В Україні кіберзлочинці все частіше вдаються до соціальної інженерії для отримання контролю над коштами та обліковими записами. Дана стаття розглядає найбільш поширені форми злочинної діяльності в мережі та пропонує поради щодо забезпечення безпеки.
Кіберзлочинці дедалі рідше здійснюють прямі зломи систем і все частіше змушують людей добровільно віддавати доступ до фінансів та облікових записів через фішинг, обманні дзвінки з “банку”, неправдиві інтернет-магазини та шкідливі додатки. У цьому матеріалі УНН зібрав найбільш поширені різновиди кібершахрайства, основні індикатори загрози та стислий порядок дій, якщо людина вже стала об’єктом нападів злочинців.
Кібершахрайство: основні види махінацій і як їх ідентифікувати
В даний час в Україні злочинці частіше не атакують пристрої та не виводять з ладу механізми безпеки, а спонукають людину виконати потрібну дію самостійно: перейти за гіперпосиланням, назвати код, інсталювати додаток або перерахувати кошти. За підрахунками банківського і фінансового сектору, значна частина випадків трапляється саме через соціальну інженерію, коли операцію підтверджує законний власник рахунку.
Фішинг: фальшиві веб-сайти, електронні листи та повідомлення
Фішингом називають виманювання особистої інформації через підроблені ресурси або повідомлення, які імітують офіційні від банківських установ, онлайн-магазинів, державних служб або служб доставки. Кіберзлочинці використовують для цього:
- листи на електронну пошту;
- SMS (смішинг);
- телефонні дзвінки (вішинг);
- повідомлення в програмах обміну повідомленнями та соціальних мережах.
Окрему небезпеку становить підміна номера (спуфінг), коли SMS шахрая відображається в одному ланцюжку з банківськими повідомленнями, і людина сприймає його як автентичне.
Як уникнути фішингу
- ретельно перевіряйте адресу сайту перед введенням будь-яких даних;
- не переходите за посиланнями з SMS/месенджерів в повідомленнях про термінові дії, виплати, винагороди, підтвердження облікового запису;
- відкривайте сайт безпосередньо або через офіційний додаток;
- не вводьте платіжні дані на сторінках, на які потрапили з рекламного оголошення або з сумнівного повідомлення.
Несправжні онлайн-магазини і відсутність доставки товару
Одна з найбільш розповсюджених афер в Україні, особливо на торгових майданчиках і в рекламних оголошеннях – підроблені продажі. Покупець оплачує товар у повному обсязі або робить авансовий платіж, після чого продавець зникає.
Серед поширених схем кіберполіція відзначає, зокрема, відсутність доставки товару, фішинг та “дзвінки з банку”.
У 2025 році до переліку найтиповіших ризиків в онлайн-покупках також входили фейкові продавці та магазини.
Безпечні онлайн-покупки: що слід робити
- уникайте передоплати незнайомим продавцям на платформах оголошень без механізмів захисту транзакції;
- віддавайте перевагу оплаті після отримання або оплаті через платформи з офіційними інструментами перевірки та захисту покупця;
- перевіряйте продавця: історію, відгуки, наявність офіційних контактних даних і умови повернення продукції.
“Дзвінок з банку” і виманювання одноразових кодів
У цій “схемі” шахрай представляється співробітником банку або служби безпеки фінансової установи, повідомляє про нібито підозрілу операцію і просить:
- код з SMS;
- CVV;
- пароль;
- підтвердження в додатку;
- інсталяцію “захисного” програмного забезпечення.
У кіберполіції підкреслюють: насправді банк не потребує ваших одноразових кодів, оскільки це суперечить самій концепції їх використання. А НБУ особливо акцентує увагу на правилах, які допомагають запобігти подібним сценаріям.
Дзвінки “від банку” або “служби безпеки”: як захиститися
- якщо телефонують з повідомленнями про сумнівну операцію та запитують коди або інші персональні дані, негайно припиніть розмову;
- самостійно зателефонуйте на офіційний номер банку, вказаний на картці, в додатку або на офіційному веб-сайті;
- не виконуйте вказівок, які передбачають встановлення програм для нібито перевірки, захисту або віддаленої підтримки.
Шкідливі додатки та віддалений доступ
Поширена тактика: людині відправляють посилання на нібито оновлення програми банку, служби доставки, перевірки виплати, акції. Але насправді це програма, яка перехоплює SMS або надає віддалений доступ до телефону жертви. Далі зловмисники отримують контроль над акаунтами і платежами. У своїх повідомленнях злочинці часто використовують тиск терміновості та страх втратити гроші, оскільки це провокує поспішні дії.
Як забезпечити захист свого телефону та акаунтів
- активуйте двофакторну автентифікацію (2FA) для електронної пошти, банківських сервісів, соціальних мереж і месенджерів. За можливості використовуйте додаток-аутентифікатор, а не SMS;
- регулярно оновлюйте операційну систему та додатки;
- встановлюйте програми тільки з офіційних магазинів (Google Play, App Store);
- уникайте встановлення файлів APK з посилань в чатах або SMS;
- налаштуйте приховування вмісту повідомлень із кодами підтвердження на екрані блокування;
- використовуйте унікальні складні паролі для кожного сервісу;
- по можливості використовуйте менеджер паролів.
Захоплення фінансового номера (SIM-swap) і атаки на відновлення доступу
Якщо номер мобільного телефону прив’язаний до банку, електронної пошти та соціальних мереж, його втрата або переоформлення на зловмисника відкриває шлях до відновлення паролів і перехоплення кодів. Питання настільки серйозне, що в Україні обговорювалися окремі ініціативи для скорочення шахрайства, пов’язаного з фінансовими номерами.
Захист від SIM-swap
- налаштуйте додатковий пароль/кодове слово для операцій з SIM-карткою у оператора мобільного зв’язку, якщо така можливість передбачена;
- зменште залежність сервісів від SMS-підтвердження: використовуйте програми автентифікації та резервні коди;
- реагуйте на ознаки загрози: раптова втрата зв’язку без видимих технічних причин, відсутність SMS, неможливість телефонувати. У такому випадку слід негайно звернутися до оператора та в банк.
Інвестиційні “проєкти”, псевдоброкери та криптоафери
Типовий сценарій шахраїв — реклама гарантованого прибутку, інсайдерської інформації, персонального консультанта. Спочатку вимагають невеликий внесок, демонструють жертві “прибуток” в електронному кабінеті, а далі заохочують збільшувати депозит. На етапі виведення коштів з’являються податки, комісії, верифікації, які також потрібно сплатити.
В результаті людина втрачає і депозит, який віддала раніше з надією на прибуток, і гроші, які нібито пішли на сплату “комісії”.
Шахрайство з роботою як залучення українців до злочинної діяльності
Окрема категорія онлайн ризиків – пропозиції легкої роботи з переказами коштів, переведенням в готівку або оформленням карток чи облікових записів “для фірми”. Людину можуть використати як “грошового мула” (посередника для відмивання грошей).
Підроблені служби підтримки в соціальних мережах і месенджерах
Шахраї створюють сторінки-копії брендів і саппорт, який першим відписує в коментарях. Далі пропонують заповнити форму, підтвердити обліковий запис або оплату, перейти в особистий чат, де виманюють особисту інформацію.
Що робити, якщо ви вже натиснули “не туди”
- Негайно заблокуйте картку та доступ до онлайн-банкінгу і змініть паролі до електронної пошти та важливих акаунтів;
- Закрийте сесію на всіх пристроях (де це можливо) і увімкніть двофакторну автентифікацію;
- Якщо встановили програму або надали віддалений доступ, – відключіть від інтернету, видаліть підозріле, перевірте пристрій, за потреби відновіть заводські налаштування;
- Зверніться до банку та подайте заяву в кіберполіцію.
Нагадаємо
Раніше ми повідомляли про те, що північнокорейські хакери у 2025 році встановили рекорд, викравши 2 мільярди доларів у криптовалюті. Це становить значну частину світових криптокрадіжок, загальний обсяг яких досяг 3,4 мільярда доларів.