Фішинг — це онлайн-шахрайство, у якому зловмисник прикидається банком, поштовим сервісом чи знайомою людиною, щоб виманити пароль, код із SMS або дані картки. Розпізнати атаку можна за адресою відправника, доменом сайту і штучним поспіхом у тексті. У 2025 році CERT-UA опрацювала 1727 фішингових інцидентів — удвічі більше, ніж у 2024-му.
Формально фішинг — це техніка соціальної інженерії, розрахована на те, що людина під тиском переконливої легенди сама віддасть доступ до своїх акаунтів або грошей. Зловмисник ламає не компʼютер, а довіру.
Уміння відсіювати підробки — перший практичний крок до ширшої безпеки в інтернеті: саме з фішингового листа починається чимало цифрових неприємностей — від зламаної пошти до порожньої картки.
Як працює фішинг
Фішинг експлуатує психологію, і схема майже завжди однакова: повідомлення викликає сильну емоцію — страх, цікавість чи азарт, — потім створює дефіцит часу («акаунт заблокують уже сьогодні»), а наприкінці підказує «рятівну» дію: перейти за посиланням і ввести дані. Обдурити людину для шахрая дешевше і швидше, ніж зламати сервер.
Прийом далеко не новий. Слово «phishing» народилося в середині 1990-х серед зламувачів акаунтів America Online: створена 1994 року програма AOHell розсилала повідомлення нібито від служби підтримки AOL і виманювала в користувачів паролі, а першу згадку терміна в публічній мережі Usenet датують 2 січня 1996 року. Написання через «ph» — спадок субкультури телефонних зламувачів-фрикерів.
Масштаб відтоді виріс на порядки, і свіжі звіти фіксують його в конкретних цифрах:
- Verizon DBIR 2025: приблизно у 60% витоків даних замішана людина — помилка або маніпуляція, — а близько 16% проаналізованих зламів почалися саме з фішингу.
- APWG: близько 3,8 мільйона фішингових атак за 2025 рік; другий квартал став рекордним за кількістю атак від середини 2023-го.
- ФБР (IC3): 193 407 скарг на фішинг і спуфінг за 2024 рік — більше, ніж на будь-який інший інтернет-злочин; сукупні збитки від інтернет-злочинності сягнули 16,6 мільярда доларів, на третину більше, ніж рік перед тим.
Які види фішингу трапляються найчастіше
Найчастіше фішинг приходить електронною поштою, але той самий трюк давно працює в SMS, месенджерах і телефонних розмовах. Каналів багато, суть одна — підробка довіреного відправника.
- Класичні листи. «Ваш акаунт заблоковано», «вам надійшов платіж», «підтвердьте дані». Логотип і підпис скопійовані ретельно, адреса відправника — ні.
- Смішинг. SMS або повідомлення в месенджері: «ваша посилка затримана, сплатіть мито за посиланням».
- Вішинг. Дзвінок від «служби безпеки банку», який вимагає назвати код із SMS чи терміново переказати гроші на «захищений рахунок».
- Цільовий фішинг. Лист, написаний під конкретну людину або компанію: зі справжнім імʼям, посадою і робочими деталями, зібраними із соцмереж.
- QR-фішинг. Код на наклейці, оголошенні чи в листі, який веде на підроблену сторінку оплати. Адресу сайту людина тут зазвичай не читає взагалі — саме на це й розрахунок.
- Сайти-двійники. Копії сторінок входу пошти, банків чи маркетплейсів, на які ведуть посилання з усіх попередніх каналів.
Україну це бʼє насамперед по картках. За даними Національного банку, у 2025 році збитки від шахрайства з платіжними картками сягнули 1,4 мільярда гривень — на чверть більше, ніж роком раніше, хоча самих шахрайських операцій стало менше. 90% цієї суми припало саме на соціальну інженерію — випадки, коли людина сама віддала дані чи гроші, — а 83% операцій відбулися в інтернеті.
Як розпізнати шахрайський лист
Найнадійніша ознака шахрайського листа — розбіжність між тим, ким відправник називається, і тим, з якої адреси він пише та куди ведуть його посилання. Перш ніж відповідати чи клацати, пройдіться коротким переліком:
- Адреса відправника. «Служба підтримки» з адресою на сторонньому домені — уже вирок. Дивіться не на імʼя, а на те, що стоїть після символу @.
- Штучний поспіх. «Останнє попередження», «акаунт видалять сьогодні» — справжні сервіси рідко тиснуть дедлайном і ніколи не просять уводити дані за посиланням із листа.
- Приховане посилання. Наведіть курсор на кнопку, не натискаючи, — поштовик покаже реальну адресу переходу. На телефоні спрацює довге утримання.
- Несподіване вкладення. Архів, файл .exe чи документ, який просить «увімкнути макроси», відкривати не варто.
- Знеособлене звертання й помилки. «Шановний клієнте» замість вашого імені, кострубаті фрази, змішані мови.
- Запит секретів. Жодна справжня служба не питає пароль, PIN або код із SMS — ані листом, ані телефоном.
Один збіг зі списку — ще не доказ, буває й незграбний справжній лист. Два-три збіги водночас — практично гарантована підробка: видаляйте, а за бажання перед тим повідомте підтримку самого сервісу. Сумніваєтеся — відкрийте його сайт звичним шляхом і перегляньте сповіщення в кабінеті: реальна проблема з акаунтом буде видна й там.
Як розпізнати фішинговий сайт
Фішинговий сайт видає домен у рядку адреси. Скопіювати дизайн шахрай може за годину, а от справжнє імʼя сайту йому недоступне — тому читайте все, що стоїть між «https://» і першою скісною рискою.
Підступ у тому, що домен-двійник іноді не відрізняється на око взагалі. У 2017 році дослідник Сюдун Чжен зареєстрував домен, який браузери показували як «apple.com», хоча кожна літера в ньому була кириличною: наша «а» на екрані виглядає точнісінько як латинська. Після цієї демонстрації браузери посилили захист від таких доменів, але прийом із символами-двійниками нікуди не зник. На смартфоні пильнуйте особливо: мобільний браузер ховає частину довгої адреси, тож підроблений домен там легше пропустити.
| Ознака | Справжній сайт | Сайт-підробка |
|---|---|---|
| Домен | Точна відома адреса: gmail.com, ukr.net | Зайві слова, дефіси, інша зона: ukr-net-login.site |
| Як ви на нього потрапили | Закладка, ручний набір, офіційний застосунок | Посилання з листа, SMS або реклами |
| Що запитує | Логін і пароль на сторінці входу | Одразу все: номер картки, PIN, код із SMS |
| Помилки й дивні фрази | Рідкість | Трапляються часто, подекуди зі змішаними мовами |
| Замочок HTTPS | Є | Найчастіше теж є |
Окремо про замочок. Він означає лише те, що зʼєднання зашифроване, — а не те, що власник сайту чесний. За даними APWG, ще наприкінці 2020 року сертифікат HTTPS мали 84% фішингових сайтів, а у 2023-му — понад 90%: замочок у них той самий, що й у справжніх сервісів. Тож на важливий сайт заходьте, як радить таблиця: закладкою або адресою, набраною вручну.
Що робити, якщо ви вже натиснули
Сам перехід за фішинговим посиланням рідко стає катастрофою: браузер не віддає паролі автоматично. Небезпека починається тоді, коли ви щось увели на підробленій сторінці чи відкрили вкладення. У такому разі рахунок іде на хвилини.
- Змініть пароль акаунта, дані якого вводили, — і всюди, де стояв такий самий пароль.
- У налаштуваннях акаунта завершіть усі активні сеанси, щоб викинути шахрая, якщо він уже встиг увійти.
- Якщо вводили дані картки — одразу зателефонуйте до свого банку: там підкажуть подальші кроки.
- Повідомте Кіберполіцію: через електронну форму на сайті cyberpolice.gov.ua або листом на [email protected].
- Якщо відкривали вкладення — оновіть систему, перевірте пристрій антивірусом і до завершення перевірки не вводьте на ньому жодних паролів.
- Попередьте близьких: зламану пошту чи месенджер шахраї одразу пускають у хід для розсилки за вашими контактами.
Як захиститися заздалегідь
Найкращий захист від фішингу — зробити так, щоб навіть украдений пароль нічого не давав шахраєві. Для цього є два інструменти — додаткове підтвердження входу і менеджер паролів — плюс звичка не ухвалювати рішень поспіхом.
Дослідження Google, Нью-Йоркського університету та Каліфорнійського університету в Сан-Дієго у 2019 році показало: навіть простий одноразовий код у SMS зупиняє 96% масових фішингових атак, а апаратний ключ безпеки — практично всі. Тож двофакторна автентифікація лишає зловмисника перед зачиненими дверима навіть тоді, коли пароль уже в його руках. Підключіть її щонайменше до пошти й соцмереж — акаунтів, через які відновлюються всі інші паролі.
Менеджер паролів — Bitwarden, KeePass чи вбудований у браузер — має менш очевидну перевагу: він підставляє збережений пароль лише на тому домені, де ви його зберегли. На сайті-двійнику поле входу залишиться порожнім, і ця порожнеча сама по собі — сигнал тривоги.
Решта — щоденна гігієна безпеки в інтернеті. Оновлений браузер попереджає про відомі фішингові сторінки, поштовий фільтр відсіює частину підробок у спам, а свіжі шахрайські схеми Нацбанк розбирає в матеріалах кампанії #ШахрайГудбай. І правило на щодень: коли лист вимагає діяти негайно — це найкращий привід зупинитися й перечитати адресу відправника.
