Що таке фішинг і як розпізнати шахрайський лист чи сайт

Фішинг — це онлайн-шахрайство, у якому зловмисник прикидається банком, поштовим сервісом чи знайомою людиною, щоб виманити пароль, код із SMS або дані картки. Розпізнати атаку можна за адресою відправника, доменом сайту і штучним поспіхом у тексті. У 2025 році CERT-UA опрацювала 1727 фішингових інцидентів — удвічі більше, ніж у 2024-му.

Формально фішинг — це техніка соціальної інженерії, розрахована на те, що людина під тиском переконливої легенди сама віддасть доступ до своїх акаунтів або грошей. Зловмисник ламає не компʼютер, а довіру.

Уміння відсіювати підробки — перший практичний крок до ширшої безпеки в інтернеті: саме з фішингового листа починається чимало цифрових неприємностей — від зламаної пошти до порожньої картки.

Як працює фішинг

Фішинг експлуатує психологію, і схема майже завжди однакова: повідомлення викликає сильну емоцію — страх, цікавість чи азарт, — потім створює дефіцит часу («акаунт заблокують уже сьогодні»), а наприкінці підказує «рятівну» дію: перейти за посиланням і ввести дані. Обдурити людину для шахрая дешевше і швидше, ніж зламати сервер.

Прийом далеко не новий. Слово «phishing» народилося в середині 1990-х серед зламувачів акаунтів America Online: створена 1994 року програма AOHell розсилала повідомлення нібито від служби підтримки AOL і виманювала в користувачів паролі, а першу згадку терміна в публічній мережі Usenet датують 2 січня 1996 року. Написання через «ph» — спадок субкультури телефонних зламувачів-фрикерів.

Масштаб відтоді виріс на порядки, і свіжі звіти фіксують його в конкретних цифрах:

  • Verizon DBIR 2025: приблизно у 60% витоків даних замішана людина — помилка або маніпуляція, — а близько 16% проаналізованих зламів почалися саме з фішингу.
  • APWG: близько 3,8 мільйона фішингових атак за 2025 рік; другий квартал став рекордним за кількістю атак від середини 2023-го.
  • ФБР (IC3): 193 407 скарг на фішинг і спуфінг за 2024 рік — більше, ніж на будь-який інший інтернет-злочин; сукупні збитки від інтернет-злочинності сягнули 16,6 мільярда доларів, на третину більше, ніж рік перед тим.

Які види фішингу трапляються найчастіше

Найчастіше фішинг приходить електронною поштою, але той самий трюк давно працює в SMS, месенджерах і телефонних розмовах. Каналів багато, суть одна — підробка довіреного відправника.

  • Класичні листи. «Ваш акаунт заблоковано», «вам надійшов платіж», «підтвердьте дані». Логотип і підпис скопійовані ретельно, адреса відправника — ні.
  • Смішинг. SMS або повідомлення в месенджері: «ваша посилка затримана, сплатіть мито за посиланням».
  • Вішинг. Дзвінок від «служби безпеки банку», який вимагає назвати код із SMS чи терміново переказати гроші на «захищений рахунок».
  • Цільовий фішинг. Лист, написаний під конкретну людину або компанію: зі справжнім імʼям, посадою і робочими деталями, зібраними із соцмереж.
  • QR-фішинг. Код на наклейці, оголошенні чи в листі, який веде на підроблену сторінку оплати. Адресу сайту людина тут зазвичай не читає взагалі — саме на це й розрахунок.
  • Сайти-двійники. Копії сторінок входу пошти, банків чи маркетплейсів, на які ведуть посилання з усіх попередніх каналів.

Україну це бʼє насамперед по картках. За даними Національного банку, у 2025 році збитки від шахрайства з платіжними картками сягнули 1,4 мільярда гривень — на чверть більше, ніж роком раніше, хоча самих шахрайських операцій стало менше. 90% цієї суми припало саме на соціальну інженерію — випадки, коли людина сама віддала дані чи гроші, — а 83% операцій відбулися в інтернеті.

Як розпізнати шахрайський лист

Найнадійніша ознака шахрайського листа — розбіжність між тим, ким відправник називається, і тим, з якої адреси він пише та куди ведуть його посилання. Перш ніж відповідати чи клацати, пройдіться коротким переліком:

  • Адреса відправника. «Служба підтримки» з адресою на сторонньому домені — уже вирок. Дивіться не на імʼя, а на те, що стоїть після символу @.
  • Штучний поспіх. «Останнє попередження», «акаунт видалять сьогодні» — справжні сервіси рідко тиснуть дедлайном і ніколи не просять уводити дані за посиланням із листа.
  • Приховане посилання. Наведіть курсор на кнопку, не натискаючи, — поштовик покаже реальну адресу переходу. На телефоні спрацює довге утримання.
  • Несподіване вкладення. Архів, файл .exe чи документ, який просить «увімкнути макроси», відкривати не варто.
  • Знеособлене звертання й помилки. «Шановний клієнте» замість вашого імені, кострубаті фрази, змішані мови.
  • Запит секретів. Жодна справжня служба не питає пароль, PIN або код із SMS — ані листом, ані телефоном.

Один збіг зі списку — ще не доказ, буває й незграбний справжній лист. Два-три збіги водночас — практично гарантована підробка: видаляйте, а за бажання перед тим повідомте підтримку самого сервісу. Сумніваєтеся — відкрийте його сайт звичним шляхом і перегляньте сповіщення в кабінеті: реальна проблема з акаунтом буде видна й там.

Як розпізнати фішинговий сайт

Фішинговий сайт видає домен у рядку адреси. Скопіювати дизайн шахрай може за годину, а от справжнє імʼя сайту йому недоступне — тому читайте все, що стоїть між «https://» і першою скісною рискою.

Підступ у тому, що домен-двійник іноді не відрізняється на око взагалі. У 2017 році дослідник Сюдун Чжен зареєстрував домен, який браузери показували як «apple.com», хоча кожна літера в ньому була кириличною: наша «а» на екрані виглядає точнісінько як латинська. Після цієї демонстрації браузери посилили захист від таких доменів, але прийом із символами-двійниками нікуди не зник. На смартфоні пильнуйте особливо: мобільний браузер ховає частину довгої адреси, тож підроблений домен там легше пропустити.

Ознака Справжній сайт Сайт-підробка
Домен Точна відома адреса: gmail.com, ukr.net Зайві слова, дефіси, інша зона: ukr-net-login.site
Як ви на нього потрапили Закладка, ручний набір, офіційний застосунок Посилання з листа, SMS або реклами
Що запитує Логін і пароль на сторінці входу Одразу все: номер картки, PIN, код із SMS
Помилки й дивні фрази Рідкість Трапляються часто, подекуди зі змішаними мовами
Замочок HTTPS Є Найчастіше теж є

Окремо про замочок. Він означає лише те, що зʼєднання зашифроване, — а не те, що власник сайту чесний. За даними APWG, ще наприкінці 2020 року сертифікат HTTPS мали 84% фішингових сайтів, а у 2023-му — понад 90%: замочок у них той самий, що й у справжніх сервісів. Тож на важливий сайт заходьте, як радить таблиця: закладкою або адресою, набраною вручну.

Що робити, якщо ви вже натиснули

Сам перехід за фішинговим посиланням рідко стає катастрофою: браузер не віддає паролі автоматично. Небезпека починається тоді, коли ви щось увели на підробленій сторінці чи відкрили вкладення. У такому разі рахунок іде на хвилини.

  1. Змініть пароль акаунта, дані якого вводили, — і всюди, де стояв такий самий пароль.
  2. У налаштуваннях акаунта завершіть усі активні сеанси, щоб викинути шахрая, якщо він уже встиг увійти.
  3. Якщо вводили дані картки — одразу зателефонуйте до свого банку: там підкажуть подальші кроки.
  4. Повідомте Кіберполіцію: через електронну форму на сайті cyberpolice.gov.ua або листом на [email protected].
  5. Якщо відкривали вкладення — оновіть систему, перевірте пристрій антивірусом і до завершення перевірки не вводьте на ньому жодних паролів.
  6. Попередьте близьких: зламану пошту чи месенджер шахраї одразу пускають у хід для розсилки за вашими контактами.

Як захиститися заздалегідь

Найкращий захист від фішингу — зробити так, щоб навіть украдений пароль нічого не давав шахраєві. Для цього є два інструменти — додаткове підтвердження входу і менеджер паролів — плюс звичка не ухвалювати рішень поспіхом.

Дослідження Google, Нью-Йоркського університету та Каліфорнійського університету в Сан-Дієго у 2019 році показало: навіть простий одноразовий код у SMS зупиняє 96% масових фішингових атак, а апаратний ключ безпеки — практично всі. Тож двофакторна автентифікація лишає зловмисника перед зачиненими дверима навіть тоді, коли пароль уже в його руках. Підключіть її щонайменше до пошти й соцмереж — акаунтів, через які відновлюються всі інші паролі.

Менеджер паролів — Bitwarden, KeePass чи вбудований у браузер — має менш очевидну перевагу: він підставляє збережений пароль лише на тому домені, де ви його зберегли. На сайті-двійнику поле входу залишиться порожнім, і ця порожнеча сама по собі — сигнал тривоги.

Решта — щоденна гігієна безпеки в інтернеті. Оновлений браузер попереджає про відомі фішингові сторінки, поштовий фільтр відсіює частину підробок у спам, а свіжі шахрайські схеми Нацбанк розбирає в матеріалах кампанії #ШахрайГудбай. І правило на щодень: коли лист вимагає діяти негайно — це найкращий привід зупинитися й перечитати адресу відправника.

Про автора
Богдан Лисенко
Богдан допомагає людям почуватися впевнено серед технологій. Пише про цифрові навички та захист приватності простою мовою: як не втратити гроші на шахраях, налаштувати паролі та зрозуміти, куди йдуть твої дані. Вважає, що безпека в мережі — це звички, а не магія, і терпляче пояснює кожен крок так, ніби допомагає сусідові налаштувати телефон.