Фішинг по-новому: як розпізнати підроблені сайти та не втратити гроші

У 2025 році фішинг став більш персоналізованим і складним завдяки використанню штучного інтелекту та глибоких фейків (deepfake). Це вже не просто масова розсилка з очевидними помилками, а цільові, високоякісні атаки. У цьому матеріалі «Дніпро Оперативний» розповість, що таке фішинг, як розпізнати підроблені сайти та як захистити себе від шахрайських атак.

Що таке фішинг і як він змінився останні роки

Фішинг — це вид інтернет-шахрайства, метою якого є отримання конфіденційних даних (логіни, паролі, номери банківських карток, PIN-коди) користувачів шляхом маскування під надійну особу чи організацію в електронному спілкуванні (електронна пошта, SMS, повідомлення в месенджерах).

Основні зміни фішингу:

• Гіперперсоналізація (Spear Phishing): ШІ аналізує публікації жертви в соцмережах і створює максимально достовірні та персоналізовані повідомлення, які імітують тон, стиль і навіть використовують актуальні події з життя чи роботи жертви.
• Використання Deepfake: шахраї використовують синтез голосу або відео (діпфейки) для імітації керівників, колег чи представників банку (вішинг), що робить атаки значно переконливішими. Наприклад, можуть надіслати відеодзвінок із «фінансовим директором».
• Поліморфні атаки та автоматизація: ШІ автоматизує створення та адаптацію фішингових листів і сайтів, що дозволяє проводити масовані, але при цьому індивідуалізовані кампанії.
• Квішинг (Quishing): поширення фішингу через QR-коди, які розміщуються в листах, на плакатах або в публічних місцях і ведуть на шахрайські сайти.
• Фішинг-як-послуга (Phishing-as-a-Service): на чорному ринку доступні мільйони готових фішингових комплектів і послуг, що робить цей вид шахрайства доступним для менш технічно обізнаних зловмисників.

Як працюють підроблені сайти: сучасні техніки шахраїв

Шахрайські сайти створюються для максимально точного копіювання зовнішнього вигляду та функціоналу справжніх ресурсів.

• Маскування доменного імені: реєстрація доменів, які візуально дуже схожі на оригінал (наприклад, замість bank.ua може бути bаnk.uа, де використана кирилична літера, схожа на латинську, або bank-support.ua).
• Використання HTTPS: понад 80% фішингових сайтів уже використовують SSL-сертифікати (https://), тому наявність зеленого замка в адресному рядку більше не є гарантією безпеки. Це лише означає, що з'єднання зашифроване, а не те, що сайт легітимний.
• Імітація логін-сторінок: підроблені сайти є точними копіями сторінок входу в онлайн-банкінг, соціальні мережі, поштові сервіси тощо. Як тільки ви вводите свої дані, вони перехоплюються зловмисниками.
• Створення відчуття терміновості: на сайті може з'явитися спливаюче вікно з вимогою негайно ввести дані картки для «скасування блокування» або «отримання виграшу».

Ознаки фішингових сайтів: як розпізнати небезпеку

1. Подивіться на URL, а не тільки на дизайн — домени з додатковими словами (login-bank[.]com), незвичайні TLD (.xyz, .top) або непомітні символи (пунікод) — червоне світло. Перевіряйте, що домен точно співпадає зі знайомим. 
2. SSL-замок ≠ гарантія — HTTPS (зелений замок) лише означає, що з’єднання зашифроване; шахраї також отримують сертифікати, тому замок сам по собі не гарантує легітимності. Перевіряйте домен і сертифікат докладніше (вид видавця, для кого видано). 
3. Помилки в тексті, дивні запити — прохання ввести ПІН у формі, надіслати код з SMS/банку або надмірна персональна інформація, що не потрібна для звичайного входу. 
4. Несподівані редіректи / спливаючі вікна, що тиснуть на швидкість — залякування («аккаунт буде заблоковано за 5 хвилин») — типова тактика соціальної інженерії. 
5. Мультканальні ознаки — отримали повідомлення в Telegram/FB від «банку», але посилання веде на зовсім інший домен — перевіряйте кожен канал окремо.

Технології захисту: які інструменти допоможуть уникнути шахрайства

Ефективний захист у 2025 році — це поєднання технологій і людської обізнаності:

• Фішинг-резистентна MFA (hardware-ключі, WebAuthn/FIDO2) — найнадійніший захист проти крадіжки паролів, оскільки навіть при викраденні пароля атакуючий не зможе пройти аутентифікацію без фізичного ключа або пристрою. 
• Менеджери паролів — автоматичне автозаповнення лише на повністю ідентичних доменах знижує шанс підставити облікові дані на підробці. Використовуйте надійні менеджери і вмикайте розширення у браузері.
• ML/Поведенче виявлення в e-mail шлюзах і браузерні розширення — корпоративні рішення й розширення для браузера аналізують зміст, походження та поведінку посилань у реальному часі; у 2024–2025 рр. багато компаній впроваджують AI-двигуни для цього. 
• DNS-рівневі фільтри та блокувальники шкідливих доменів — блокують доступ до відомих фішингових доменів ще до завантаження сторінки. 
• Освітні програми й тренінги (симуляції) — навчання співробітників через тестові фішингові кампанії (phishing drills) суттєво знижує успішність атак.

Покрокова інструкція: що робити, якщо ви потрапили на підроблений сайт

Якщо ви підозрюєте, що ввели свої дані на фішинговому сайті:

1. Негайно змініть пароль: зробіть це на справжньому сайті або в додатку, використовуючи інший, безпечний пристрій. Якщо пароль однаковий для кількох сервісів, змініть його на всіх з них.
2. Зв'яжіться з банком/сервісом: негайно повідомте банк про ситуацію за офіційним номером телефону (не з листа!) або через додаток. Якщо введено дані картки, попросіть її заблокувати.
3. Перевірте рахунки: переконайтеся, що з вашого банківського рахунку не було несанкціонованих транзакцій.
4. Проскануйте пристрій: запустіть повне сканування на наявність вірусів та шкідливого ПЗ за допомогою надійного антивірусу.
5. Повідомте про шахрайство: надішліть інформацію про фішинговий сайт або лист до відповідних органів (наприклад, Кіберполіція України) та/або організації, під яку маскувалися шахраї.

Раніше ми писали про ключові схеми зловмисників для маніпуляцій з банківськими картками, кримінальну відповідальність за ці злочини в Україні та як надійно захистити ваші кошти.

Також ми розповідали, як захистити літніх людей від шахрайських атак та пояснити все без, не викликаючи образ.