К огато служебният имейл, SMS кодовете и личните чатове са на един екран, корпоративният риск започва от устройството в джоба
Корпоративна атака, която стига до семейните снимки в личния телефон, звучи като абсурд. На 11 март 2026 г. това се случва в Stryker.
Става дума за една от най-големите компании за медицински технологии в света - с около 56 000 служители, присъствие в 79 държави и техника, използвана в болници по цял свят. В този ден част от служителите ѝ включват компютрите си и вместо обичайния екран за вход виждат логото на хакерска група.
После отварят и личните си телефони. Снимките са изчезнали. eSIM картите са нулирани. Приложенията за автентикация липсват. WhatsApp е празен. Устройствата изглеждат като върнати към фабрични настройки.
Причината, според описанията на случая, е в начина, по който личните устройства са били свързани с работата. Телефоните са били включени в корпоративна система за управление - част от т.нар. BYOD модел, при който служители използват личните си телефони или лаптопи за служебен достъп.
Когато атакуващите задействат команда за изтриване, тя стига и до тези телефони. За системата те вече са част от фирмената среда, макар в тях да има семейни снимки, лични чатове, банкови приложения и електронни SIM карти.
Така атаката срещу компанията засяга и личния живот на служителите. Телефонът е бил личен, но достъпът през него - корпоративен.
В този детайл е рискът, който все повече компании подценяват. Един личен телефон вече може да събере цялата повърхност на атака: служебна поща, SMS кодове, LinkedIn, WhatsApp, онлайн банкиране и достъп до вътрешни системи. Когато човекът бъде подведен, а устройството - заразено или управлявано отвън, проблемът бързо излиза извън личната среда.
Работа и личен живот на един екран
Идеята, че личният телефон стои отделно от работата, все по-трудно описва реалността. Verizon Data Breach Investigations Report за 2025 г. - един от най-внимателно следените годишни доклади в киберсигурността - показва колко размита е тази граница. Близо половината устройства, които пазят корпоративни данни за достъп, не са под пълния контрол на компанията. Те са лични телефони и лаптопи, използвани за работа.
Данните на американската компания за мобилна сигурност Lookout показват същото през ежедневното поведение на хората. Седем от десет напълно дистанционни служители и петима от десет, работещи по хибриден модел, смесват професионални и лични задачи на едни и същи устройства. Почти половината използват една и съща парола за работни и лични акаунти.
В много компании това вече е рутина. Служител проверява служебната си поща от личния телефон вечер. После отваря Instagram, онлайн банкиране, Viber чат със семейството, приложение за потвърждение на достъпа до фирмения VPN и линк от клиент. Всичко минава през един екран, едно устройство и често през една и съща мрежа.
За атакуващите този навик е ценен. Личният телефон „събира“ самоличността на човека, достъпа до компанията, контактите му, личните му навици и каналите, през които може да бъде подведен.
SMS-ът, обаждането и известието за вход
През последното десетилетие имейл фишингът беше основният канал за първоначално проникване. Корпоративните филтри се подобриха, а служителите започнаха да разпознават част от подозрителните имейли. Затова все повече атаки се преместиха към телефона.
SMS фишингът има много по-висока успеваемост. Според данни на Lookout делът на кликванията при SMS измами е между 19 и 36%. При имейл измамите този дял обикновено е между 2 и 4%.
Причината е лесна за разбиране. SMS-ът изглежда личен и спешен. Чете се на улицата, в магазина, в колата, в чакалнята на лекаря. Съобщение за доставка, глоба, банков проблем или код за профил изглежда като нещо, което изисква бърза реакция. Телефонът не дава усещането за работна среда, а точно там вече се намира част от работата.
През декември 2025 г. ФБР предупреди публично за кампания, която тече вече близо три години. Нападатели се представят за висши американски държавни служители - министри, съветници от Белия дом, конгресмени - и се свързват с техни роднини, познати и колеги. Не директно със самите служители, а с хората около тях.
Получават се SMS-и, които изглеждат изпратени от шефа на близкия. Получават се гласови съобщения, в които гласът звучи точно като неговия. Целта е да се изгради доверие и след това да се поиска нещо - пари, информация, достъп до защитена платформа.
Гласовете са „клонирани“ с изкуствен интелект. Съдържанието на разговорите е извлечено от публични интервюта, които същите тези служители са давали години по-рано. Атаката минава през личните телефони и личните мрежи от хора около тях.
Един от особено ефективните похвати в корпоративна среда е т.нар. изтощаване чрез известия. Телефонът на жертвата се пълни с искания за одобрение на вход - понякога посред нощ, многократно, едно след друго. Накрая човекът натиска „потвърждавам" от умора, раздразнение или объркване. Защитен механизъм, създаден да пази компанията, започва да работи като канал за натиск.
Телефонът като вход към мрежата
През пролетта на 2026 г. изследователите от Mandiant - подразделение на Google - документират нова заплаха. Между януари и май организирана група атакува десетки компании чрез личните устройства на служители и дистанционни работни настройки.
Нападателите се свързват със служители по телефона, представяйки се за „IT поддръжка". След това ги насочват към действия, които звучат като рутинна помощ: Zoom сесия, инсталиране на приложение за отдалечен достъп, влизане в служебна система от личния телефон. След няколко такива стъпки нападателят вече има достъп до корпоративна среда.
В записите на компанията всичко може да изглежда нормално. Служителят влиза от познато устройство, с валидни данни, през легитимно приложение. Рискът е зад екрана: сесията вече може да се управлява от друг човек. Това е най-трудният момент при личните устройства. Компанията продължава да се доверява на устройство, което вече работи срещу нея.
Освен прякото подвеждане има и друг тип атака, която работи без участието на жертвата - програмите за следене, известни като мобилен spyware. Те са особено опасни за хора с достъп до сделки, стратегическа информация, преговори, финансови решения и вътрешни документи.
Според годишния доклад за мобилна сигурност на Jamf, публикуван през април 2026 г., през 2025 г. са активни няколко такива платформи. Сред тях са Pegasus - известна с израелския си произход - и Predator. През 2026 г. се появяват нови имена като Coruna и DarkSword.
Част от тези инструменти са създадени за разузнавателни цели, но подобни технологии вече засягат и корпоративни мишени. Телефонът на директор може да струва скъпо, ако съдържа информация за сделка, придобиване, търг, съдебен спор или вътрешен конфликт.
Най-тежките атаки от този тип не изискват дори действие от страна на жертвата. Достатъчно е устройството да обработи определено съдържание - например снимка, изпратена в чат, която телефонът автоматично подготвя за визуализация. В подобен сценарий нападателят може да получи достъп до устройството, без потребителят изобщо да забележи.
Така мобилната сигурност излиза отвъд стария съвет „не кликвай върху съмнителни линкове". Понякога пробивът започва с функция, която телефонът изпълнява сам.
Българският бизнес и личният телефон
В България проблемът има особено практично измерение. Голяма част от местния бизнес не работи със строга граница между служебно и лично устройство. Корпоративният телефон често е привилегия за малка група хора. Много служители използват личните си устройства за работа, дори когато компанията няма официална политика за това.
Счетоводителят получава фактури във Viber. Собственикът отговаря на клиенти от личния си телефон. Търговецът пази контакти и договорки в WhatsApp. Управителят
одобрява спешни действия от колата, от вечеря или от почивка. Формално това може да не е политика, но на практика е работен процес.
През май 2026 г. ГДБОП проведе специализирана операция срещу организирана група за масови SMS измами. Старши комисар Владимир Димитров, директор на дирекция „Киберпрестъпност", описа механизма публично. Атакуващите се представят за КАТ, куриерски компании и банки. Телефонните номера на жертвите са събирани „чрез генериране и чрез изтекли или нелегални бази данни".
Това има пряко значение за бизнеса. Много хора вече се съмняват в непознат имейл, но SMS-ът все още носи усещане за личен канал. Съобщение за доставка, глоба, потвърждение на профил или проблем със сигурността изглежда като нещо, което трябва да се отвори веднага. Когато телефонният номер е свързан с имейл, компания, длъжност или изтекла база данни, атаката става по-точна.
За малките и средните компании рискът е особено остър. Много от тях нямат отделни служебни телефони, специализирани системи за управление на мобилни устройства или бюджет за допълнителна защита. Личният телефон на счетоводителката е и нейният работен телефон. Личният имейл на собственика често е и неговият бизнес имейл.
Затова киберсигурността вече обхваща и начина, по който бизнесът управлява мобилния достъп. Кои устройства стигат до чувствителни данни. Как се потвърждава самоличността на потребителя. Какво се прави при изгубен или компрометиран телефон. Как се отделя личното от служебното, когато двете са на един екран. Ролята на доставчици на решения за киберсигурност като А1 е да помогнат именно в тези практически въпроси: оценка на риска, правила за мобилен достъп, защита на имейл и идентичности, многофакторна автентикация, мониторинг и ясни процедури за реакция. Така достъпът през лични устройства може да бъде управляван, проверим и ограничен според риска.
Когато служебният имейл и личният Instagram се отварят със същия пръст на същия екран, старата представа за корпоративен периметър се разпада.
Днес входът към бизнеса може да бъде личният телефон на служител, който стои на плажа в Созопол и проверява дали клиентът е отговорил на офертата.
Защитата също минава оттам.