В Україні кіберзлочинці все частіше вдаються до соціальної інженерії, щоб здобути доступ до фінансів та облікових записів. Матеріал висвітлює найбільш розповсюджені форми злочинних дій та надає рекомендації щодо захисту.
Кіберзлочинці все менше зламують системи напряму і все частіше схиляють громадян власноруч надати доступ до фінансів та акаунтів через фішинг, обманні дзвінки з “банку”, фальшиві магазини та шкідливі програми. У даному огляді УНН зібрав найрозповсюдженіші типи кібершахрайства, основні індикатори загрози та стислий порядок дій, якщо людина вже опинилася в зоні уваги зловмисників.
Кібершахрайство: основні види схем і як їх ідентифікувати
В даний час в Україні злочинці здебільшого не проникають в пристрої та не виводять з ладу системи безпеки, а спонукають людину здійснити необхідну операцію самостійно: перейти за посиланням, повідомити код, інсталювати додаток або перерахувати кошти. За оцінками банківського та фінансового сектора, значна частина інцидентів припадає саме на соціальну інженерію, коли транзакцію підтверджує справжній власник рахунку.
Фішинг: фальшиві сайти, електронні листи та повідомлення
Фішингом прийнято називати викрадення інформації через підроблені ресурси або сповіщення, що імітують офіційні від банківських установ, онлайн-майданчиків, державних сервісів чи служб доставки. Кібершахраї реалізують це через:
- електронні листи;
- SMS (смiшинг);
- телефонні дзвінки (вішинг);
- повідомлення в месенджерах і соціальних мережах.
Окремим ризиком є підміна номера (спуфінг), коли SMS шахрая інтегрується в один ланцюжок з банківськими повідомленнями, і людина сприймає його як автентичне.
Як уникнути фішингу
- перевіряйте адресу вебсайту перед введенням будь-якоїінформації;
- не переходьте за гіперпосиланнями з SMS/месенджерів у сповіщеннях про термінові заходи, виплати, компенсації, верифікацію обліковогозапису;
- відкривайте сайт власноруч або через офіційний додаток;
- не вводьте платіжні реквізити на сторінках, на які потрапили з реклами або з неперевіреного повідомлення.
Фейкові онлайн-магазини та невчинення поставки товару
Одна з найпоширеніших схем в Україні, особливо на онлайн-платформах та в оголошеннях – фальшиві продажі. Покупець сплачує за товар повністю або вносить передоплату, після чого продавець зникає.
Кіберполіція серед типових схем відзначає, зокрема, непостачання товару, фішинг та “дзвінки з банку”.
У 2025 році серед найтиповіших ризиків в онлайн-купівлях також фігурували фальшиві продавці та магазини.
Безпечні онлайн-покупки: що необхідно зробити
- не здійснюйте передоплату невідомим продавцям в сервісах оголошень без механізмів захисту угоди;
- віддавайте перевагу післяплаті або розрахунку через платформи з офіційними інструментами підтвердження та захисту покупця;
- перевіряйте продавця: історію, відгуки, наявність офіційних контактів та умови повернення товару.
“Дзвінок з банку” та виманювання одноразових кодів
У цій “схемі” шахрай представляється співробітником банку або служби безпеки фінансової установи, повідомляє про нібито підозрілу транзакцію та просить:
- код із SMS;
- CVV;
- пароль;
- підтвердження у додатку;
- інсталювання “захисного” софту.
У кіберполіції підкреслюють: в дійсності банк не потребує ваших одноразових кодів, оскільки це суперечить самій концепції їх використання. А НБУ окремо наголошує на правилах, які допомагають уникнути подібних ситуацій.
Дзвінки “від банку” або “служби безпеки”: як убезпечити себе
- якщо телефонують з повідомленнями про сумнівну операцію та вимагають коди або інші персональні дані, негайно припиніть розмову;
- зателефонуйте самостійно на офіційний номер банку, вказаний на картці, в додатку або на офіційному вебсайті;
- не дотримуйтесь інструкцій, які передбачають встановлення програм для нібито перевірки, захисту або віддаленої допомоги.
Шкідливі застосунки та віддалений доступ
Поширена тактика: особі надсилають посилання на нібито оновлення банкінгу, доставку, перевірку виплати, знижку. Але насправді це програма, яка перехоплює SMS або надає віддалений доступ до смартфона жертви. Згодом зловмисники отримують контроль над акаунтами та платежами. У своїх повідомленнях злочинці часто акцентують на терміновості та страху втратити кошти, оскільки це прискорює помилки.
Як захистити свій телефон та акаунти
- увімкніть двофакторну аутентифікацію (2FA) для електронної пошти, банківських сервісів, соціальних мереж і месенджерів. За можливостівикористовуйте програму-аутентифікатор, а не SMS;
- регулярно оновлюйте операційну систему тапрограми;
- завантажуйте додатки лише з офіційних магазинів (Google Play, App Store);
- не встановлюйте файли APK з посилань у чатах або SMS;
- налаштуйте приховування змісту повідомлень з кодами підтвердження на екрані блокування;
- використовуйте унікальні складні паролі для кожного сервісу;
- по можливості користуйтеся менеджером паролів.
Захоплення фінансового номера (SIM-swap) та атаки на відновлення доступу
Якщо номер телефону прив’язаний до банку, електронної пошти та соціальних мереж, його втрата або переоформлення на зловмисника відкриває шлях до відновлення паролів і перехоплення кодів. Питання настільки актуальне, що в Україні обговорювали окремі ініціативи для зменшення шахрайства навколо фінансових номерів.
Захист від SIM-swap
- налаштуйте додатковий пароль/кодове слово для операцій з SIM-карткою у мобільного оператора, якщо така функція доступна;
- зменшіть залежність сервісів від SMS-підтвердження: використовуйте аутентифікатори та резервні коди;
- реагуйте на ознаки ризику: несподівана втрата зв’язку без технічних причин, відсутність SMS, неможливість здійснювати дзвінки. У такомувипадку слід негайно звернутися до оператора та банку.
Інвестиційні “проєкти”, псевдоброкери та криптосхеми
Типовий сценарій шахраїв — реклама гарантованого прибутку, інсайдів, персонального консультанта. Спочатку просять невеликий внесок, демонструють жертві “прибуток” в електронному кабінеті, а далі заохочують збільшувати депозит. На етапі виведення коштів з’являються податки, комісії, верифікації, які також необхідно сплатити.
В результаті людина втрачає і депозит, який віддала раніше з надією на прибуток, і кошти, які пішли нібито на оплату “комісії”.
Шахрайство з роботою як втягування українців у злочинну співучасть
Окрема категорія онлайн ризику – пропозиції легкої роботи з переказами, переведенням у готівку або оформленням карток чи акаунтів “для компанії”. Людину можуть використати як “грошового мула” (посередника для відмивання коштів).
Підроблені служби підтримки в соціальних мережах і месенджерах
Шахраї створюють сторінки-клони брендів і саппорт, який першим пише в коментарях. Згодом просять заповнити форму, підтвердити обліковий запис або оплату, перейти в приватний чат, де виманюють дані.
Що робити, якщо ви вже клікнули “не туди”
- Негайно заблокуйте картку та доступ в банкінгу і змініть паролі до електронної пошти та важливих акаунтів;
- Вимкніть сесію на всіх пристроях (де можливо) і увімкніть двофакторну аутентифікацію;
- Якщо встановлювали застосунок або надавали віддалений доступ, – від’єднайте від інтернету, видаліть підозріле, перевіртепристрій, за потреби скиньте налаштування до заводських;
- Зверніться до банку та подайте заяву до кіберполіції.
Нагадаємо
Раніше ми писали про те, що північнокорейські хакери у 2025 році встановили антирекорд, викравши 2 млрд доларів у криптовалюті. Це становить значну частку світових криптокрадіжок, загальний обсяг яких досяг 3,4 мільярда доларів.