OSINT за начинаещи: кой стои зад имейл, IP и домейн

Когато получиш странен имейл – „банката“ ти иска да потвърдиш данни, „куриер“ ти иска плащане, „данъчни“ искат да свалиш прикачен файл – най-лошото, което можеш да направиш, е да кликаш без да мислиш. Вместо това можеш да използваш описаните тук OSINT за начинаещи техники. Те са достъпни за всеки, който иска да провери кой реално стои зад имейл, IP адрес и домейн.

В тази статия ще минем стъпка по стъпка през базови, но много практични начини да проверяваш съмнителни съобщения, без да си експерт по киберсигурност. Целта не е да „хакваш“ хора, а да се защитиш и да разпознаваш фишинг и измами навреме.

OSINT за начинаещи: как да разбереш кой стои зад имейл, IP и домейн (за твоята киберсигурност)

Съдържание на тази страница:

Какво е OSINT за начинаещи, т.е. за обикновени потребители

OSINT (Open Source Intelligence) е събиране и анализ на информация от публично достъпни източници – уебсайтове, публични регистри, социални мрежи, DNS и WHOIS записи, специализирани OSINT инструменти.

Когато говорим за лична киберсигурност, OSINT е начин да провериш дали един имейл, сайт или онлайн оферта са надеждни, преди да дадеш лични данни или пари.

Стъпка 1. Първичен оглед на имейла (без никакви инструменти)

Преди да ползваш каквито и да било сайтове и анализатори, можеш да хванеш много измами само с „очи и здрав разум“. Когато отвориш имейла (без да сваляш прикачени файлове и без да кликаш по линкове), провери:

От кого идва имейлът
Погледни реалния имейл адрес, а не само „името“. Фишинг имейлите често използват адреси като support-banka@random-domain.com вместо официалния адрес на банката.
Език и правопис
Странен стил, буквални преводи, граматически грешки и прекалено настойчив тон са класически признаци на измама.
Нелогични искания
„Спешно въведи паролата си“, „изпрати ни лична карта“, „плати такса“, за да освободим пратката“ – истинските институции почти никога не правят това по имейл.
Линкове (без да кликаш)
Сложи курсора върху линка и виж реалния URL. Ако пише „banka.bg“, а линкът всъщност води към нещо като secure-banka-login.xyz – това е тежък червен флаг.

Ако още на този етап нещо мирише на измама, има смисъл да задълбаеш с OSINT техниките от следващите стъпки.

Виж още: Как да разпознаеш имейл фишинга през 2026 и да защитиш данните си

Стъпка 2. Какво представлява имейл хедър и защо е важен

Всеки имейл съдържа т.нар. хедър – невидимата за обикновения потребител част, в която има технически детайли: през кои сървъри е минал, кога е изпратен, от какъв IP е тръгнал, какви са зададените от изпращача настройки.

Хедърът е златна мина, ако искаш да разбереш дали писмото идва оттам, откъдето твърди, но е труден за четене на ръка, затова се използват онлайн анализатори.

Как да извадиш хедъра (Gmail и Outlook)

Gmail:

Отваряш имейла.
Кликваш на трите вертикални точки горе вдясно.
Избираш „Show original“ (Показване на оригинала).
Gmail показва SPF/DKIM/DMARC резултати и целия хедър отдолу – копираш го.

Outlook (десктоп):

Отваряш имейла в отделен прозорец.
Отиваш на File–>Properties.
В секцията „Internet headers“ копираш целия текст.

Този текст ще поставиш в анализатор.

Инструменти за анализ на имейл хедър

Google Admin Toolbox – Messageheader:
https://toolbox.googleapps.com/apps/messageheader/
Поставяш хедъра и получаваш визуализация на маршрута, време закъснения по пътя и основни данни за сървърите.
MxToolbox Email Header Analyzer:
https://mxtoolbox.com/EmailHeaders.aspx
Парсва хедъра по RFC 822, показва SPF/DKIM/DMARC статус и може да подчертае потенциални проблеми, свързани със спуфинг и фишинг.
WhatIsMyIP.com Email Header Analyzer (алтернатива):
https://www.whatismyip.com/email-header-analyzer/
Фокусиран върху по-разбираемо обяснение на полетата в хедъра – подходящ за начинаещи.
Този инструмент за проследяване на имейли може да ти помогне да проследиш откъде е дошъл имейлът, който си получили https://whatismyipaddress.com/trace-email.

Има ли провалени SPF/DKIM/DMARC проверки – това често е знак за фалшифициран имейл.

Какво да гледаш като обикновен потребител:

От кои сървъри е минал имейлът и дали има странни междинни хостове.
Съответстват ли домейнът в полето „From“ и техническите сървъри, които реално го изпращат.
Има ли провалени SPF/DKIM/DMARC проверки – това често е знак за спуфнат (фалшифициран) имейл.

Стъпка 3. Проследяване на IP адрес за начинаещи

В хедъра често има IP адреси на сървъри, през които е минал имейлът, или на първоначалния изпращач. IP адресът е като цифров „пощенски код“ – може да даде обща представа за местоположението и доставчика.

Важно: IP геолокацията е приблизителна – обикновено показва държава, град и доставчик (ISP или хостинг компания), а не точния адрес на човек.

Инструменти за IP геолокация

IP-Tracker.org – IP Geolocation / Lookup:
https://www.ip-tracker.org/ip-to-location.php
Показва държава, град, ISP, евентуални допълнителни детайли за IP-то.
IPinfo Demo / други IP lookup услуги:
Много услуги (напр. IPinfo, IP-API) позволяват бърза проверка на IP и показват дали е дата център, VPN, прокси и др.

Как да разсъждаваш по резултатите:

Имейл твърди, че е от българска банка, а IP адресът е на евтин хостинг в друга държава – това е червен флаг.
Имейл от „приятел“, чийто IP излиза от регион, който изобщо не съвпада с неговото местоположение, може да е знак за компрометиран акаунт.

Виж още: Какво е IP адрес – пояснение на използване, структура, защита

Стъпка 4. Проверка на домейна – кой стои зад сайта

Всеки линк в имейла води към домейн – примерно banka.bg, secure-banka-login.com, courier-support.net. Домейнът е централен елемент в OSINT проверката.

Бърза визуална проверка на домейна

Проверяваш изписването – измамниците често ползват домейни, които приличат визуално: bаnka.bg (подменена буква), banka-bg.com, mybanka-secure.net.
Разширението – несъответстващо TLD (примерно .xyz или .top) може да е сигнал, особено ако официалният сайт е .bg или .com.
Структура – прекалено дълги субдомейни с „secure-login-verification“ и подобни звучат съмнително.

WHOIS и OSINT за домейни

WHOIS ти дава публична информация за домейна: кога е създаден, кой е регистраторът, евентуален собственик или поне държава на регистрация.

Можеш да препоръчаш:

WhoisFreaks / друг WHOIS lookup:
Пример: https://whoisfreaks.com, https://whois.domaintools.com/, разширение за Chrome (или всяко стандартно WHOIS търсене – много сайтове го предлагат).

Какво да гледаш:

Дата на регистрация – домейн, регистриран преди дни/седмици, който се представя за „официален сайт“ на голяма институция, е подозрителен.
Регистратор и държава – не са решаващи сами по себе си, но в комбинация с други сигнали помагат да видиш картината.
Privacy защита – скрит собственик не е автоматично лошо, но при държавни институции и големи банки често има по-прозрачна информация.

WHOIS ти дава публична информация за домейна

Стъпка 5. Reverse email / people search – допълнителен контекст

Освен през IP и домейн, можеш да провериш и самия имейл адрес чрез reverse email search – т.е. да видиш каква публична информация е свързана с него.

Типични неща, които можеш да откриеш:

свързани социални профили или регистрации в услуги (чрез OSINT инструменти)
дали имейлът фигурира в бази данни за изтичания (data breaches)
има ли публични оплаквания, че този имейл се използва за измами.

Конкретен пример:

Spokeo Email Search:
https://www.spokeo.com/email-search
Услуга за reverse email lookup, която опитва да свърже имейла с име, профили и други публични данни.

Spokeo Email Search – нужно е да се заплати 0.95$ за търсене

Има и по-професионални OSINT платформи (като OSINT Industries, UserSearch и др.), които автоматизират тази проверка, но за този тип OSINT за начинаещи, който ти представям, е достатъчно да се знае, че такава проверка изобщо е възможна.

Важно: Данните, които се предоставят, не винаги са 100% точни. Те трябва да се ползват като сигнали, а не като окончателно доказателство.

Как да съчетаеш всичко в реален сценарий

Ето как изглежда една примерна „игра на детектив“ с OSINT, когато получиш съмнителен имейл:

Оглеждаш съдържанието – адрес на подателя, стил, линкове, искания.
Изваждаш хедъра и го анализираш с:
- Google Admin Toolbox Messageheader: https://toolbox.googleapps.com/apps/messageheader/
- или MXToolbox Email Header Analyzer: https://mxtoolbox.com/EmailHeaders.aspx.
Вземаш IP адрес от хедъра и го пускаш през IP-Tracker или IP геолокационен инструмент, за да видиш държава/град/доставчик.
Проверяваш домейна от линковете с WHOIS (напр. WhoisFreaks или друг WHOIS сайт), за да видиш датата на регистрация и основна информация.
По желание – правиш reverse email search на самия имейл адрес в услуги като Spokeo или подобни, за да провериш има ли нормална „история“ около него.
Събираш всички сигнали и преценяваш дали това изглежда като легитимен контакт или като измама.

Виж още: Какво са скамери и как да се предпазиш от скамери

Чеклист: червени флагове за фишинг и измами

Запази си този списък и го използвай всеки път, когато се чудиш дали да вярваш на даден имейл:

1. Имейл адресът на подателя е леко променен спрямо официалния (допълнителни букви, други домейни).

2. Стилът е спешен и заплашителен – „ако не реагираш до X часа, губиш достъп/пари“.

3. Иска чувствителни данни: парола, PIN, номер на карта, копие от документ.

4. Линковете водят към нов или съмнителен домейн, който не изглежда като официалния сайт на институцията.

5. Анализът на хедъра показва несъответствия или провалени SPF/DKIM/DMARC проверки.

6. IP геолокацията показва странен източник, който не съвпада с историята, която имейлът разказва.

Ако виждаш два или повече от тези сигнали, най-сигурното е да не кликваш, да не отговаряш и да докладваш имейла.

Правни и етични граници на OSINT за лична употреба

Когато използваш този лек тип OSINT за начинаещи – като обикновен потребител, важно е да останеш от страната на закона и етиката:

Използваш само публично достъпна информация и легитимни инструменти.
Целта ти е самозащита – да решиш дали да се довериш на имейл/сайт, а не да тормозиш или „разобличаваш“ публично хора.
Не публикуваш лични данни на други в социални мрежи (doxxing).
Спазваш законите за защита на личните данни (GDPR) и условията на сайтовете, които ползваш.

Ако попаднеш на сериозна измама, изнудване или заплаха, OSINT може да ти помогне да разбереш ситуацията, но следващата стъпка е да се свържеш с банката/институцията по официални канали или с компетентните органи.

FAQ: често задавани въпроси

Мога ли да разбера точния адрес на човек по IP?

Не. Публично достъпните IP геолокационни услуги показват само приблизителна информация – държава, град, доставчик. Точни адреси са достъпни само за доставчици и органи на реда по законов ред.

Законно ли е да проверявам имейл, който ми е писал?

Да, докато използваш публични данни и не нарушаваш ничии права – OSINT с публична информация за самозащита е нормална практика.

Какво да направя, ако установя, че имейлът е измама?

– Не кликай по линкове и не сваляй прикачени файлове.
– Маркирай имейла като спам/фишинг в пощата си.
– Свържи се с банката/компанията през официалния им сайт или телефон и попитай дали имейлът е истински.
– При финансови загуби или заплахи – сигнализирай на компетентните органи.

Заключение

Вече разбра какво е OSINT? Когато започнеш да гледаш имейлите си през призмата на „малък OSINT детектив“, ти реално повишаваш собственото си ниво на киберсигурност, без да ставаш експерт или хакер. С няколко базови стъпки – визуална проверка, анализ на хедъра, проследяване на IP адреса и домейна, плюс reverse email търсене – можеш да хващаш голяма част от фишинг опитите още преди да си кликнал на нещо.

Най-важното е да запомниш, че целта на тези техники не е да шпионираш други хора, а да взимаш по-информирани решения за собствената си безопасност онлайн. Колкото повече свикваш да мислиш критично за имейлите, линковете и „официалните“ съобщения, толкова по-трудна мишена ставаш за измамниците. Това е една от най-добрите инвестиции, които можеш да направиш за себе си и близките си.