Анатомия на евро-измамата - caller ID spoofing, фалшиви обаждания и дигитална самозащита
Какво ще научиш в тази тема
В предишните теми на OSINT & Cyber Bunker разглеждахме домейни, DNS, WHOIS, следи, публична информация и първичен OSINT анализ.
Сега влизаме в нещо още по-близко до ежедневието - телефонните и онлайн измами, които използват реална обществена промяна като маска.
В случая - приемането на еврото в България.
Това е идеална сцена за измамници. Не защото хората са глупави. А защото има реална промяна, реални банки, реални институции, реални въпроси и много шум. А измамникът обича шума. В него се крие най-добре.
- Защо темата с еврото създаде удобна среда за измами.
- Как работи caller ID spoofing - защо телефонът може да покаже номер, който не е истински.
- Какво е SIP и защо полето From не трябва да се приема за доказателство.
- Какви са най-честите схеми около “превалутиране”, банки, куриери и фалшиви обаждания.
- Защо STIR/SHAKEN е важен стандарт, но не е универсално спасение в Европа.
- Какво банката никога няма да поиска от теб.
- Как да реагираш за 30 секунди при съмнително обаждане.
- Какво да направиш, ако вече си дал код, карта, парола или достъп.
- Защо това не е “измами за наивници”, а социално инженерство върху уморени, разсеяни и претоварени хора.
Защо точно сега - кратък контекст
Когато една държава минава през голяма финансова промяна, измамниците не чакат покана. Те вече са на вратата, с костюм, усмивка и добре написан скрипт.
Приемането на еврото в България създава няколко неща едновременно:
- много хора очакват информация от банки и институции;
- има реални въпроси около сметки, превалутиране, плащания и обмен;
- по-възрастни хора се притесняват дали няма да “изпуснат нещо”;
- част от потребителите не знаят кои процеси са автоматични и кои изискват действие;
- измамниците използват точно тази несигурност.
Ако някой ти се обади и каже, че трябва да “потвърдиш превалутирането” чрез код, карта, PIN, приложение или превод - това не е банка. Това е сценарий.
Измамникът не започва от нулата. Той се вмъква в очакването.
Точно това се случва и при други големи събития:
- преди празници - фалшиви куриерски доставки;
- преди избори - фалшиви съобщения и манипулации;
- след бедствия - фалшиви дарителски кампании;
- при банкови промени - фалшиви обаждания за “актуализация”.
Сценарият е стар: страх + спешност + доверие към институция.
Първият технически въпрос - как телефонът показва номер, който не е верен?
За да разбереш измамата, трябва да разбереш механиката.
Когато получиш обаждане, телефонът ти показва номер. Понякога показва и име, ако номерът е записан в контактите ти или ако операторът/устройството го разпознае.
Проблемът е следният:
В традиционната телефонна мрежа голяма част от сигнализацията исторически е изградена върху доверие между оператори. В съвременната VoIP телефония често се използва SIP - Session Initiation Protocol.
В SIP има полета като From, които казват от кого идва обаждането. Но самото наличие на даден номер в това поле не означава автоматично, че обаждащият има право да го използва.
Опростен пример:
Това не е “магия”. Това е информация, подадена като метаданни в самото обаждане.
Ако мрежата по пътя не провери достатъчно добре дали този номер наистина принадлежи на обаждащия, на твоя екран може да се появи номер, който изглежда легитимен.
Резултатът:
- може да изглежда, че ти звъни банка;
- може да изглежда, че ти звъни институция;
- може да изглежда, че ти звъни познат номер;
- понякога дори името от контактите ти може да се появи, ако номерът е spoof-нат.
Затова правилото е желязно:
Това е разликата между доверие и проверка.
А в OSINT & Cyber Bunker ние не се обиждаме на проверката. Ние я уважаваме.
STIR/SHAKEN - решението, което още не е универсален щит
Може би си чувал за STIR/SHAKEN.
Това е набор от стандарти за автентикация на caller ID. Идеята е проста: операторът, който инициира обаждането, криптографски подписва информацията за caller ID. Получаващият оператор проверява подписа и може да прецени дали номерът е удостоверен.
На теория това е чудесно.
На практика има няколко проблема:
- внедряването е различно в различните държави;
- не всички мрежи са изцяло IP-базирани;
- международните маршрути усложняват проверката;
- старите телефонни системи могат да “счупят” веригата на доверие;
- в Европа подходите са фрагментирани и не са еднакви навсякъде.
Затова изводът е прост:
А ръчното удостоверяване е:
- затваряш;
- намираш официален номер;
- звъниш обратно;
- питаш дали реално има проблем.
Но работи.
Най-честите схеми около еврото, банки и фалшиви обаждания
Схема 1: “Превалутиране на сметката”
Получаваш обаждане. На дисплея може да изглежда като номер на банка. Гласът е спокоен, професионален, уверен. Представя се с име, отдел и причина.
Сценарий:
Какво всъщност може да се случва:
Докато ти говори, измамникът може да се опитва да влезе в онлайн банкирането ти, да добави устройство, да потвърди превод, да смени настройка или да активира услуга. Банката изпраща код до теб, защото ти си реалният клиент. Ако кажеш този код на измамника, ти му даваш ключа.
Истината:
Превалутирането не изисква да диктуваш кодове. Не изисква PIN. Не изисква CVV. Не изисква “потвърждение по телефона”.
Който има кода, може да довърши действието.
Схема 2: “Сигурна сметка”
Това е стара схема с нов костюм.
Обажда се “служител” от банка, полиция, отдел “Сигурност” или “Киберпрестъпност”. Казва, че сметката ти е компрометирана. Трябва бързо да спасиш парите си.
Сценарий:
Истината:
Няма “защитена сметка”, към която клиентът да превежда пари по телефонна инструкция.
Банката може да блокира карта.
Банката може да спре достъп.
Банката може да ограничи операция.
Но няма да ти каже да преведеш всичко на IBAN, продиктуван от непознат глас.
Схема 3: “Revolut Security / Department”
Тук измамата често идва през Viber, WhatsApp, Telegram или директно телефонно обаждане.
Представят се като “Revolut Security”, “Revolut Department”, “Support Team” или друг подобен измислен отдел.
Сценарий:
Понякога искат да инсталираш:
- AnyDesk;
- TeamViewer;
- QuickSupport;
- друго приложение за отдалечен достъп.
Финансова институция няма да те кара да инсталираш remote access приложение, за да “спаси” парите ти. Това е все едно непознат да ти каже: “Дай ми ключа от къщата, за да проверя дали крадецът не е вътре.”
Не. Просто не.
Схема 4: “Фалшив SMS от куриер, пощи или институция”
Получаваш SMS:
Или:
Или:
Линкът води към сайт, който прилича на реален сайт на куриер, пощи, банка или институция. Само домейнът е друг.
Червени лампи:
- домейнът е различен от официалния;
- има думи като secure, verify, delivery, support;
- има странно разширение;
- иска се карта за “малка такса”;
- има натиск да действаш веднага.
Проверяваш домейна.
Проверяваш възрастта му.
Проверяваш дали е официален.
Проверяваш дали изобщо имаш такава пратка.
Схема 5: AI voice cloning - “близък човек в беда”
Това е по-нова и много опасна категория.
Получаваш обаждане. Гласът прилича на син, дъщеря, внук, роднина, приятел. Говори бързо, паникьосано, накъсано.
Сценарий:
При достатъчно аудио от социални мрежи, сторита, видеа или гласови съобщения, съвременни AI инструменти могат да имитират човешки глас много убедително.
Не е нужно да е перфектно.
Трябва да е достатъчно добро за 20 секунди паника.
Правилният протокол:
- Затвори.
- Звънни обратно на познатия номер.
- Задай личен въпрос, който измамникът не би знаел.
- Използвай семейна “безопасна дума”.
- Не пращай пари под натиск.
Червени лампи за под 30 секунди
Без значение коя схема се използва, има общи сигнали.
Поведенчески сигнали
- “Имате 5 минути.”
- “Не затваряйте.”
- “Не казвайте на никого.”
- “Сметката ще бъде блокирана.”
- “Парите ви са в опасност.”
- “Това е стандартна процедура.”
- “Всички клиенти трябва да го направят.”
Технически сигнали
- Искат SMS код, TAN или еднократна парола.
- Искат PIN.
- Искат CVV.
- Искат пълен номер на карта.
- Искат да инсталираш AnyDesk, TeamViewer или QuickSupport.
- Искат да отвориш линк.
- Искат да направиш превод “за проверка”.
- Искат снимка на лична карта.
Комуникационни сигнали
- Обаждане от непознат номер през Viber/WhatsApp.
- Обаждане в извънработно време със “спешност”.
- Шум на call center, който звучи прекалено театрално.
- Глас, който не отговаря директно на лични въпроси.
- Служител, който се ядосва, когато кажеш, че ще звъннеш обратно.
Един сигнал е причина за пауза.
Два сигнала са причина да затвориш.
Три сигнала са сирена.
Какво банката никога не прави
Тази секция трябва да се знае наизуст.
Банка - която и да е нормална банка - никога не:
- иска SMS код по телефон;
- иска TAN код по телефон;
- иска PIN код;
- иска CVV номер;
- иска пълния номер на картата;
- иска парола за онлайн банкиране;
- иска да инсталираш remote access приложение;
- иска да преведеш пари към “сигурна сметка”;
- заплашва, че ако не действаш веднага, губиш всичко;
- иска да държиш разговора активен, докато правиш операции.
Ако някой поиска едно от тези неща - това не е банка.
Дори ако номерът изглежда като номер на банка.
Дори ако гласът е спокоен.
Дори ако знае името ти.
Дори ако знае част от данните ти.
Изтичания на данни има. Публични следи има. Социални мрежи има. Това, че някой знае три верни неща за теб, не значи, че има право да получи четвъртото.
30-секундният протокол при съмнително обаждане
Когато получиш съмнително обаждане, не спориш. Не доказваш, че си умен. Не играеш шах с измамника.
Следваш протокол.
Стъпка 1 - Пауза
Кажи:
Не обяснявай. Не се извинявай. Не влизай в разговор.
Стъпка 2 - Затвори
Не “останете на линия”.
Не “само да проверя”.
Не “кажете ми набързо”.
Затвори.
Стъпка 3 - Не използвай номера от входящото обаждане
Номерът може да е spoof-нат. Не му вярвай автоматично.
Стъпка 4 - Звънни на официален номер
За банка - използвай телефона от:
- гърба на картата;
- официалния сайт, отворен ръчно;
- мобилното приложение;
- документ от банката, който вече имаш.
Не използвай номер, продиктуван от обаждащия се.
Стъпка 5 - Докладвай
Ако има реален опит за измама:
- уведоми банката;
- пази номера, часа, SMS-и, линкове и скрийншоти;
- подай сигнал към ГДБОП / cybercrime.bg;
- при непосредствена опасност или активна измама - 112.
Какво да правиш, ако вече си дал код, карта, парола или достъп
Първо - не се сривай психически.
Измамите са проектирани да хващат хора точно в момент на напрежение, умора, страх или разсейване. Това не е моментът да се самоунищожаваш. Това е моментът да действаш.
Ако си дал SMS/TAN код
- Веднага се обади на банката от официален номер.
- Кажи ясно: “Дадох код при съмнително обаждане.”
- Поискай блокиране на рискови операции.
- Провери дали има преводи, нови получатели или нови устройства.
- Смени паролата за онлайн банкиране.
- Излез от всички активни сесии, ако системата го позволява.
Ако си въвел данни от карта
- Блокирай картата веднага.
- Провери последните транзакции.
- Оспори непознати операции.
- Поискай нова карта.
- Следи сметката поне 30 дни.
Ако си инсталирал AnyDesk, TeamViewer или подобно приложение
- Изключи интернет връзката.
- Деинсталирай приложението.
- Смени паролите от друго, чисто устройство.
- Провери за непознати приложения.
- Пусни пълна проверка със security tool.
- При съмнение - потърси специалист.
Ако си дал лични данни или снимка на документ
- Запази комуникацията като доказателство.
- Подай сигнал.
- Следи за опити за кредити, регистрации или злоупотреби.
- При нужда потърси консултация с институция или юрист.
Защо това не е “глупави хора попадат в измами”
Една от най-опасните мисли е:
Може.
Не защото си глупав. А защото си човек.
Социалното инженерство не атакува интелигентността. То атакува момента.
- когато си изморен;
- когато бързаш;
- когато чакаш реално обаждане;
- когато имаш проблем с банка;
- когато близък човек е болен;
- когато си на работа и мислиш за пет неща едновременно;
- когато темата е нова и неясна - като еврото.
Измамниците не търсят само “наивни хора”.
Те търсят натоварени хора.
Затова защитата не е “аз съм умен”.
Защитата е процедура.
Умният човек може да се подхлъзне.
Процедурата не се вълнува. Тя казва:
Това е цялата магия. Без дим, без огледала.
Какво да научиш близките си
Ако си технически грамотен, най-вероятно си първата защитна линия за хората около теб.
Не им пращай 20 страници теория.
Дай им три изречения.
- Ако някой се обади от банка и поиска код - затвори.
- Ако близък се обади в паника и иска пари - затвори и му звънни обратно на познатия номер.
- Никога не инсталирай приложение по телефонна инструкция.
Това е минимумът.
Можеш да добавиш и семейна безопасна дума - дума или кратка фраза, която знаете само вие. Ако някой се представи за близък човек в беда, искаш думата. Ако я няма - няма пари, няма превод, няма действие.
Да, звучи леко като филм.
Но 2026 година вече доста прилича на филм, само че без гарантиран happy end.
Мини OSINT проверка при съмнително съобщение
Ако имаш линк от SMS, имейл или чат:
- Не го отваряй директно.
- Виж домейна внимателно.
- Провери дали е официалният домейн.
- Потърси името на сайта + “измама”.
- Провери WHOIS, ако домейнът изглежда съмнителен.
- Провери дали фирмата съществува.
- Провери дали има реални контакти.
- Отвори официалния сайт ръчно, не през линка.
Пример:
В OSINT малката разлика е голяма следа.
Какво следва в Cyber Bunker
Тази тема е мост между предишните OSINT уроци и реалната защита на хората.
Следващи теми, които заслужават отделно развитие:
- AI voice cloning - какво представлява, защо работи и как да се защитим.
- Фалшив SMS от куриер - разбор на домейни, линкове и phishing страници.
- Как се проверява подозрителен линк без да го отваряш директно.
- Как да защитим родителите си от телефонни измами.
- Как да направим личен incident response план.
- Какво да държиш записано офлайн при банков инцидент.
OSINT не е само “разследване”.
OSINT е умението да виждаш публичните следи, преди някой да използва твоето доверие срещу теб.
Финална мисъл
Много от протоколите, върху които лежи ежедневието ни, са създадени в ера на повече доверие и по-малко масова злоупотреба.
Имейлът може да покаже “From”, който изглежда убедително.
Телефонът може да покаже caller ID, който изглежда познат.
Сайтът може да има катинарче и пак да е измама.
Гласът може да звучи като близък човек и пак да е синтетичен.
Това не значи, че трябва да живеем в страх.
Значи, че трябва да живеем с нова дигитална грамотност.
Не вярвай сляпо на дисплея.
Не вярвай сляпо на гласа.
Не вярвай сляпо на спешността.
Провери.
Източници и полезни връзки
- Българска народна банка - въпроси и отговори за еврото и платежните операции
- ГДБОП - предупреждения за онлайн измами около въвеждането на еврото
- ГДБОП - контакти и дирекция “Киберпрестъпност”
- Europol - Caller ID Spoofing Position Paper
- CRTC / FCC - STIR/SHAKEN и автентикация на caller ID
- Scientific Reports / Nature - изследвания за трудността при разпознаване на AI-клонирани гласове
SEO ключови думи: евро измама, измама с превалутиране, телефонна измама България, caller ID spoofing, SIP spoofing, фалшиво обаждане от банка, SMS код измама, TAN код измама, Revolut измама, Revolut Department измама, AnyDesk измама, TeamViewer измама, фалшив SMS Econt, фалшив SMS Speedy, фалшив SMS Български пощи, AI voice cloning измама, deepfake обаждане, фалшив глас, сигурна сметка измама, ГДБОП киберпрестъпност, OSINT България, киберсигурност, защита от телефонни измами, защита от онлайн измами, Cyber Bunker, DTGaraGe
Автор: Тони Ангелчовски | Ексклузивно за DTGaraGe
Копирането и препубликуването без разрешение не е позволено 
Подкрепи проекта: https://dtgarage.eu/donate
Last edited: