Фишингът остава една от най-често използваните техники за кражба на лични данни и финансови средства. Една от често срещаните разновидности е имейл, който твърди, че изпращачът е известна платформа или търговец, и изисква „потвърждение“ на възстановяване, плащане или лични данни. Последният пример – имейл, представящ се за TEMU, но изпратен от адрес на firebaseapp.com – е ясен пример за такава измама.

Резюме на конкретния случай

Имейлът твърди, че изпращачът е „TEMU.com“ и съдържа следните елементи:

• Заглавие: „Действие необходимо: Потвърдете възстановяването“.

• От: „TEMU.com“ (noreply@rrrr1010101010.firebaseapp.com).

• Сума за възстановяване: 247.50 лв, с референтен номер и 48-часов срок за действие.

• Призив за потвърждение чрез „защитена връзка“.

Тези елементи са използвани целенасочено, за да създадат усещане за легитимност и спешност.

Защо това е фишинг – ключови индикатори

1. Несъвместим домейн – реална компания като TEMU използва домейн  temu.com или официални подсайтове; използването на firebaseapp.com е типично за хоствани фалшиви страници.

2. Спешност и натиск – 48-часов срок и формулировки „Необходимо потвърждение“ целят да намалят времето за обмисляне и проверка.

3. Липса на персонализация – общо обръщение („Уважаеми клиент“) вместо име или част от профила ви.

4. Примамлива сума – евентуално възстановяване насочва вниманието към бърза печалба и желание да се действа веднага.

5. Неофициални или странни комуникационни канали – „noreply@rrrr1010…firebaseapp.com“ звучи анонимно и несвързано с легитимен бизнес.

6. Показване на „защитена връзка“, но без видим домейн – често линкът води към фалшива форма за въвеждане на данни.

Техническа диагностика – какво да проверите

• Проверка на заглавките (headers) – прегледайте Return-Path, Received, SPF, DKIM и DMARC резултати. При фишинг те често са невалидни или сочат към различни домейни/сървъри.

• Хост на линка – задържане на мишката върху линка (без клик) показва реалния URL. Ако домейнът не съвпада с официалния сайт – НЕ кликайте.

• IP и геолокация – ако имейлът идва от IP в необичайна държава за компанията, това е подозрително.

• SSL и сертификати – фалшивите сайтове могат да имат валиден SSL, но домейнът остава различен от официалния.

Какво да направите веднага

1. Не кликайте върху линкове и не сваляйте прикачени файлове от съмнителни имейли.

2. Не въвеждайте пароли, банкови данни или лична информация в страниците, към които имейлът ви подканя.

3. Докладвайте имейла чрез функцията „Report phishing“ във вашия имейл клиент или към IT/сигурност екипа.

4. Изтрийте съобщението или го преместете в карантина.

5. Ако вече сте кликнали и въвели данни – промяна на пароли, уведомяване на банката, мониторинг за неправомерни трансакции и незабавна комуникация с поддръжката на засегнатите услуги.

Превантивни мерки за организации

• Внедряване на SPF, DKIM и DMARC с правилни политики – това намалява успешното използване на вашия бранд в измамни имейли.

• Антифишинг филтри и URL репутация на имейл гейтуея.

• Регулярни обучения и симулации – фишинг тестове сред служителите с последващо обучение при провал.

• MFA (многофакторна автентикация) за всички критични системи и услуги.

• Централизирано логване и мониторинг – бързо откриване на компрометирани акаунти и масови атаки.

• Политика за докладване и бърза реакция – процеси за издаване на предупредителни писма и блокиране на съмнителни домейни.

Примерен шаблон за вътрешно съобщение до служителите (кратък)

• Заглавие: Внимание – фишинг имейл, имитиращ TEMU

• Съдържание: Не отваряйте линковете. Ако сте кликнали – смяна на пароли и известяване на IT. Прилагаме примерен скрийншот и инструкции за докладване.

Имейлът, който твърди, че е от TEMU, но е изпратен от адрес в firebaseapp.com, е фишинг опит. Ключовите признаци са несъвпадащи домейн, спешност, общо обръщение и призив за въвеждане на чувствителни данни. Незабавното действие е да не взаимодействате с имейла, да го докладвате и да приложите описаните превантивни и реактивни мерки.