbg[.]sbs
• mvrbg[.]life
• mvrcc[.]lat
• mvri[.]lat
• mvrbg[.]ink

Как работи атаката
Атаката следва сравнително стандартен модел:
1. Получава се SMS за “неплатена глоба” или нарушение
2. Линк води към фалшив сайт, имитиращ МВР
3. Потребителят въвежда лични данни или номер на автомобил
4. Генерира се глоба с краен срок
5. Изисква се незабавно плащане с банкова карта
6. Данните се изпращат към атакуващите

Как да се защитим
- Проверявайте задължения само през официалния портал на МВР e-uslugi.mvr.bg
- МВР не изпраща SMS с линкове за плащане от чуждестранни номера
- Не отваряйте линкове от съмнителни съобщения
- Не въвеждайте лични или банкови данни в непроверени сайтове
- Влизайте в услуги само чрез ръчно въвеждане на адрес
- Активирайте известия за банкови транзакции
- Ако сте въвели карта я блокирайте
- Ако сте въвели пароли ги сменете
- При съмнение третирайте съобщението като измама

Данните на Hunt.io показват, че става дума за дългосрочна и разпределена кампания, наблюдавана в поне 19 държави. Използват се сходни шаблони, инструменти и технически индикатори. Това показва използване на споделени инструменти или купена инфраструктура, а не една централизирана група.

Арестите в България вероятно засягат локалното ниво на разпространение. Самата инфраструктура изглежда отделна и може да бъде използван паралелно от различни оператори. Дори при арести, подобни кампании могат да продължат чрез нови участници, включително и извън страната. Българските оператори познават институциите като МВР и правят измамите по-убедителни и по-трудни за разпознаване.

Създаването на инструменти чрез изкуствен интелект дава възможност на все по-малко технически грамотни хора да могат да участват в подобни измами без дори да ги разбират достатъчно. Бързите арести сочат, че е вероятно да става дума за лица, които използват готови закупени фишинг инструменти, без сериозна оперативна сигурност или разбиране на инфраструктурата зад атаките.

Източник: https://t.me/drmjournal/18228