Як розпізнати фішинг: схеми шахрайства та захист email у

«Фішинг – це не технічна атака. Це психологічна маніпуляція, загорнута в технічну оболонку» – Брюс Шнаєр (Bruce Schneier), дослідник кібербезпеки, автор «Secrets and Lies»

Фішинг – це метод кібератаки, при якому зловмисник маскується під довірену особу або організацію, щоб змусити жертву передати конфіденційні дані. У 2026 році ця загроза вийшла за межі банального «листа від нігерійського принца» – атаки стали точними, технологічно складними та психологічно прокачаними. За даними Verizon Data Breach Investigations Report 2024, фішинг залишається вектором №1 у переважній більшості успішних зломів корпоративних і державних систем. Він не вимагає дорогого програмного забезпечення – лише уважного аналізу поведінки жертви та одного переконливого листа.

Для військових, волонтерів та цивільних активістів ця загроза набуває додаткового виміру. Компрометований акаунт – це не лише витік персональних даних. Це потенційна розконспірація позицій, злам координаційних каналів, дискредитація командування. Фішингові кампанії проти українських військових та громадських організацій фіксуються регулярно – зокрема групами, пов’язаними з державними структурами ворога. Розуміти механіку цих атак – не опція, а базова навичка цифрової безпеки.

Що таке фішинг і чому це загроза №1 у 2026

Фішинг у перекладі з англійського – «риболовля». Метафора точна: зловмисник закидає «наживку» – переконливий лист, повідомлення або сторінку – і чекає, доки жертва «клюне». Техніка існує з 1990-х років, але у 2026 році набула нових форм. Штучний інтелект дозволяє генерувати персоналізовані листи без орфографічних помилок, клонувати голоси та обличчя реальних людей, автоматично адаптувати атаки під профіль конкретної жертви. Класичні ознаки шахрайського листа – помилки, дивний стиль, незрозумілий відправник – більше не є надійним фільтром.

Фішинг це не одна техніка, а ціле сімейство методів соціальної інженерії (social engineering – маніпулювання людьми для отримання інформації або доступу). Спільна ознака всіх варіантів – обман через імітацію довіри. Зловмисник не зламує систему напряму. Він змушує людину добровільно відкрити двері. Саме тому навіть найзахищеніші корпоративні системи залишаються вразливими. Технічний захист зупиняється там, де починається людське рішення.

За даними Anti-Phishing Working Group (APWG), у 2023 році зафіксовано понад 5 мільйонів унікальних фішингових атак – рекордний показник за всю історію спостережень. У 2024–2026 роках темп зростання не знизився. Автоматизація атак через AI-інструменти зробила масштабний фішинг доступним навіть для зловмисників без глибоких технічних знань. Це означає, що кількість атак продовжує зростати, а їхня якість – покращуватись.

Як працює соціальна інженерія

Соціальна інженерія – основа будь-якої фішинг-атаки. Вона експлуатує базові психологічні механізми: 

• страх («ваш акаунт заблокований»);
• терміновість («підтвердіть протягом 24 годин»);
• авторитет («повідомлення від служби безпеки банку»);
• цікавість («перевірте, хто переглядав ваш профіль»). 

Жоден з цих тригерів не є новим – але у поєднанні з правдоподібним дизайном і персоналізованим текстом вони спрацьовують навіть у підготовлених людей.

Механіка атаки будується на трьох елементах. 

1. Легенда (pretext): переконлива причина, чому жертва має щось зробити. 
2. Терміновість: обмеження часу для роздумів. 
3. Авторитет: посилання на організацію, яку жертва вважає надійною. 

Комбінація цих трьох елементів відключає критичне мислення і активує автоматичну реакцію. Людина виконує дію – натискає посилання, завантажує файл, вводить пароль – ще до того як встигає усвідомити підозру.

Дослідження Стенфордського університету показують: навіть люди з базовою підготовкою з кібербезпеки піддаються на добре спроектований фішинг у 20–30% випадків. При цьому стрес, втома або відволікання підвищують цей показник вдвічі. Для військових, які працюють в умовах хронічного стресу та інформаційного перевантаження, це критично важлива статистика.

Чому військові та активісти – головна ціль

Фішинг в армії та серед волонтерів – окремий напрям кіберзагроз, який суттєво відрізняється від атак на приватних осіб. Ціль атаки – не гроші на картці, а доступ до координаційних каналів, даних про особовий склад, логістику, позиції. Один зламаний акаунт командира підрозділу може розкрити структуру зв’язку, список контактів та оперативні плани. Саме тому ворожі спецслужби інвестують у цільові фішингові кампанії проти українських силових структур та організацій громадянського суспільства.

CERT-UA (Команда реагування на комп’ютерні надзвичайні ситуації України) регулярно публікує попередження про активні фішингові кампанії проти державних органів, військових та волонтерів. Серед задокументованих груп – UAC-0010 (Armageddon), UAC-0056, UAC-0028 – угруповання з підтвердженими зв’язками з ФСБ та ГРУ РФ. Їхні методи постійно еволюціонують: від масових розсилок до точкових атак з імітацією конкретних реальних людей.

Цифрова безпека військових – це не ізольована IT-проблема. Це частина загального операційного захисту. Витік через фішинг може мати ті самі наслідки, що й фізична розконспірація. Розуміння механіки атак, здатність розпізнати підозрілий лист та знання алгоритму дій після кліку – це базові компетенції, які мають бути у кожного члена підрозділу, волонтерської організації або координаційної структури.

Основні види фішингу

Перш ніж переходити до ознак конкретного листа чи схем захисту – важливо розуміти, що фішинг існує у кількох принципово різних формах. Кожна з них використовує окремий канал, власну психологічну логіку та специфічний профіль жертви. Знання цієї різноманітності дозволяє не обмежуватись обережністю лише з email і бути готовим до атаки через будь-який інший канал комунікації. 

Email-фішинг (класичний сценарій)

Email-фішинг – найпоширеніший і найстаріший різновид атаки. Жертва отримує лист нібито від банку, державного сервісу, поштової служби або роботодавця. Лист містить посилання на підроблену сторінку або вкладення зі шкідливим кодом. Мета – змусити жертву ввести облікові дані, натиснути посилання або відкрити файл. Сучасні фішингові листи технічно грамотні: правильні шрифти, логотипи, підписи, навіть коректні SSL-сертифікати на підроблених сайтах.

Характерна ознака класичного email-фішингу – масовість. Зловмисник розсилає тисячі ідентичних або злегка варіативних листів, розраховуючи на статистичний відгук. Навіть 0,1% жертв від мільйона розсилок – це тисяча скомпрометованих акаунтів. Для цього типу атак використовують бази даних з витоків, куплені на тіньових форумах, або зібрані через OSINT.

Spear phishing – цільові атаки

Spear phishing (цільовий фішинг – атака на конкретну особу або організацію) – значно небезпечніший різновид. На відміну від масових розсилок, тут зловмисник ретельно вивчає жертву: ім’я, посаду, коло контактів, останні активності у соцмережах, стиль комунікації колег. Лист виглядає як повідомлення від реальної знайомої людини – і це принципово підвищує ймовірність успіху.

Соціальна інженерія атаки типу spear phishing часто використовує дані з відкритих джерел (OSINT): LinkedIn, Facebook, публічні реєстри, новинні згадки. Для військових та волонтерів джерелом даних можуть стати навіть власні публікації у соцмережах – фото на фоні розпізнаваних об’єктів, згадки про підрозділ, чекіни. Детальніше про безпеку в цифровому середовищі – у розділі OSINT на ВИШКІЛ.

Smishing (SMS-шахрайство)

Smishing (SMS + phishing – фішинг через текстові повідомлення) використовує той самий механізм обману, але через SMS або месенджери. Типові сценарії: «ваша посилка затримана, підтвердіть адресу», «банк виявив підозрілу транзакцію», «ви виграли приз». Посилання у SMS веде на фішингову сторінку або ініціює завантаження шкідливого додатку. Оскільки більшість людей перевіряють SMS уважніше ніж email – а ще тому що на смартфоні важче перевірити справжній URL – конверсія таких атак вища.

Фішинг у месенджерах (Telegram, Viber)

Фішинг через Telegram та інші месенджери – одна з найактивніших форм атак у 2025–2026 роках. Сценарії різноманітні: підроблені акаунти адміністраторів каналів, фейкові боти, шкідливі посилання у групових чатах, схеми «ваш акаунт намагалися зламати – підтвердіть через цю форму». Особлива небезпека – атаки через скомпрометований акаунт знайомої людини: жертва отримує повідомлення нібито від реального контакту, що суттєво знижує підозру.

Фішинг через месенджери небезпечний ще й тому, що Telegram та Viber широко використовуються для координації – у волонтерських мережах, підрозділах, організаціях допомоги. Одне шкідливе повідомлення в активному робочому чаті може миттєво охопити сотні людей.

Клонування сайтів (fake login pages)

Fake login page (підроблена сторінка входу) – технічна складова більшості фішинг-атак. Зловмисник створює точну копію реального сайту: банку, державного порталу, корпоративної системи, Gmail, Telegram. Жертва вводить логін і пароль – дані миттєво потрапляють до зловмисника, а жертва перенаправляється на справжній сайт, не підозрюючи про компрометацію. Сучасні клони мають коректний HTTPS, схожий домен (наприклад, «privat24-secure.com» замість «privat24.ua») та ідентичний дизайн.

Перевірка домену сайту – ключовий навик для виявлення таких атак. Навіть один зайвий символ, дефіс або нестандартна доменна зона (.com замість .gov.ua) – ознака підробки. Детальніше про перевірку посилань – у блоці покрокового гайду нижче.

Як виглядає фішинговий email – реальні ознаки

Знаючи різновиди атак, наступний крок – навчитися розпізнавати конкретний підозрілий лист прямо в поштовій скриньці. Кожен фішинговий email містить одну або кілька характерних ознак, які видають його при уважному розгляді. Проблема в тому, що в умовах завантаженості та поспіху ці ознаки легко проігнорувати. Саме тому їх важливо знати наперед і перевіряти свідомо, а не покладатися на інтуїцію. 

Підозрілий відправник (підміна домену)

Перше що треба перевіряти – адреса відправника. Підроблений email часто використовує техніку підміни домену: замість «support@privatbank.ua» може прийти лист з «support@privatbank-security.com» або «noreply@privatb4nk.ua». Людське oko легко пропускає такі деталі – особливо коли відображуване ім’я відправника («ПриватБанк») виглядає коректно. Завжди розгортайте повну адресу відправника – не лише відображуване ім’я.

Технічно просунута підробка – email spoofing (підміна адреси відправника): лист приходить нібито з реального домену, але насправді надісланий зі стороннього сервера. Як перевірити лист у цьому випадку – через заголовки повідомлення (email headers), де видно справжній маршрут доставки. У Gmail це «Додатково ➡️ Показати оригінал», у Outlook – «Властивості повідомлення».

Маніпуляція терміновістю («терміново підтвердіть»)

Тон тиску – надійна ознака маніпуляції. Фрази «ваш акаунт буде заблоковано через 24 години», «терміново підтвердіть особистість», «незвичайна активність виявлена» – класичні тригери страху та терміновості. Легітимні організації рідко вимагають миттєвих дій під загрозою втрати доступу. Якщо лист створює паніку – це перша ознака маніпуляції.

Додатковий тригер – ексклюзивність або вигода: «вам нарахована виплата», «ви обрані для участі», «ваш рахунок поповнено». Схеми фішингу часто поєднують страх і вигоду в одному повідомленні: «ваш акаунт атаковано, але ми відновили кошти – підтвердіть для отримання». Обидва варіанти – маніпуляція.

Підроблені посилання

Як перевірити посилання – один з ключових практичних навичок. Перший метод – hover-перевірка: навести курсор на посилання (не натискати), подивитися на реальний URL у нижній частині браузера. Часто відображуваний текст («Перейти на сайт банку») і реальна адреса («http://bank-secure-login.ru/ua») – різні речі. Другий метод – скопіювати посилання без переходу та перевірити через онлайн-сервіс (VirusTotal, URLVoid).

Популярні техніки маскування посилань: URL-скорочувачі (bit.ly, tinyurl), redirects через Google (google.com/url?q=…), символи схожі на латинські літери (кирилична «а» замість латинської в домені), додаткові субдомени (login.privatbank.com.evil-site.ru – реальний домен тут «evil-site.ru»). Як перевірити посилання у підозрілому листі – завжди через окремий сервіс, ніколи напряму.

Помилки в тексті та стилі

Хоча AI-генерований фішинг стає дедалі грамотнішим, помилки в тексті залишаються ознакою – особливо у менш якісних атаках. Неправильні відмінки, калька з іноземної мови, змішування реєстрів (великі та малі літери хаотично), дивні пробіли або шрифти – все це сигнали. Зверніть увагу й на невідповідність стилю: офіційний банк не пише «Шановний користувач!!!» з трьома знаками оклику.

Ще один маркер – знеособленість: «Шановний клієнте» або «Доброго дня, Користувач» замість вашого імені. Легітимні сервіси, як правило, звертаються персонально – особливо у критичних повідомленнях про безпеку.

Вкладення з вірусами

Шкідливі вкладення – другий за поширеністю вектор після фішингових посилань. Небезпечні формати: .exe, .zip, .rar (особливо захищені паролем – це спосіб обійти антивірусну перевірку), .docx/.xlsx з макросами, .pdf з вбудованими скриптами, .iso, .img. Безпечних вкладень у несподіваних листах не буває – навіть якщо файл виглядає як звичайний PDF-рахунок.

Правило: якщо лист прийшов несподівано і містить вкладення – не відкривати без перевірки. Навіть якщо відправник – відомий вам контакт. Акаунт знайомої людини може бути зламаний, а шкідливий файл надісланий від її імені автоматично

Порівняння: справжній vs фішинговий лист

Перш ніж реагувати на будь-який підозрілий лист – варто зупинитися і свідомо порівняти його ознаки з еталоном. Таблиця нижче систематизує ключові відмінності між легітимним повідомленням і фішинговим email, щоб перевірка стала звичним алгоритмом, а не спонтанним рішенням.

Ознака	Справжній email	Фішинговий email
Адреса відправника	✅ Офіційний домен організації	❌ Схожий або підроблений домен
Тон повідомлення	✅ Нейтральний, без тиску	❌ Панічний або агресивний
Посилання	✅ Веде на офіційний сайт	❌ Маскується під інший URL
Граматика та стиль	✅ Коректна мова, фірмовий стиль	❌ Помилки, змішані шрифти
Вкладення	✅ Очікувані, безпечні файли	❌ Несподівані або захищені паролем
Звернення	✅ Персональне (ваше ім’я)	❌ Знеособлене («Шановний клієнте»)
Запит дій	✅ Не вимагає пароль або PIN	❌ Просить ввести пароль або CVV

Жодна з цих ознак окремо не є стовідсотковим доказом фішингу – але поєднання двох і більше підозрілих факторів вимагає обов’язкової перевірки перед будь-якою дією.

ТОП-7 нових схем фішингу у 2026 році

Загальні ознаки фішингових листів – корисна база, але недостатня для захисту від атак, адаптованих під конкретний контекст. У 2026 році зловмисники активно використовують актуальні теми: виплати військовим, волонтерство, держсервіси, криптовалюти. Знання конкретних схем дозволяє розпізнати атаку навіть тоді, коли вона технічно бездоганно замаскована під легітимну комунікацію. 

«Виплати військовим» – фейкові держсервіси

Одна з найпоширеніших схем в Україні – підроблені повідомлення про виплати від держави. Жертва отримує лист або SMS нібито від Пенсійного фонду, Мінветеранів, Дії або ЗСУ: «вам нараховано виплату, заповніть форму для отримання». Форма збирає паспортні дані, ІПН, банківські реквізити або дані картки. Іноді – логін і пароль від порталу Дія.

Фішинг в армії у цій формі особливо ефективний, бо реальні виплати військовим дійсно існують і регулярно змінюються – жертва не завжди знає точний порядок їх отримання. Легітимні повідомлення від держави надходять через офіційні канали і ніколи не просять вводити PIN, CVV або пароль від особистого кабінету.

Підроблені збори та волонтерство

Фейкові збори на ЗСУ або гуманітарну допомогу – стала схема, яка особливо активізується після резонансних подій. Зловмисники копіюють відомі волонтерські сторінки, підробляють реквізити, запускають рекламу у соцмережах. Жертва переказує гроші на рахунок шахраїв, щиро вважаючи, що допомагає армії.

Окремий сценарій – вербування «волонтерів» через фішингові форми. Людина заповнює анкету з персональними даними – і опиняється у базі даних зловмисників без жодної шкоди для гаманця, але зі значними ризиками для особистої безпеки.

Deepfake-повідомлення від командирів

Deepfake-фішинг (атака з використанням синтезованого голосу або відео реальної людини) – нова форма, яка у 2025–2026 роках вийшла за межі теоретичної загрози. Зловмисник генерує аудіо або коротке відео нібито від командира, керівника або колеги з проханням терміново виконати дію: перевести кошти, передати дані, відкрити документ. Якість синтезу дозволяє обдурити навіть знайомих людей.

Захист від цього типу атак – верифікація через незалежний канал. Якщо ви отримали незвичний запит нібито від командира через месенджер – підтвердіть особисто або через інший перевірений канал зв’язку, перш ніж виконувати будь-яку дію.

Фішинг через Google Docs / Forms

Фішинг Google Forms – ефективна схема, яка обходить більшість email-фільтрів, бо посилання веде на легітимний домен Google. Жертва отримує лист із запрошенням заповнити форму нібито від HR-відділу, координаційного центру або держоргану. Форма запитує облікові дані, персональні дані або службову інформацію. Оскільки «google.com» у адресі виглядає надійно – підозра не виникає.

Правило: легітимні організації не збирають паролі, PIN-коди або дані картки через Google Forms. Якщо форма запитує такі дані – це шахрайство незалежно від того, на якому домені вона розміщена.

QR-фішинг (QR-коди)

QR-фішинг (quishing – QR + phishing) – атака через підроблені або підмінені QR-коди. Сценарії: наклейки поверх оригінальних QR-кодів у публічних місцях, QR у фішингових листах («відскануйте для підтвердження особи»), підроблені QR на рекламних матеріалах. Небезпека QR-кодів у тому, що реальний URL прихований до сканування – і більшість людей одразу переходять за посиланням, не перевіряючи адресу.

Атаки через криптовалюти

Криптовалютний фішинг використовує як наживку інвестиційні схеми, фейкові криптобіржі або підроблені гаманці. Жертва вводить seed-фразу (seed phrase – набір слів для відновлення криптогаманця, який дає повний доступ до коштів) на підробленому сайті – і втрачає всі кошти. Також поширені схеми з «верифікацією» гаманця, яка насправді є підписанням транзакції на передачу активів.

Фішинг під виглядом кібернавчань

Парадоксальна схема: зловмисник надсилає повідомлення нібито від служби IT-безпеки або CERT з проханням пройти «обов’язковий тест на кібербезпеку» або «оновити дані для кібернавчань». Жертва, яка хоче бути відповідальною, переходить за посиланням і вводить облікові дані. Реальні кібернавчання проводяться через офіційні корпоративні системи та завчасно оголошуються керівництвом – не через несподіваний лист.

Покроковий гайд: як перевірити email на фішинг

Знання ознак і схем – теоретична база. Практична цінність з’являється тоді, коли ця база перетворюється на чіткий алгоритм дій, який можна відтворити за лічені хвилини прямо у поштовому клієнті. Наступні шість кроків – не абстрактні поради, а конкретна послідовність перевірки, яка застосовна до будь-якого підозрілого повідомлення. 

Крок 1. Перевірка адреси відправника

Відкрийте повний заголовок листа і знайдіть поле «From» (Від). Порівняйте домен після символу «@» з офіційним доменом організації. Легітимний лист від ПриватБанку прийде лише з «@privatbank.ua» – не з «@privatbank-ua.com», «@privatb4nk.ua» або будь-якого іншого варіанту. Перевірте також поле «Reply-To» – іноді воно відрізняється від «From» і вказує на шахрайський домен.

Крок 2. Аналіз посилання (hover-перевірка)

Наведіть курсор на будь-яке посилання в листі – не натискайте. У нижньому лівому куті браузера або поштового клієнта відобразиться реальний URL. Зверніть увагу на основний домен: у «login.privatbank.com.evil.ru» основний домен – «evil.ru», не «privatbank.com». На мобільному пристрої – утримуйте палець на посиланні для відображення реального URL.

Крок 3. Перевірка домену через WHOIS

Перевірка домену сайту через WHOIS-сервіс (наприклад, who.is або ukrnames.com/whois/) показує дату реєстрації домену, реєстратора та країну. Домен, зареєстрований кілька днів тому – підозрілий. Домен, зареєстрований в анонімному реєстраторі або офшорній зоні – ще більш підозрілий. Офіційні домени банків та держорганів, як правило, зареєстровані роками і мають прозору інформацію про власника.

Крок 4. Оцінка змісту повідомлення

Запитайте себе: чи очікували ви цього листа? Чи звертається він до вас особисто? Чи створює він штучну терміновість або тиск? Чи просить він ввести дані, яких не повинен просити? Легітимні сервіси не запитують паролі, PIN-коди або CVV через email. Держоргани не вимагають «терміново підтвердити особу» через посилання в листі.

Крок 5. Перевірка вкладень

Перед відкриттям будь-якого вкладення завантажте файл без відкриття та перевірте на VirusTotal – сервіс перевіряє файл через 70+ антивірусних движків одночасно. Особливу увагу – на архіви із паролем (шахраї часто надають пароль у тому ж листі – це спосіб приховати вміст від сканерів) та документи Office з увімкненими макросами.

Крок 6. Використання антивірусів і sandbox

Sandbox (пісочниця – ізольоване середовище для запуску підозрілих файлів без ризику для основної системи) дозволяє перевірити поведінку файлу безпечно. Безкоштовні онлайн-рішення: any.run, Joe Sandbox, Hybrid Analysis. Корпоративні антивірусні рішення з функцією sandbox – стандарт для організацій, які працюють з чутливими даними.

Як захиститися від фішингу

Алгоритм перевірки листа – реактивний інструмент: він спрацьовує коли підозрілий лист вже прийшов. Але ефективний захист від фішингу будується насамперед проактивно – через формування звичок, технічних бар’єрів та культури безпеки в команді. Наступні п’ять напрямів охоплюють як індивідуальний, так і командний рівень захисту. 

1. Базові правила кібергігієни

Захист від фішингу починається з набору щоденних звичок, які суттєво знижують поверхню атаки. Не відкривайте посилання з підозрілих листів – навіть для «перевірки». Не вводьте облікові дані на сторінці, на яку потрапили через лист – відкривайте сайт напряму через браузер. Перевіряйте URL перед входом на будь-який сервіс. Не зберігайте паролі у браузері на робочому пристрої. Регулярно перевіряйте, чи не з’явилися ваші дані у відомих витоках – через haveibeenpwned.com.

Окремий принцип – мінімізація цифрового сліду. Чим менше особистих даних публічно доступно, тим складніше побудувати переконливий spear phishing. Перегляньте налаштування приватності у всіх соцмережах. Матеріали з цифрової грамотності на ВИШКІЛ допоможуть сформувати системний підхід до цифрової безпеки.

2. Двофакторна аутентифікація (2FA)

Двофакторна аутентифікація захист – найефективніший технічний захід проти наслідків фішингу. Навіть якщо зловмисник отримав ваш пароль – без другого фактору (коду з SMS, застосунку-аутентифікатора або апаратного ключа) він не зможе увійти в акаунт. 2FA (Two-Factor Authentication – двофакторна аутентифікація) необхідно увімкнути на всіх критичних сервісах: email, месенджери, банківські додатки, корпоративні системи.

Пріоритет методів 2FA за рівнем захисту: апаратний ключ (YubiKey) ➡️ застосунок-аутентифікатор (Google Authenticator, Authy) ➡️ SMS-код. SMS – найменш захищений варіант через ризик SIM-swapping (підміна SIM-картки), але навіть він суттєво кращий за відсутність 2FA.

3. Використання менеджерів паролів

Менеджер паролів (password manager – застосунок для зберігання та генерації унікальних паролів) вирішує дві проблеми одночасно: унікальність паролів для кожного сервісу та автоматичне заповнення лише на правильному домені. Якщо ви потрапили на фішинговий сайт – менеджер паролів не запропонує автозаповнення, бо домен не збігається. Це вбудований захист від підроблених сторінок. Рекомендовані рішення: Bitwarden (відкрите ПЗ, безкоштовно), 1Password, KeePassXC (локальне зберігання).

4. Навчання підрозділу або команди

Технічні засоби захисту ефективні лише якщо їх правильно використовують усі члени команди. Один необережний клік у підрозділі може компрометувати весь ланцюг комунікації. Кібербезпека навчання – це регулярні брифінги, розбір реальних прикладів фішингу, перевірочні розсилки (симульований фішинг для тестування готовності) – підвищують рівень захисту команди значно ефективніше за будь-який технічний засіб окремо.

5. Регулярні кібернавчання

Кібербезпека курси та практичні навчання – не разовий захід, а системна практика. Загрози змінюються щомісяця: нові техніки, нові платформи, нові легенди. Знання, отримані рік тому, вже частково застаріли. CERT-UA регулярно публікує актуальні попередження та рекомендації. Prometheus та Дія.Освіта пропонують безкоштовні курси кібербезпеки українською мовою. Кібербезпека курси онлайн – доступний формат для будь-якого рівня підготовки.

Фішинг у військовому середовищі: критичні ризики

Загальні принципи захисту від фішингу однаково актуальні для будь-якої аудиторії. Але у військовому та волонтерському середовищі ціна помилки принципово інша. Тут компрометація акаунту – це не лише втрата особистих даних, а потенційна загроза операційній безпеці та безпеці людей. Наступні чотири сценарії описують специфічні ризики, характерні саме для цього контексту. 

1. Втрата доступу до службових акаунтів

Злом акаунтів військових може мати наслідки значно серйозніші за компрометацію приватної особи. Службовий email, акаунт у корпоративній системі або адміністративний доступ до координаційної платформи – кожен із цих ресурсів містить інформацію, яка може бути використана для дези, шантажу або планування подальших атак. Особливо критичні акаунти з правами адміністратора або доступом до баз даних особового складу.

2. Витік даних про позиції

Навіть непряма інформація у службовому листуванні – згадка населеного пункту, часовий штамп повідомлення, прив’язка до конкретної події – може допомогти противнику встановити місцезнаходження підрозділу. OSINT і кіберзагрози взаємопов’язані: дані з зламаного акаунту стають джерелом для подальшого розвідувального аналізу. Саме тому принцип мінімально необхідної інформації у цифровому листуванні – критично важливий.

3. Компрометація командування

Зламаний акаунт командира або офіцера штабу відкриває можливість для дезінформаційних операцій: надсилання хибних наказів, розповсюдження паніки, підрив довіри всередині підрозділу. Навіть читання листування – без активних дій – дає противнику картину командних рішень, розкладів і стосунків у структурі. Це один із найнебезпечніших наслідків успішної фішинг-атаки у військовому контексті.

4. Інформаційно-психологічні операції

Компрометований акаунт активіста або лідера думок може бути використаний для поширення дезінформації від довіреного імені. Кібератаки 2026 все частіше поєднують технічну і психологічну складову: зламати акаунт і від його імені поширити фейк значно ефективніше, ніж запустити анонімний канал. Матеріали з розділу Психологія на ВИШКІЛ допоможуть розуміти механіки інформаційного впливу.

Що робити, якщо ви вже натиснули на фішинг

Попри найкращу підготовку – помилки трапляються. Стрес, поспіх, добре спроектована атака – і людина натискає посилання або відкриває файл. У такому сценарії вирішальне значення має не сам факт кліку, а швидкість і правильність наступних дій. Кожна хвилина зволікань збільшує потенційний збиток. В такому випадку ми рекомендуємо виконати наступні дії

1. Негайна зміна паролів

Першочергова дія після підозрілого кліку – зміна паролів. Починайте з найкритичнішого: email (через нього можна відновити доступ до всього іншого), банківські сервіси, корпоративні системи. Міняйте паролі з іншого пристрою або через мережу, яку точно не скомпрометовано. Нові паролі – унікальні, не менше 16 символів, через менеджер паролів.

2. Відключення пристрою від мережі

Якщо ви відкрили вкладення або підозрюєте встановлення шкідливого ПЗ – негайно відключіть пристрій від інтернету (вимкніть Wi-Fi та мобільні дані). Це зупиняє можливу передачу даних зловмисникові та блокує подальшу активність шкідливого коду. Не вимикайте пристрій повністю – це може знищити дані, корисні для подальшого аналізу інцидентів.

3. Повідомлення служби безпеки

У корпоративному або військовому середовищі – негайно повідомте відповідальну особу за інформаційну безпеку. Не намагайтеся вирішити ситуацію самостійно і не приховуйте інцидент. Раннє повідомлення дозволяє мінімізувати шкоду і захистити інших членів команди від тієї ж атаки. Для цивільних – можна повідомити про інтернет шахрайство до CERT-UA через cert.gov.ua.

4. Перевірка пристрою

Після інциденту проведіть повне сканування пристрою антивірусом. За можливості – використайте завантажувальний антивірусний диск (LiveCD), що перевіряє систему ще до завантаження ОС. Зверніть увагу на нові розширення у браузері, нові застосунки, змінені налаштування стартової сторінки або проксі. Якщо є підозра на глибоку компрометацію – повне перевстановлення системи з нуля безпечніше за будь-яке сканування.

Куди звертатися: заява в кіберполіцію про шахрайство онлайн

Заява в кіберполіцію про шахрайство онлайн – законне право кожного громадянина, яким варто скористатися після інциденту. Кіберполіція України (cyberpolice.gov.ua) приймає заяви про шахрайство в інтернеті цілодобово через онлайн-форму або особисто у відділенні. Фіксація інциденту важлива не лише для переслідування конкретного шахрая, а й для формування загальної картини активних кампаній – це допомагає захистити інших.

Заява про шахрайство онлайн має містити: дату та час інциденту, скріншоти підозрілого листа або повідомлення з повними заголовками, URL фішингового сайту, опис здійснених дій та їх наслідків (якщо були), будь-які фінансові транзакції або передані дані. Чим більше деталей – тим ефективніша робота слідчих.

Стаття за шахрайство в інтернеті в Україні – стаття 190 КК України (шахрайство) та стаття 361 КК України (несанкціоноване втручання в роботу інформаційних систем). Покарання залежить від розміру збитків та способу вчинення злочину – від штрафу до позбавлення волі. Якщо ви зазнали фінансових збитків – паралельно зверніться до банку для блокування підозрілих транзакцій та в поліцію для фіксації факту злочину.

Шахрайство в інтернеті куди звертатися? Узагальнена відповідь: кіберполіція для кіберзлочинів, CERT-UA для технічних інцидентів із компрометацією систем, банк для блокування карткових транзакцій, Нацбанк якщо інцидент стосується ліцензованих фінустанов. Детальніше про юридичний захист – у розділі Юридична підтримка на ВИШКІЛ.

Інструменти для перевірки фішингу

Знання алгоритму перевірки та реагування має бути підкріплене конкретним переліком інструментів, які завжди під рукою. Нижче – систематизований набір сервісів і рішень, кожен із яких вирішує конкретну задачу в процесі верифікації підозрілого листа, посилання або файлу. 

Онлайн-сервіси перевірки URL

Для перевірки підозрілих посилань – спеціалізовані сервіси, які аналізують URL через десятки репутаційних баз одночасно:

• VirusTotal – перевірка URL і файлів через 70+ антивірусних движків
• URLVoid – перевірка репутації домену
• Google Safe Browsing – перевірка у базі небезпечних сайтів Google
• PhishTank – база відомих фішингових сайтів від спільноти
• URLScan.io – детальний аналіз поведінки сайту без переходу

Email-фільтри

Захист email на технічному рівні – налаштування поштових фільтрів та перевірка наявності SPF, DKIM та DMARC записів у домені відправника. SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) та DMARC – технічні стандарти, які підтверджують легітимність відправника. Їх відсутність або помилка – технічна ознака підробки. Перевірити записи можна через MXToolbox.

OSINT-інструменти

OSINT і кіберзагрози – взаємопов’язані дисципліни. Для перевірки домену та інфраструктури атаки:

• Shodan – пошук по IP та інфраструктурі
• Maltego – візуалізація зв’язків між доменами, IP та особами
• WHOIS – дані про реєстрацію домену
• BuiltWith – технічний стек сайту

Детальніше про OSINT-методи – у розділі OSINT на ВИШКІЛ.

Антивірусні рішення

Для корпоративного використання та підрозділів рекомендовані рішення з функцією sandbox та поведінкового аналізу: Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne. Для індивідуального використання – Malwarebytes, ESET, Bitdefender. Ключовий принцип: антивірус – остання лінія захисту, не перша. Основний захист – обережність і верифікація перед кліком.

Висновок

Фішинг не зникне – він еволюціонуватиме разом із технологіями. Штучний інтелект робить атаки переконливішими, автоматизації – масштабнішими, а geopolitical targeting (геополітично вмотивовані атаки) перетворює цифрове середовище на повноцінне поле бою. Розуміти це – значить не параноїти, а формувати системний підхід до власної цифрової поведінки.

Для читача ВИШКІЛ це означає конкретне: 

• перевіряти відправника перед кліком;
• вмикати 2FA на всіх критичних сервісах;
• навчати свою команду розпізнавати атаки;
• знати алгоритм дій після інциденту. 

Не технічна досконалість, а регулярна свідома практика – ось що відрізняє людину, яку складно зламати, від легкої цілі.

Продовжуйте формувати навички цифрової безпеки разом із ВИШКІЛ.ОНЛАЙН. Розділи Цифрова грамотність, OSINT та Психологія дають суміжні знання, які в комплексі формують повноцінний захист – технічний, інформаційний і психологічний.

FAQ – часті запитання

Що таке фішинг простими словами? 

Фішинг це спосіб обману в інтернеті, при якому зловмисник прикидається надійною організацією або особою, щоб змусити вас передати паролі, дані картки або персональну інформацію. Назва походить від англійського «fishing» – риболовля: зловмисник закидає «наживку» і чекає, поки жертва «клюне». Атака спрямована не на техніку, а на людину – і саме тому спрацьовує навіть на досвідчених користувачів.

Чи можуть зламати email через один клік? 

Так, у певних сценаріях – один клік може запустити завантаження шкідливого файлу, відкрити фішингову сторінку або навіть задіяти вразливість браузера (drive-by download). Особливо небезпечні посилання у листах, якщо браузер або ОС не оновлені. Проте в більшості випадків один клік на посилання – не фатальний, якщо ви не вводили дані на сторінці, що відкрилась. Головне – зупинитися і не вводити жодних даних.

Як перевірити підозрілий лист? 

Алгоритм:

1. Перевірте повну адресу відправника, не лише відображуване ім’я; 
2. Наведіть курсор на посилання – подивіться реальний URL; 
3. Перевірте посилання через VirusTotal або URLVoid; 
4. Оцініть тон – чи є штучна терміновість; 
5. Якщо є вкладення – завантажте без відкриття і перевірте через VirusTotal. 

Якщо є сумніви – не натискайте нічого і зверніться до IT-підтримки.

Чи небезпечні фішингові SMS? 

Smishing (SMS-фішинг) – повноцінна загроза з високою конверсією. На смартфоні важче перевірити реальний URL, а SMS-повідомлення психологічно сприймається як більш особисте і термінове. Додатковий ризик – посилання у SMS часто скорочені і не дають уявлення про реальний домен. Правило: ніколи не переходьте за посиланням із SMS від невідомого відправника. Якщо лист нібито від банку – відкрийте офіційний застосунок напряму.

Де пройти навчання з кібербезпеки безкоштовно? 

Курси кібербезпеки безкоштовно – кілька перевірених варіантів: Prometheus (курси українською), Дія.Освіта (базові модулі з цифрової безпеки), Google Digital Garage (основи кібербезпеки), Cybrary (англомовний, безкоштовний базовий рівень). Для поглибленого вивчення – матеріали розділу Цифрова грамотність на ВИШКІЛ.

Тест на знання фішингу: перевір себе і не попадись на гачок

Тепер, коли ви знаєте ознаки фішингу, схеми атак і алгоритм перевірки – час закріпити знання на практиці. Нижче – короткий інтерактивний тест із реальними сценаріями. Кожне запитання відтворює ситуацію, з якою стикаються реальні користувачі. Обирайте відповідь, яку б ви дали в реальному житті – і дізнайтеся наприкінці, наскільки надійно ви захищені.