Соціальна інженерія, фішинг і діпфейки - як шахраї у 2025-2026 роках крадуть гроші українців
Збитки від карткового шахрайства зросли до 1,4 млрд грн. Банкірка розклала схеми: від дзвінків "з банку" до фішингу зі штучним інтелектом
Фінансове шахрайство в Україні стає технологічнішим і приносить більше збитків: попри те що кількість шахрайських операцій з платіжними картками у 2025 році зменшилася, загальна сума втрат зросла майже на чверть. Найпоширеніші схеми карткового шахрайства та способи захисту від них раніше вже аналізувала банківська спільнота. Тепер картина доповнилася новим виміром - штучний інтелект перетворив старі схеми на значно небезпечніші. Злочинці більше не покладаються лише на грубий обман - вони атакують персоналізовано, швидко і практично без слідів.
У 2025 році кількість незаконних операцій з картками скоротилася на 5% - до 256 тис. випадків, свідчать дані Національного банку України. Проте сума збитків зросла до 1,4 млрд грн, а середня сума однієї шахрайської операції збільшилася на 30% - з 4 247 грн до 5 536 грн. При цьому 83% всіх незаконних операцій відбувалися через інтернет, а 90% загальної суми збитків спричинила соціальна інженерія. Про тенденції першого півріччя 2026 року розповіла Анна Довгальська, заступниця голови правління ГЛОБУС БАНКУ.
За її словами, шахрайство дедалі частіше ґрунтується на психологічному тиску - злочинці прагнуть змусити людину самостійно зробити переказ, ввести дані картки або повідомити код із SMS. Як зазначила банкірка:
"Штучний інтелект лише поглиблює цю загрозу: він робить повідомлення переконливішими, дзвінки - правдоподібнішими, а атаки значно швидшими."
П'ять схем, за якими злочинці крадуть гроші
Соціальна інженерія залишається наймасовішою загрозою. Зловмисники видають себе за співробітників банку, мобільного оператора, державної установи або навіть за знайомих жертви. Мета одна - змусити клієнта власноруч розкрити конфіденційні дані. Як пояснила Анна Довгальська, заступниця голови правління ГЛОБУС БАНКУ:
"Типові випадки - це нав'язливі дзвінки нібито від 'служби безпеки банку' із повідомленням про підозрілу операцію, блокування рахунку чи необхідність 'захистити кошти'. Людину силоміць занурюють у стан тривоги, змушують діяти квапливо. Такий тиск блокує критичне сприйняття, вимикає логіку."
Другий поширений інструмент - фішинг: підроблені сайти банків, державних програм, служб доставлення, маркетплейсів. Людина переходить за посиланням, вводить дані картки - і шахраї отримують доступ до рахунку або онлайн-банкінгу. Вже понад 80% проаналізованих фішингових листів мають ознаки використання штучного інтелекту, а європейські дослідження оцінюють цей показник у 82,6%. ШІ дав змогу здешевити підготовку атак у деяких випадках до 95%.
Третя схема - фейкові онлайн-магазини та шахрайські підписки. Користувачеві пропонують товар за нереалістично низькою ціною, "пробний" доступ до сервісу або "безпрограшну" лотерею. Малий вступний платіж насправді відкриває регулярне списання коштів. Такі сайти часто виглядають професійно: мають логотипи відомих брендів, відгуки та імітацію служби підтримки.
Четверта схема - фейкові збори та маніпуляції на темі війни. Зловмисники створюють сторінки "на ЗСУ", "на лікування" або "гуманітарну допомогу", підробляють фото, звіти й документи. В окремих випадках використовують діпфейк-відео або згенеровані ШІ зображення, щоб надати зборам вигляду реальних.
П'ята схема - P2P-шахрайство, тобто перекази з картки на картку. Найчастіше воно маскується під продажі в інтернеті, "OLX-доставку", передоплату за товар або "страховий платіж". Як порадила Довгальська:
"Якщо вас підганяють, лякають, обіцяють надзвичайну вигоду або просять діяти негайно - це вже привід, як мінімум, зупинитися. Аферисти майже завжди працюють через надмірну експресію: страх, співчуття, довіру або спокусу купити щось вигідно."
Як ШІ зробив зловмисників небезпечнішими
Штучний інтелект суттєво змінив якість атак: він генерує тексти без граматичних помилок, якими раніше легко впізнавали фішинг. Підроблений лист або SMS тепер стилістично не відрізняється від офіційної комунікації банку чи державної установи. Крім того, ШІ дає змогу персоналізувати атаки - шахраї використовують відкриті дані з соцмереж, LinkedIn та месенджерів, щоб згадати у листі місце роботи жертви, ім'я керівника або недавню подію. Якщо середній рівень кліків за звичайними фішинговими посиланнями становить близько 2,7%, то для персоналізованих ШІ-атак фіксують клікабельність до 54%.
Окрему загрозу становлять діпфейк-технології. ШІ здатен клонувати голос людини за кількома секундами аудіозапису - достатньо голосового повідомлення з месенджера чи відео у соцмережі. У найпростіших випадках жертві телефонують від імені "родича" й просять терміново переказати гроші. У складніших - імітують керівника компанії, який нібито доручає бухгалтерові провести терміновий платіж. Як попередила Довгальська:
"Найнебезпечніше в сучасному фішингу - це поєднання посилання з контекстом. Людина бачить знайоме ім'я, правильний тон, логотип, згадку про реальну подію і цілком природно може втратити пильність."
За різними оцінками, до 80% кіберінцидентів включають фішинговий компонент, а якщо враховувати всі форми соціальної інженерії, то до 98% атак пов'язані з маніпуляцією поведінкою людини. Середній час кліку на фішингове посилання - близько 21 секунди. Тобто шахраям часто потрібно менше ніж пів хвилини, щоб підштовхнути людину до ризикової дії.
Як захиститися - алгоритм від банкірки
Головне правило, яке сформулювала Анна Довгальська, - ніколи не поспішати. Будь-який дзвінок або повідомлення з вимогою негайної дії з грошима, карткою або паролями - це вже сигнал тривоги. Нікому не можна повідомляти CVV-код, PIN-код, логін і пароль до інтернет-банкінгу, одноразові паролі з SMS та коди мобільного оператора. Не варто вводити дані картки на сумнівних сайтах, навіть якщо вони виглядають офіційно.
Якщо надійшов дзвінок нібито з банку, банкірка радить завершити розмову і самостійно передзвонити за номером з офіційного сайту або зі звороту картки. Якщо знайома людина написала з проханням терміново переказати гроші - зв'язатися з нею іншим каналом. Окремо важливо захистити фінансовий номер телефону: ідентифікувати SIM-картку у мобільного оператора та підключити додаткові сервіси захисту. Двофакторна автентифікація, за окремими оцінками, може забезпечити близько 99% захисту від несанкціонованого доступу до акаунтів. Як підсумувала банкірка:
"У часи ШІ фінансова безпека починається саме з критичного мислення. Злочинці хочуть, щоб людина діяла швидко. Клієнт має зробити навпаки - зупинитися, перевірити, поставити під сумнів і лише потім ухвалювати рішення."
Масштаб тіньових операцій і реакція банків
Банки, своєю чергою, отримали інструменти для протидії. Детальніше про те, як працює блокування карток банком для захисту клієнтів: близько 80% випадків онлайн-шахрайства у 2025 році припадало на схеми маніпуляцій клієнтом, і лише 20% - на несанкціонований доступ до рахунку. Саме тому традиційні системи безпеки не завжди спрацьовують - з технічного погляду транзакцію підтверджує законний власник картки, що суттєво ускладнює виявлення шахрайства.
Слідкуйте за нами у Telegram
Зараз читають на Інформаторі
