Фішинг став небезпечнішим: які схеми використовують шахраї

Фішингові атаки вже давно не обмежуються підозрілими листами з грубими помилками. Зловмисники використовують підроблені CAPTCHA, QR-коди, штучний інтелект і навіть скомпрометовані контакти жертв, щоб зробити обман переконливішим.

Про це пише редакція Новини.LIVE з посиланням на Державну службу спеціального зв'язку та захисту інформації України.

Чому фішинг досі залишається небезпечним

Попри розвиток засобів захисту, фішинг залишається одним із найдієвіших інструментів для початкового проникнення у системи приватних користувачів та організацій.

За оцінками профільних європейських структур, на цей метод припадає близько 60% усіх первинних кібератак.

Держспецзв'язку наголошує, що технології зловмисників постійно вдосконалюються. Тому сучасні фішингові кампанії дедалі частіше мають вигляд не масової примітивної розсилки, а продуманої схеми соціальної інженерії.

Один із нових прийомів — підроблені CAPTCHA-перевірки на скомпрометованих або фейкових сайтах. Вони змушують користувача виконувати шкідливі команди під виглядом звичайної "перевірки на людину".

Ще один напрям — phishing-as-a-Service. Це готові набори для клонування сторінок входу популярних сервісів і масового розсилання посилань. Завдяки таким інструментам створення підроблених ресурсів стає доступним навіть для зловмисників без технічних навичок.

Автоматизація також робить атаки масштабнішими. Вона дозволяє за хвилини надсилати тисячі персоналізованих повідомлень, відстежувати відкриття й переходи, оновлювати контент і списки отримувачів.

Окрему роль відіграє штучний інтелект. Його використовують для генерації переконливих фішингових листів. За прогнозами, на початку 2025 року частка фішингових кампаній зі ШІ-підтримкою перевищувала 80% усієї зафіксованої активності у сфері соціальної інженерії.

Які форми фішингу варто розпізнавати

Фішинг має багато різновидів, і кожен із них працює по-своєму.

Класичний phishing — це шахрайські листи електронною поштою. Quishing використовує шкідливі посилання, заховані у QR-кодах. Spearphishing спрямований на конкретну людину або організацію, а smishing відбувається через SMS.

Є й голосові атаки — vishing, коли зловмисники намагаються обманути людину за допомогою дзвінка. Whaling націлений на керівників компаній.

Окремо Держспецзв'язку виділяє BEC — компрометацію ділового листування для фінансового шахрайства. У таких випадках зловмисники видають себе за довірених осіб, зокрема керівників, постійних партнерів або вендорів, щоб змусити працівника переказати кошти чи передати дані.

Ще одна форма — deepfakes. Це підроблені аудіо- та відеоматеріали на основі штучного інтелекту.

Які атаки фіксував CERT-UA

Один із прикладів — фішинг від імені платформи Prometheus. З весни 2026 року CERT-UA фіксує численні випадки розсилання електронних листів серед державних організацій із використанням скомпрометованих облікових записів.

У цих листах зловмисники експлуатують тему отримання сертифікатів через онлайн-платформу Prometheus. До повідомлення додається PDF-документ із посиланням, після переходу за яким завантажується ZIP-архів із JS-файлом.

Інший випадок стосується шпигунства за оборонно-промисловим комплексом через Signal. CERT-UA фіксує цільові кібератаки на співробітників підприємств ОПК та представників Сил оборони.

Протягом березня 2025 року у Signal виявили розсилку повідомлень з архівами, які нібито містили звіт за результатами наради. У деяких випадках листування велося від раніше скомпрометованих контактів жертви, щоб підвищити довіру. Архіви містили виконуваний файл DarkTortilla, який завантажував шкідливу програму DarkCrystal RAT.

Ще один приклад — фішинг від імені самого CERT-UA. 26 і 27 березня 2026 року CERT-UA зафіксувала масові розсилки листів нібито від свого імені. У повідомленнях користувачів закликали завантажити з Files.fm захищений паролем архів "CERT_UA_protection_tool.zip" і встановити "спеціалізоване програмне забезпечення". Серед отримувачів були державні організації, медичні центри, охоронні фірми, навчальні заклади, фінансові установи та ІТ-компанії.

Замість "захисного інструменту" жертва отримувала шкідливу програму AGEWHEEZE з повним доступом до системи.

Як убезпечити себе від фішингу

Держспецзв'язку радить перевіряти адресу відправника та URL перед переходом за посиланнями.

Не варто вводити паролі на сторінках, відкритих із листа. Якщо повідомлення вимагає авторизації, краще відкрити нову вкладку й самостійно ввести адресу потрібного сайту або скористатися офіційним застосунком.

Також не слід відкривати архіви та виконувані файли з листів, навіть якщо вони нібито надійшли від знайомих чи партнерів. У разі сумнівів варто звертатися до організації офіційними каналами.

Окремо рекомендують увімкнути двофакторну автентифікацію, не сканувати QR-коди з невідомих джерел і критично оцінювати дзвінки та відео з проханнями про термінові дії чи перекази коштів.

Раніше Новини.LIVE писали, що дзвінки з незнайомих номерів дедалі частіше змушують насторожитися, адже за ними можуть стояти як звичайні абоненти, так і шахраї. Водночас частину таких викликів можна перевірити ще до розмови.

Також Новини.LIVE розповідали, що смартфон може обернутися серйозним ризиком, якщо в ньому зберігаються документи, банківські повідомлення та інша конфіденційна інформація. У разі втрати пристрою або злому ці дані можуть допомогти шахраям отримати доступ до грошей чи оформити фінансові операції від імені власника.