Як розпізнати фішинг і шахрайство онлайн: повний гід 2026
Всі актуальні схеми шахраїв — від SMS до ШІ-діпфейків — і як від них захиститися
Сучасний шахрай не зламує сервери і не пише вірусний код. Він телефонує тобі, надсилає SMS або створює сайт, що виглядає як твій банк. «Зловмисники не зламують сервери — вони зламують довіру», — пояснюють експерти банків. Саме тому знання схем шахраїв — найкращий захист.
Що таке фішинг і соціальна інженерія
Фішинг (від англійського fishing — «риболовля») — це вид кібершахрайства, де зловмисники виманюють конфіденційні дані: паролі, дані картки, коди підтвердження. Вони «закидають вудку» і чекають поки жертва «клюне».
Соціальна інженерія — ширше поняття. Це будь-яке психологічне маніпулювання людиною з метою змусити її зробити щось на користь шахрая: передати гроші, повідомити пароль, встановити програму. Всі схеми спрямовані на те, щоб застати людину зненацька, викликати паніку, азарт чи іншу сильну емоцію й змусити швидко переказати гроші.
Банки, Нова пошта, Дія, ПриватБанк і будь-яка легальна організація НІКОЛИ не просять CVV-код, PIN, повний номер картки або одноразовий SMS-код по телефону, в чаті або через посилання в листі. Якщо хтось просить — це шахрай.
Всі види фішингу: від класичного до ШІ-діпфейків
Шахраї надсилають листи нібито від банку, державного органу або відомого сервісу. Лист містить посилання на підроблений сайт або вкладення зі шкідливим кодом.
Ознаки: підозрілий відправник (privatbank@gmail.com замість @privatbank.ua), загальне вітання «Шановний клієнте», помилки в тексті, тиск на терміновість.
Фішинг через SMS-повідомлення. Шахраї надсилають SMS нібито від банку, Нової Пошти, Укрпошти або державних органів. Часто SMS виглядає в тому ж ланцюжку повідомлень, що і справжні від банку — через підміну номера відправника.
Ознаки: посилання на нестандартний домен (np-delivery.info замість novaposhta.ua), запит персональних даних або оплати.
Шахраї телефонують і видають себе за співробітників банку, кіберполіції, СБУ або служби безпеки. Вони «попереджають» про підозрілу операцію або загрозу і просять «для безпеки» повідомити дані картки або перевести гроші на «безпечний рахунок».
Ознаки: дзвінок ініціює «представник банку», тиск і терміновість, прохання назвати SMS-код або дані картки, пропозиція «перевести гроші на безпечний рахунок».
Шахраї використовують штучний інтелект для клонування голосу або відео конкретної людини. Може надійти «голосове повідомлення від сина» або «відеодзвінок від директора» — повністю синтезовані ШІ. У 2026 році для копіювання дизайну брендових сторінок активно використовують генеративний ШІ, тому візуально відрізнити фальшивку від оригіналу стало практично неможливо.
Захист: завжди передзвонюй особисто на відомий номер. Домовся з родиною про секретне слово-перевірку для таких ситуацій.
Шахраї розміщують підроблені QR-коди в публічних місцях — у кафе, ресторанах, на парковках або біля терміналів оплати. Коли ти скануєш такий код, він перенаправляє на фішинговий сайт.
Захист: перевіряй URL після сканування QR — до того як вводити будь-які дані.
Шахраї створюють копії відомих сайтів: банків, інтернет-магазинів, державних порталів, платформ доставки. Зловмисники реєструють домени з мінімальною підміною символів — замінюють латинську «o» на кириличну або додають зайвий дефіс.
Схеми специфічні для України: фейкові сайти збору на ЗСУ, фейкові виплати від держави або міжнародних організацій, клони Дії і Приват24.
Зі скомпрометованих облікових записів знайомих може здійснюватися розсилка повідомлень з проханнями терміново позичити гроші — наприклад, на лікування дитини, яка постраждала від війни.
Захист: при будь-якому проханні грошей в онлайні — зателефонуй цій людині особисто перед переказом.
«Покупець» пишає, що хоче купити твій товар, і пропонує сплатити через «безпечну угоду OLX» або Нова пошта. Надсилає посилання на фішинговий сайт-клон. Якщо введеш дані картки — гроші вкрадуть.
Захист: завжди перевіряй URL — справжня «Безпечна угода» OLX знаходиться тільки на pay.olx.ua.
Пропозиції «заробити» на крипто, форексі або пасивних інвестиціях. Спочатку дають маленький «виграш» для довіри, потім просять вкласти більше — і зникають. Або вимагають «комісію» для виведення «заробленого».
Правило: якщо пропонують гарантований заробіток без ризику — це шахрайство. Завжди.
Як розпізнати фішинговий сайт: 8 ознак
Як захиститися від фішингу і шахрайства: чек-лист
ticket.cyberpolice.gov.ua — чорний список кіберполіції України. CheckMyLink — перевірка посилань на шкідливість. Google Safe Browsing — вбудований захист у Chrome. Перевір будь-який підозрілий URL перед кліком.
Що робити якщо вас ошукали: покрокова інструкція
Якщо вкрали дані картки — заблокуй її в мобільному застосунку банку або зателефонуй на гарячу лінію. Кожна секунда має значення. Потім запроси виписку для фіксації підозрілих операцій.
Якщо ввів пароль на фішинговому сайті — негайно зміни пароль на справжньому сайті і на всіх інших сервісах, де використовував той самий пароль. Увімкни 2FA.
Подай заявку на chargeback (повернення платежу) через банк. За законом банк зобов’язаний розглянути заявку. Збережи всі докази: скріни, переписку, дані транзакцій.
Подай заяву на порталі кіберполіції: ticket.cyberpolice.gov.ua. Вибери категорію «Шахрайство», заповни форму і збережи номер звернення. Це важливо навіть якщо здається що нічого не вийде — дані допоможуть у розслідуванні.
Якщо зламали твій акаунт у месенджері — одразу повідом контактам що аккаунт зламано і не вірити повідомленням від твого імені про прохання грошей.
Якщо ти сам надав дані картки шахраям або переказав гроші добровільно — повернути їх дуже складно. Банки рідко повертають кошти при «добровільному» шахрайстві. Тому головне — не допустити ситуації, а не виправляти її.
Куди звертатися: контакти і ресурси
Часті запитання
Як перевірити чи сайт справжній перед введенням даних?
Чи можна повернути гроші після шахрайства в Україні?
Що таке двофакторна аутентифікація і навіщо вона потрібна?
Чи небезпечно відповідати на підозрілі SMS?
Як шахраї отримують мій номер телефону і email?
Чи безпечна оплата карткою онлайн?
Читай нові статті категорії «Технології» на «Україна Сьогодні».