За разследващите от ГДБОП следната ситуация е добре позната.
Мъж е писал онлайн с жена. Месеци наред. Живеела в чужбина, имала атрактивна снимка и говорела нежно за общо бъдеще. Някъде между третата и петата седмица споменала, че разбира от инвестиции и изпратила линк към платформа, в която автоматичен търговски бот работел с акции, злато и криптовалута и обещавал да утрои спестяванията за три седмици.
Първите вноски растели на екрана. Печалбата изглеждала истинска и можела да се тегли. После платформата поискала още. После поискала данък върху печалбата, преди да освободи парите. После изчезнала.
По думите на Владимир Димитров, директор на дирекция „Киберпрестъпност“ в Главна дирекция „Борба с организираната престъпност“ към МВР, такива случаи са всекидневие.
Жертвите са „всякакви“ – IT специалисти, шофьори, преподаватели, служители в държавната администрация. Възрастта им е между 35 и 70 години. Средната загуба е между 50 000 и 70 000 лева. Около 70% са мъже.
Схемата има неприятно име. Възникнала е в Китай, документирана е около 2016 г. и там я наричат ша джу пан – „клане на угоено прасе“. Метафората описва метода със студена прецизност: измамникът най-напред „угоява“ жертвата с внимание, фалшива близост и малки печалби, а когато доверието натежи, я „заколва“, като я убеждава да вложи всичко. В английския език терминът се наложи като pig butchering.
През декември 2024 г. Интерпол, международната организация на криминалната полиция, призова този израз да бъде изоставен. Аргументът е, че думата „прасе“ дехуманизира и засрамва пострадалите, което ги отказва да подават сигнали. Полицията предлага по-неутралното romance baiting, или „романтична примамка“. Спорът за името всъщност описва най-важното свойство на схемата. Тя работи именно защото жертвата се срамува. А срамът мълчи.
Дълго време това изглеждаше като частна трагедия. Самотен човек, празна сметка, история, която никой не разказва на глас. Промяната през последните две години е, че измамата си намери втори адрес. Тя се научи да влиза през вратата на офиса.
Двете врати
Класическата фишинг атака разчита на бързината. Фалшив имейл, спешно съобщение, един погрешен клик. Дългата игра прави обратното. Тя инвестира седмици и месеци в един човек, за да направи финалната молба да изглежда естествена, а не подозрителна. Тази търпеливост е и причината защитите, обучени да разпознават спешността, често да я пропускат.
Към компанията схемата обикновено минава през две врати.
Първата е служителят като пряка мишена. Тук ловната територия е LinkedIn – професионалната социална мрежа, в която милиони хора публикуват длъжността си, екипа и кариерата си. За измамника това е готова организационна схема. Той вижда кой контролира плащанията, кой има достъп до системите, кой току-що е сменил работа и търси следваща. После създава излъскан профил на инвеститор, консултант или партньор и започва бавния разговор.
Мащабът на проблема личи в собствените числа на платформата. Само през втората половина на 2024 г. LinkedIn е премахнал над 80.6 млн. фалшиви акаунта още при регистрация, спрямо 70.1 млн. през предходния период. Това са профилите, които автоматизираните алгоритми хващат, преди да стигнат до някого. Онези, които се промъкват, са най-добре направените.
През лятото на 2025 г. американският експерт по сигурността Уолтър Уилямс получава в LinkedIn оферта за поверителна позиция CISO – директор по информационната сигурност, най-високата длъжност за защита на данните във всяка компания. Разговорът е продължил над три месеца. Имало е подписан по електронен път договор, детайли, търпение.

Целта е Уилямс да вложи поне 1000 долара в „инвестиция“, свързана с новата му работа. Той разпознава капана рано и го документира. Ашли Джес, анализатор в американската компания за разузнаване на киберзаплахи Intel 471, обяснява защо подходът е типичен: нападателите започват контакт в рамките на доверени платформи, именно защото там човек сваля гарда. Покана за работа от рекрутер изглежда безобидна. В това е силата ѝ.
Когато мишената има финансови правомощия или просто използва служебния лаптоп за личната измама, личната катастрофа може да се превърне в корпоративна. Фалшивата платформа може да поиска данни за вход. Откраднатите данни могат да отворят достъп до системи, които нямат нищо общо с първоначалната жертва. Така измамата, започнала като романс в обедната почивка, се озовава в мрежата на работодателя.
Втората врата е по-тиха и по-коварна: служителят се превръща в несъзнателен канал.
Това е мостът, който ГДБОП вижда отблизо. Най-сериозната киберизмама срещу българския бизнес от години носи името „Сменен IBAN“.
Механизмът е следният: престъпник прониква в имейл кореспонденцията между две фирми, изчаква реален разговор за реална фактура и в точния момент подменя само едно нещо – номера на банковата сметка за плащане. Парите тръгват, но не натам, накъдето трябва. На западния жаргон това се нарича Business Email Compromise – компрометиране на бизнес кореспонденция. През 2024 г. по тази схема в ГДБОП са постъпили около 130 сигнала със загуби от порядъка на 13 млн. евро. Само за първите девет месеца на 2025 г. над 70 фирми вече са изгубили близо 5 млн. евро, а сигнали постъпват почти всяка седмица.
Открадната по този начин сума трябва бързо да бъде изведена. Тя минава през „парично муле“ – човек, който приема чужди пари по сметката си и ги препраща нататък, обикновено срещу процент, понякога без изобщо да разбира какво прави. И тук двете врати се срещат.
Около една десета от „мулетата“, които ГДБОП проследява, се оказват жертви на друга измама. Димитров описва конкретен случай. По банкова сметка на българка влизат 50 000 долара от пострадала американска фирма. Полицията я открива. Жената обяснява: накарал я приятелят ѝ от социалната мрежа, „американски генерал“, с когото вярвала, че е във връзка. Тя е жертва на романтична измама и едновременно с това е звеното, през което чужда компания е изгубила парите си.
Една измама захранва друга. Самотата на единия, плаща за пробива в счетоводството на другия. Това е затвореният кръг, който прави схемата толкова трудна за спиране.
Фабриките за доверие
Лесно е да си представим в другия край на чата един находчив мошеник. Реалността е в индустриални мащаби.
През април 2025 г. Службата на ООН по наркотиците и престъпността публикува доклада Inflection Point, един от най-обстойните анализи на явлението до момента. Изводът е, че измамите вече се произвеждат в мащаб. В Югоизточна Азия работят стотици „измамни комплекси“ – оградени съоръжения, организирани като кол центрове, в които хиляди хора по сценарий обработват жертви по цял свят. По оценка на службата, тези операции генерират близо 40 млрд. долара годишна печалба.
Голяма част от „работниците“ в тези комплекси са жертви на трафик. Примамени с обяви за добре платена работа в маркетинг или техническа поддръжка, те са прехвърляни през граница, паспортите им са отнети, а свободата им – също. Човекът, който „угоява“ жертвата от другата страна на екрана, често сам е затворник, принуждаван под заплаха да върши същото, на което е станал жертва.
Технологията прави всичко това евтино и бързо. Сценариите са написани върху психологически модели за привързаност и доверие. Снимките са крадени или генерирани. Все по-често в употреба влизат deepfake видеа – синтетични кадри, в които несъществуващ човек говори и се усмихва на видеоразговор достатъчно убедително, за да заглуши последното съмнение. Фирмата за блокчейн анализи Chainalysis оцени криптоизмамите за 2024 г. на около 12.4 млрд. долара, като инвестиционните схеми от този тип заемат голям дял.
Парите изчезват по същата индустриална логика. Внесеното от жертвата се прехвърля моментално през вериги от посреднически сметки и крипто портфейли, разпръсква се през стотици адреси и излиза в юрисдикции със слаб финансов контрол. Възстановяването на средства е рядкост.
Българската сметка
България отдавна е част от тази карта.
В края на 2025 г. дирекция „Киберпрестъпност“ на ГДБОП се включи в международна операция, разбила мрежа за криптоизмами и фалшиви реклами, изпрала над 700 млн. евро през десетки фалшиви инвестиционни платформи. Разследването обедини осем държави с координацията на Европол – агенцията на ЕС за полицейско сътрудничество, и Евроджъст – агенцията за съдебно сътрудничество. Арестите минаха на два етапа през октомври и ноември. Бяха иззети пари в брой, криптовалута, имоти и луксозни часовници.
Числата от чужбина потвърждават посоката. В САЩ операция на ФБР с името Level Up, започната, за да издирва и предупреждава жертви на криптоинвестиционни измами, е уведомила 8103 души към декември 2025 г. 77% от тях изобщо не са подозирали, че са измамени, преди полицията да почука. Предотвратените загуби надхвърлят 511 млн. долара.
Зад тези суми стоят конкретни хора, които често мълчат. Рецензирано проучване, представено през 2025 г. на конференцията по сигурност и поверителност SOUPS, проследи жизнения цикъл на схемата и установи това, което прави официалните числа непълни: около 73% от пострадалите изпитват такова унижение, че не споделят преживяното и не търсят помощ. Реалната сметка е по-голяма от регистрираната. Точно затова спорът на Интерпол за думата „прасе“ има значение. Срамът е част от бизнес модела.
Какво вижда счетоводството
За компанията поуката е неудобна, защото размива границата между личния живот на служителя и сигурността на фирмата.
Защитата срещу спешен фишинг има ограничен ефект срещу тази схема. Дългата игра не носи обичайните червени флагове на паника и натиск. Тя носи търпение. Затова мерките, които имат значение, са организационни, технологични и процедурни едновременно.
Промяна на банкова сметка по фактура трябва да се потвърждава по втори, независим канал, а не само по имейл. Големите преводи трябва да изискват повече от едно одобрение. Многофакторното удостоверяване трябва да прави открадната парола недостатъчна сама по себе си. А обучението трябва да показва на хората как изглежда бавно изграденото доверие, защото фалшивият имейл вече е само една част от проблема.
Точно тук киберсигурността излиза от рамката на отделния софтуер и се превръща в част от начина, по който една компания работи. Доставчици на решения за киберсигурност като А1 могат да помогнат на бизнеса да изгради процеси, при които един разговор, един имейл или една открадната парола остават сигнал за проверка, вместо да се превърнат във финансов удар.
Видимото в тази история е винаги спретнато. Излъскан профил в професионална мрежа. Топло съобщение в неделя вечер. Чиста фактура с една-единствена сменена цифра. Усмихнато лице на видеоразговор.
Скритото е друго. Ограден комплекс на хиляди километри. Принуден оператор, който следва сценарий. Верига от сметки, която отмива парите за минути. И в българския случай – двама пострадали наведнъж: единият самотен, другият с пробита счетоводна сметка, свързани от един превод, който никой в офиса не е поискал.
Компаниите харчат, за да пазят периметъра си от пробив отвън. Тази измама не пробива стената. Тя влиза през приемната, представя се любезно и чака да я поканят.
Публикувано съгласно указанията на Economic.bg





