Фішинг — найпоширеніший вид кіберзлочинності у світі. Щороку мільйони людей втрачають гроші та особисті дані через підроблені листи, сайти і телефонні дзвінки. Стаття пояснює, як працює фішинг, які бувають його різновиди і що конкретно можна зробити, щоб не стати жертвою.
Фішинг — це різновид інтернет-шахрайства, коли зловмисники, маскуючись під банки, державні органи чи відомі компанії, намагаються обманом отримати паролі, номери карток, коди з SMS або інші конфіденційні дані.
- 🔹 Слово «фішинг» (phishing) — від англ. fishing, «рибальство»: шахраї «закидають вудку» і чекають, хто клюне
- 🔹 Основні канали: електронна пошта, SMS, месенджери, телефонні дзвінки, підроблені сайти
- 🔹 Мета завжди одна: змусити вас самостійно передати дані або перейти на фейковий сайт
- 🔹 Головний захист: ніколи не передавайте паролі, CVV і коди з SMS нікому — навіть «співробітнику банку»
Як працює фішинг: механізм обману
Фішинг — це атака не на комп’ютер, а на людину. Зловмисник не зламує систему технічно — він переконує вас добровільно передати дані або зробити потрібну дію. Саме тому фішинг називають різновидом соціальної інженерії: психологічного маніпулювання.
Типова схема виглядає так. Ви отримуєте повідомлення — лист, SMS або дзвінок — від нібито знайомої організації: банку, Нової Пошти, державного сервісу. Повідомлення створює терміновість або тривогу: «Ваш рахунок заблоковано», «Ваша посилка затримана», «Підозріла активність». Далі вас просять перейти за посиланням або повідомити дані. Посилання веде на підроблений сайт, який виглядає майже ідентично до справжнього. Ви вводите пароль або дані картки — і вони потрапляють до шахраїв.
Ключові психологічні важелі, які використовують шахраї: терміновість («потрібно зробити зараз»), страх («ваш рахунок буде закритий»), довіра до авторитету («служба безпеки банку») і заманлива вигода («ви виграли приз»).
Основні види фішингу
Фішинг давно вийшов за межі електронної пошти. Сьогодні атаки відбуваються через всі можливі канали комунікації.
| Вид | Канал | Типовий сценарій |
|---|---|---|
| Класичний фішинг | Електронна пошта | Лист від «банку» чи «Google» з проханням підтвердити дані |
| Смішинг (smishing) | SMS | «Ваша посилка на НП чекає — перейдіть за посиланням» |
| Вішинг (vishing) | Телефонний дзвінок | Дзвінок від «служби безпеки банку» — просять назвати CVV або код |
| Спір-фішинг (spear phishing) | Пошта, месенджери | Персоналізований лист із вашим ім’ям, деталями — під конкретну жертву |
| Вейлінг (whaling) | Пошта, пряме повідомлення | Цільова атака на топменеджерів компаній |
| Квішинг (quishing) | QR-коди | Підроблений QR-код на паркуванні, у рекламі — веде на фейковий сайт |
| Фішинг у соцмережах | Facebook, Instagram, Telegram | Фейковий акаунт друга або компанії — просить перейти за посиланням |
Смішинг
SMS-повідомлення особливо небезпечні тому, що на мобільному телефоні важче перевірити посилання — браузер показує скорочену адресу. Типові сценарії в Україні: повідомлення нібито від Нової Пошти, Укрпошти, «Дії», банку ПриватБанк або monobank. Текст завжди містить посилання і заклик до негайної дії.
Вішинг
Голосові атаки стали витонченішими після поширення штучного інтелекту. Голос «співробітника банку» може бути синтезованим, а номер — підробленим так, щоб збігатися з реальним номером на звороті вашої картки. Шахрай ніколи не попросить вас зайти до відділення — він попросить все вирішити «тут і зараз по телефону».
Спір-фішинг
На відміну від масових розсилок, спір-фішинг — цільова атака. Шахраї заздалегідь збирають інформацію про жертву: ім’я, роботодавця, друзів, нещодавні покупки. Лист виглядає надзвичайно переконливо, бо в ньому є конкретні деталі вашого життя. Це найскладніший для розпізнавання різновид.
💡 Корисне: Більше 90% фішингових сайтів в Україні, за даними Асоціації учасників фінансового ринку, експлуатують бренди Ощадбанку, OLX, Rozetka та сервісів доставки. Саме ці назви шахраї використовують найчастіше, оскільки їм довіряють мільйони людей.
😯 Несподіване: Навіть сайт із замком і «https» у адресному рядку не гарантує безпеки. Шахраї легко отримують безкоштовні SSL-сертифікати для своїх підроблених сайтів. Замок означає лише зашифроване з’єднання — але не те, що сайт справжній.
❓ Часте питання: Чи може фішинговий лист прийти від знайомого? Так. Якщо обліковий запис вашого друга чи колеги зламали — шахраї можуть надсилати листи від його імені. Якщо знайомий «раптово» просить перейти за незнайомим посиланням або позичити гроші — зателефонуйте йому напряму і уточніть.
Як розпізнати фішинговий лист або повідомлення
Більшість фішингових атак можна розпізнати, якщо знати характерні ознаки. Ось на що варто звертати увагу.
Підозрілий відправник
Адреса електронної пошти виглядає схожою на справжню, але є відмінність: support@privatbank-info.com замість @privatbank.ua, або рядок цифр і випадкових символів. Завжди перевіряйте повну адресу відправника, а не лише відображуване ім’я.
Терміновість і тиск
«Ваш рахунок буде заблоковано через 24 години», «Необхідно підтвердити негайно» — це класичний прийом. Реальні банки і сервіси не ставлять ультиматуми через електронну пошту. Якщо відчуваєте штучну терміновість — це сигнал тривоги.
Підозріле посилання
Перед тим як клікнути, наведіть мишку на посилання і подивіться, куди воно веде. Адреса може виглядати схоже на справжню, але з невеликими змінами: pryvat-bank.com замість privatbank.ua, або додатковий субдомін: privatbank.info.com. На телефоні — натисніть і утримуйте посилання, щоб побачити повну адресу.
Прохання ввести дані
Жоден справжній банк, державний орган чи платформа не просить підтвердити пароль, PIN, CVV або код із SMS через лист або посилання. Якщо повідомлення просить ввести такі дані — це фішинг без жодних варіантів.
Помилки і незвичний стиль
Граматичні помилки, незвичне форматування, мішанина мов або надто «офіційний» неприродний стиль — часті ознаки масового фішингу. Проте спір-фішинг може бути написаний бездоганно, тому цей критерій не є вирішальним.
Ніколи і нікому не повідомляйте: CVV-код картки (три цифри на звороті), PIN-код, одноразові коди з SMS (навіть якщо телефонує «служба безпеки банку»), логін і пароль від онлайн-банкінгу або «Дії». Справжній банк ніколи не запитує ці дані — ні по телефону, ні в листі.
Реальні приклади фішингових схем в Україні
Розуміти абстрактну схему — одне. Побачити конкретні сценарії — інше. Ось найпоширеніші схеми, з якими стикаються українці.
«OLX-доставка». Продавець або покупець на OLX пропонує «зручну» доставку і надсилає посилання на нібито OLX-сторінку для введення даних картки. Сайт — підробка. Дані картки йдуть до шахраїв, а не до сервісу.
«Нова Пошта: ваша посилка чекає». SMS або лист з посиланням і проханням підтвердити адресу або сплатити «митний збір». Посилання веде на підроблений сайт НП, де просять ввести дані картки.
«Служба безпеки ПриватБанку». Дзвінок з «підтвердженого» номера — насправді підробленого. Голос запевняє, що сталася підозріла транзакція, і просить назвати код із SMS для «скасування». Цей код — це авторизація переказу грошей.
«Виграш у лотерею». Повідомлення в месенджері: «Ви виграли смартфон / автомобіль / велику суму». Щоб «отримати виграш», потрібно «сплатити комісію» або ввести дані картки. Ні виграшу, ні грошей.
«Соцвиплата від держави». Підроблений сайт, що імітує «Дію» або Пенсійний фонд, пропонує «оформити виплату». Просять дані паспорта, ІПН, реквізити картки — все йде до шахраїв.
Як захиститися від фішингу: практичні кроки
Захист від фішингу — не технічний, а поведінковий. Жодна антивірусна програма не замінить уважності.
Перевіряйте адресу сайту
Перш ніж вводити будь-які дані — подивіться на адресний рядок. Сайт повинен починатися з https:// і мати точну назву домену без зайвих слів, цифр чи підменю. privatbank.ua — справжній. privatbank-secure.com або ua-privatbank.com — фішинг.
Увімкніть двофакторну аутентифікацію (2FA)
Навіть якщо шахраї отримали ваш пароль — без другого фактора (коду з SMS або застосунку-аутентифікатора) вони не зможуть увійти в акаунт. Увімкніть 2FA на всіх важливих сервісах: пошта, банківські застосунки, соцмережі, «Дія».
Не переходьте за посиланнями з листів і SMS
Якщо отримали повідомлення нібито від банку чи іншого сервісу — не клікайте за посиланням у повідомленні. Замість цього самостійно відкрийте браузер і введіть адресу сайту вручну або відкрийте офіційний застосунок.
Використовуйте унікальні паролі
Якщо на всіх сервісах один пароль — достатньо зламати один, щоб отримати доступ до всіх. Менеджер паролів (Bitwarden, 1Password, вбудований у браузер) дозволяє використовувати складні унікальні паролі без необхідності їх запам’ятовувати.
Оновлюйте програмне забезпечення
Застаріле програмне забезпечення має відомі вразливості. Оновлення операційної системи, браузера та застосунків — найпростіший спосіб закрити технічні «двері» для зловмисників.
Встановіть антивірус із захистом від фішингу
Сучасні антивірусні програми та розширення для браузера автоматично розпізнають відомі фішингові сайти і попереджають перед переходом. Це не панацея, але один із шарів захисту.
Золоте правило: якщо щось викликає сумніви — не поспішайте. Справжній банк або сервіс ніколи не вимагатиме негайних дій «прямо зараз». Покладіть трубку, закрийте лист і зателефонуйте за офіційним номером самостійно.
Що робити, якщо ви вже стали жертвою фішингу
Якщо ви ввели дані картки на підозрілому сайті або назвали код шахраю — потрібно діяти швидко.
- Негайно заблокуйте картку через застосунок банку або зателефонувавши на гарячу лінію. Більшість банків дозволяє заблокувати картку кількома натисканнями в застосунку — це займає секунди.
- Повідомте банк про шахрайство. Зателефонуйте на офіційну лінію банку (номер на звороті картки або на офіційному сайті) і опишіть ситуацію. Банк може ініціювати повернення коштів (chargeback) — особливо якщо транзакція ще не оброблена.
- Змініть паролі. Якщо ввели пароль від пошти, соцмережі або іншого сервісу — негайно змініть його і на всіх сервісах, де використовували такий самий пароль.
- Подайте заяву в поліцію. Кіберзлочини в Україні розслідує Кіберполіція. Заяву можна подати онлайн через сайт cyberpolice.gov.ua або у відділенні поліції.
- Попередьте близьких. Якщо зламали акаунт у месенджері або соцмережі — ваші контакти можуть отримати повідомлення від вашого імені. Попередьте їх.
Поширена помилка: «Я достатньо обізнаний, щоб не попастися». Більшість жертв фішингу — освічені, технічно грамотні люди. Шахраї спеціально атакують у момент, коли людина спішить, втомлена або чекає на реальну посилку чи переказ. Самовпевненість — один з найсерйозніших факторів ризику.
Фішинг і штучний інтелект: нові загрози у 2026 році
Технологія deepfake і генеративний ШІ кардинально змінили ландшафт фішингу. Зловмисники тепер можуть синтезувати переконливий голос конкретної людини на основі кількох секунд запису — і зателефонувати «від імені» директора компанії, родича або знайомого. Текстові повідомлення, написані ШІ, не містять граматичних помилок і виглядають природньо.
Ще одна нова загроза — «ін’єкція підказок» у документи. Якщо корпоративний ШІ-асистент відкриває документ із прихованими текстовими командами, він може виконати їх і передати дані зловмиснику непомітно для користувача. Це нова і складна для захисту вразливість, що актуальна передусім для корпоративного середовища.
У цих умовах єдиний надійний захист — звичка верифікувати будь-які несподівані запити через окремий канал зв’язку. Зателефонував «директор» і попросив терміново перекинути гроші? Зателефонуйте директору особисто або надішліть повідомлення через інший месенджер, щоб підтвердити.
Фішинг і діти: як пояснити дитині, що таке інтернет-шахраї
Діти — особливо вразлива аудиторія для фішингових атак. Вони менше підозрюють маніпуляцію, легше ведуться на «виграш» або «подарунок», і нерідко не знають, що потрібно перевіряти посилання. Батькам варто пояснити кілька простих правил.
По-перше: жодних справжніх призів «просто так» в інтернеті не буває. Якщо повідомлення каже «ти виграв смартфон» — це брехня. По-друге: ніколи не вводити дані батьківських карток без дозволу. По-третє: якщо щось незрозуміле або тривожне — показати дорослому, а не намагатися розібратися самостійно. Відкрите спілкування в сім’ї — найкращий «антивірус» для дитини.
Корпоративний фішинг: чому бізнес особливо вразливий
Для компаній фішинг — одна з найдорожчих кіберзагроз. Корпоративна атака зазвичай спрямована не на крадіжку картки, а на доступ до корпоративних систем, фінансових рахунків або комерційної таємниці.
Типовий сценарій: бухгалтер отримує лист «від директора» з проханням терміново провести платіж. Лист містить реалістичний підпис і виглядає переконливо. Якщо не перевірити запит безпосередньо з директором — гроші йдуть на рахунок шахраїв. Такі атаки називають «компрометацією корпоративної пошти» (Business Email Compromise, BEC) і вони щороку завдають збитків на мільярди доларів у всьому світі.
Для компаній захист від фішингу включає регулярні тренінги для співробітників, впровадження двофакторної аутентифікації на корпоративній пошті, технічні фільтри для підозрілих листів і чіткі процедури верифікації фінансових операцій.
Коротко: що таке фішинг і як захиститися
- 🔹 Фішинг — виманювання даних через підроблені листи, сайти, SMS, дзвінки
- 🔹 Мета: паролі, дані картки, коди підтвердження, особисті документи
- 🔹 Ніколи не передавайте CVV, PIN і коди з SMS — навіть «банку»
- 🔹 Перевіряйте адресу сайту вручну, не клікайте за посиланнями з листів
- 🔹 Увімкніть 2FA на пошті, в банківських застосунках і соцмережах
- 🔹 Якщо попалися: заблокуйте картку, зателефонуйте в банк, змініть паролі, подайте заяву в Кіберполіцію (cyberpolice.gov.ua)
