Authorised Push Payment (APP) измамите - как работят и как да се предпазим

Какво всъщност е APP fraud?

Authorised Push Payment (APP) fraud е престъпление, при което жертвата сама превежда пари в сметката на измамника, убедена, че изпълнява напълно легитимно плащане. За разлика от класическата кражба на карта или хакерски пробив, тук парите напускат сметката с съгласието на титуляра, но под въздействието на социално инженерство.

Думата „authorised“ (упълномощено) е ключова – банката вижда, че преводът е иницииран от самия клиент и често го одобрява в рамките на секунди, което прави връщането на парите изключително трудно.

„Триъгълникът на доверието“ – моделът на атака

1. Идентичност: Измамникът се представя за банков служител, данъчен инспектор, доставчик на услуги или дори колега от IT отдела.
2. Спешност: Съобщението е „спешно“, „само днес“, „сметката ви ще бъде блокирана“. Натискът парализира критичното мислене.
3. Канал: Използват се телефон (вишинг), SMS (смишинг), имейл (фишинг), фалшиви сайтове или комбинация от тях.

Разновидности, които върлуват в България през 2025 г.

1. „Фалшив CEO“

Киберпрестъпници компрометират имейла на управителя и изпращат заповед на счетоводството за спешен превод към „нов доставчик“. Сумите обикновено са 50 000 – 200 000 лв.

2. „Спешна смяна на IBAN“

Клиент получава SMS/имейл от „мобилния си оператор“ или „електроразпределението“, че IBAN-ът за директен дебит е променен и трябва да се актуализира до 15 минути, за да не спрат услугите.

3. „Полицията ви търси“

Жертвата получава обаждане от „МВР-Киберсигурност“, че сметката ѝ е „компрометирана от терористи“. За „доказателство“ се иска да преведе парите си на „сигурна сметка в БНБ“ за 24 часа.

Технически слой – как се подсилва доверието

• Deepfake аудио – клониран глас на шеф или роднина, генериран с 20-секунден запис от TikTok.
• Фалшиви сайтове 1:1 – използват се CDN-и и AI-инструменти за дизайн, за да се пресъздаде точно банковата страница.
• QR-ishing – фалшиви QR кодове на фактури, водещи към фишинг форма за „обновяване на сметка“.

Защо банките не могат просто „да върнат“ парите?

• Instant SEPA – парите се превеждат за секунди в друга банка и се изтеглят в кеш.
• Мълниеносно „размиване“ – използват се „money-mule“ сметки: студенти продават IBAN-ите си за 200 лв.
• Липса на централизирана след-следствена рамка – в ЕС няма единен регистър на „муле“ сметки, което забавя разследването.

7 правила за лична защита

1. Винаги обаждане на обратно – затворете и наберете официалния номер на гърба на картата.
2. Двойна проверка на IBAN – използвайте БИСЕРА (банкова справка за IBAN) или се обадете на получателя по познат телефон.
3. Бавете се – никоя истинска институция няма да ви притиска за 5 минути.
4. Споделяйте в семейството – APP измамите често таргетират възрастни родители.
5. Включете „блокиране на нов получател“ – повечето банки позволяват първоначално „тестово“ плащане от 1 лв.
6. Използвайте PGP или поне Signal за чувствителна бизнес кореспонденция, за да не се подменят имейли.
7. Докладвайте – дори неуспешен опит се докладва на cybercrime@mvr.bg и на банката.

Заключение: APP fraud е хак на човешкото доверие

Техническите защити – EDR, антифишинг, DNS филтри – са безсилни, ако жертвата сама въведе командата. Затова осъзнатостта е последната и най-важна бариера. Споделете статията с колеги и роднини – всеки спасен лев е победа срещу социалното инженерство.

Искате да научите повече в безопасна среда?
На store.nit.bg ще намерите онлайн обучения по информационна сигурност, включително и как да се предпазим от различни видове измами.