Фішинг, “дзвінки з банку”, фейкові магазини - найпоширеніші види шахрайства: як не потрапити у пастку

Кібершахраї дедалі рідше ламають системи напряму і дедалі частіше змушують людей самостійно віддати доступ до грошей та акаунтів через фішинг, шахрайські дзвінки з "банку", фейкові магазини й шкідливі застосунки. У цьому матеріалі УНН зібрав найпоширеніші види кібершахрайства, ключові ознаки ризику та короткий алгоритм дій, якщо людина вже стала мішенню злочинців.

Кібершахрайство: основні види схем і як їх розпізнати

Зараз в Україні злочинці найчастіше не зламують пристрої та не виводять з ладу системи безпек, а змушують людину зробити потрібну дію самостійно: перейти за посиланням, назвати код, встановити застосунок або переказати гроші. За оцінками банківського та фінансового сектору, значна частка інцидентів припадає саме на соціальну інженерію, коли операцію підтверджує законний власник рахунку.

Фішинг: підроблені сайти, листи та повідомлення

Фішингом називають виманювання даних через підроблені ресурси або повідомлення, схожі на офіційні від банків, маркетплейсів, держсервісів чи служби доставки. Роблять це кібершахраї через:

• листи на електронну пошту;
• SMS (смiшинг);
• дзвінки (вішинг);
• повідомлення в месенджерах і соцмережах.

Окремий ризик - підміна номера (спуфінг), коли SMS шахрая підтягується в один ланцюжок із банківськими повідомленнями, а людина сприймає його як правдоподібне.

Як уникнути фішингу

• перевірити адресу сайту перед введенням будь-яких даних;
• не переходьте за посиланнями з SMS/месенджерів у повідомленнях про термінові дії, виплати, компенсації, підтвердження облікового запису;
• відкривати сайт вручну або через офіційний застосунок;
• не вводити платіжні дані на сторінках, на які потрапили з реклами або з неперевіреного повідомлення.

Фейкові онлайн-магазини і недоставка товару

Одна з наймасовіших схем в Україні, особливо на маркетплейсах і в оголошеннях - фейкові продажі. Покупець оплачує товар повністю або вносить завдаток, після чого продавець зникає.

Кіберполіція серед поширених схем називає, зокрема, недоставку товару, фішинг та "дзвінки з банку".

У 2025 році серед найтиповіших ризиків в онлайн-покупках також фігурували фейкові продавці та магазини.

Безпечні онлайн-покупки: що потрібно зробити

• не здійснювати передоплату незнайомим продавцям у сервісах оголошень без механізмів захисту угоди;
• надати перевагу післяплаті або оплаті через платформи з офіційними інструментами підтвердження та захисту покупця;
• перевірити продавця: історію, відгуки, наявність офіційних контактів та умови повернення товару.

"Дзвінок з банку" і виманювання одноразових кодів

У цій "схемі" шахрай представляється працівником банку чи служби безпеки фінансового закладу, повідомляє про нібито підозрілу операцію й просить:

• код із SMS;
• CVV;
• пароль;
• підтвердження в застосунку;
• встановлення “захисного” софту.

У кіберполіції акцентують: у реальності банк не має потреби у ваших одноразових кодах, бо це суперечить самій ідеї їх використання. А НБУ окремо наголошує на правилах, які допомагають уникати таких сценаріїв. 

Дзвінки "від банку" або "служби безпеки": як захиститися

• якщо телефонують із повідомленнями про підозрілу операцію та просять коди або інші особисті дані, негайно припинити розмову;
• зателефонувати самостійно на офіційний номер банку, зазначений на картці, у застосунку або на офіційному сайті;
• не виконувати інструкції, які передбачають встановлення програм для нібито перевірки, захисту або віддаленої допомоги.

SpaceX заблокувала тисячі терміналів Starlink, які використовувалися кіберзлочинцями24.10.25, 03:01 • 4144 перегляди

Шкідливі застосунки та віддалений доступ

Поширена механіка: людині надсилають посилання на нібито оновлення банкінгу, доставку, перевірку виплати, знижку. Але насправді це програма, яка перехоплює SMS або дає віддалений доступ до смартфона жертви. Далі зловмисники отримують контроль над акаунтами і платежами. У своїх повідомленнях злочинці часто тиснуть на терміновість і страх втратити гроші, бо це пришвидшує помилки.

Як убезпечити свій телефон та акаунти

• увімкнути двофакторну автентифікацію (2FA) для пошти, банківських сервісів, соціальних мереж і месенджерів. За можливості використовувати застосунок-аутентифікатор, а не SMS;
• регулярно оновлювати операційну систему та застосунки;
• встановлювати застосунки виключно з офіційних магазинів (Google Play, App Store);
• не встановлювати файли APK з посилань у чатах або SMS;
• налаштувати приховування вмісту повідомлень із кодами підтвердження на екрані блокування;
• використовувати унікальні складні паролі для кожного сервісу;
• за можливості користуватися менеджером паролів.

Захоплення фінансового номера (SIM-swap) і атаки на відновлення доступу

Якщо номер телефону прив’язаний до банку, пошти та соцмереж, його втрата або перевипуск на зловмисника відкриває шлях до відновлення паролів і перехоплення кодів. Тема настільки болісна, що в Україні обговорювали окремі ініціативи для зменшення шахрайства навколо фінансових номерів.

Захист від SIM-swap

• налаштувати додатковий пароль/кодове слово для операцій із SIM-карткою у мобільного оператора, якщо така опція доступна;
• зменшити залежність сервісів від SMS-підтвердження: використовувати аутентифікатори та резервні коди;
• реагувати на ознаки ризику: раптова втрата зв’язку без технічних причин, відсутність SMS, неможливість здійснити дзвінки. У такому випадку слід негайно звернутися до оператора та банку.

Інвестиційні "проєкти", псевдоброкери та криптосхеми

Типовий сценарій шахраїв — реклама гарантованого доходу, інсайдів, персонального менеджера. Спершу просять невеликий внесок, показують жертві "прибуток" в електронному кабінеті, а далі стимулюють збільшувати депозит. На етапі виведення коштів з’являються податки, комісії, верифікації, які теж треба сплатити.

Таким чином людина втрачає й депозит, який віддала раніше з надією на прибуток, і гроші, які пішли нібито на сплату "комісії".

Як запобігти атаці з використанням вимагацьких програм: поради від кіберполіції02.12.25, 16:40 • 55525 переглядiв

Шахрайство з роботою як втягування українців у злочинну співучасть

Окрема категорія онлайн ризику - пропозиції легкої роботи з переказами, обготівкуванням або оформленням карток чи акаунтів "для компанії". Людину можуть використати як "грошового мула" (посередника для відмивання коштів).

Підробні служби підтримки в соцмережах і месенджерах

Шахраї створюють сторінки-клони брендів і саппорт, який першим пише в коментарях. Далі просять заповнити форму, підтвердити акаунт або оплату, перейти в приватний чат, де витягують дані. 

Що робити, якщо ви вже клікнули "не туди"

• Негайно заблокувати картку та доступ у банкінгу і змінити паролі до пошти та ключових акаунтів;
• Вимкнути сесію на всіх пристроях (де доступно) і увімкнути двофакторну автентифікацію;
• Якщо встановлювали застосунок або давали віддалений доступ, - від’єднати від інтернету, видалити підозріле, перевірити пристрій, за потреби скинути налаштування до заводських;
• Звернутися до банку та подати заяву до кіберполіції.

Нагадаємо

Раніше ми писали про те, що північнокорейські хакери у 2025 році встановили антирекорд, викравши 2 млрд доларів у криптовалюті. Це становить левову частку світових криптокрадіжок, загальний обсяг яких сягнув 3,4 мільярда доларів.