У 2026 році шахраю не треба зламувати банк або обходити складні системи захисту. Потрібно переконати людину самостійно перейти за посиланням та віддати шахраям дані своєї картки. На цьому побудований фішинг – один з найпоширеніших видів онлайн-шахрайства. Щороку українців ошукують через такі шахрайські операції на мільйони гривень, останні два роки ця сума сягає за 1 млрд грн. Що треба знати, щоб не стати жертвою шахрайства? Розбираємось. 

Сторінка виглядає як застосунок відомого банку. Логотип, кольори – все як справжнє, лише адреса відрізняється однією літерою. Вводиш дані – і шахраї отримують доступ до картки або онлайн-банкінгу. Підроблені банківські сайти, чати підтримки та державні сервіси залишаються одним з найбільш ефективних інструментів кіберзлочинців. Один з потужних інструментів для цього – фішинг. 

Середня сума збитку з однієї шахрайської операції в інтернеті склала 6043 грн, що на 27% більше, ніж торік, свідчать дані Національного банку. При цьому 83% цих операцій відбулися саме через інтернет, решта – через фізичні ґаджети, як-от термінали чи банкомати. 

Слабкою ланкою залишається людина. Замість дорогих атак на захищені системи зловмисники змушують користувача добровільно віддати доступ до рахунку. Це і є фішинг. 

«Це досі працює?» – резонно питають користувачі соцмеж під постами про чергове шахрайство. На жаль, не тільки працює, але й стає більш досконалим завдяки штучному інтелекту. 

Як виглядає фішинг зразка 2026 року? 

З поняттям фішингу користувачі познайомилися з два десятки років тому. Тоді це були дивні листи від «африканських принців» кривою англійською на електронну пошту з благаннями про допомогу або пропозиціями заробити. Суть – підсунути користувачеві фейковий сайт або сервіс і виманити дані його картки. 

За оцінками Держспецзвʼязку, близько 60% кібератак досі починаються з фішингу. Тобто зловмисники частіше не зламують систему напряму, а спочатку змушують людину відчинити двері – перейти за посиланням, завантажити файл або ввести пароль на підробленому сайті. Це стосується і кібербезпеки компаній, і цифрової безпеки окремих користувачів. 

Мета фішингу давно не обмежується реквізитами картки. Зловмисники полюють на паролі від онлайн-банкінгу, облікові записи, одноразові коди підтвердження та навіть доступ до самого пристрою. Але, звісно, отримати дані платіжних карток потенційної жертви і спустошити їх – це найчастіша схема фішингу. 

Парадокс безпеки: шахрайських атак меншає, але збитки українців ростуть 

Попри постійний розвиток захисту від онлайн-шахрайства, цей його вид продовжує залишатися топ-інструментом зловмисників. Штучний інтелект вдосконалює технології зловмисників, каже Держспецзвʼязку. 

Так, ви ще можете перетнутися з фішингом на маркетплейсі чи платформі оголошень, де хочете продати велосипед, з якого виросла ваша дитина, але є й більш витончені і не такі очевидні місця зустрічі. Один з них – це CAPTCHA-перевірки. Користувач заходить на рейковий сайт, і тут стандартне, здавалось би, прохання – «підтвердіть, що ви людина». Але за фальшивою CAPTCHА ховається шкідлива команда. 

В арсеналі у зловмисників зараз цілі «набори» для клонування сторінок входу на популярні сервіси. Раніше шахраю треба було самому створити сайт, налаштувати розсилку, збирати паролі. Зараз це продається як готовий сервіс. Не треба особливих технічних навичок. 

У травні 2026 року дослідники американської компанії з кібербезпеки Huntress виявили платформу, що схожа на такий собі Amazon для шахраїв, пише TechRadar. Вона продає готові шаблони сторінок входу до сервісів Microsoft та інші інструменти для шахраїв. Це перетворюється на бізнес для шахраїв з оренди готової «інфраструктури» для фішингу. 

Персоналізований фішинг 

Huntress також проаналізувала сотні інцидентів з фішингом і не знайшла дві однакові «приманки», пише Aхios з посиланням на дані звіту компанії. Зловмисники використовують ШІ для персоналізації повідомлень у великих масштабах. Раніше вони використовували ШІ, щоб надати більшої переконливості окремим повідомленням і адаптовували їх до конкретних жертв. Тепер – до всіх.

При цьому ШІ також допомагає робити фішингові листи переконливими. Раніше багато шахрайських листів видавали себе самі: ламана українська, дивні звертання, помилки в тексті. Генеративний штучний інтелект майже зняв цю проблему. 

За допомогою сучасних моделей зловмисники стають не тільки більш переконливими у своїх повідомленнях, а й можуть робити це будь-якою мовою, стилізувати під конкретну компанію чи навіть людину. 

«Написала фотографка, яка пропонує безкоштовну фотосесію. Сказала, що надішле портфоліо, де я можу обрати щось собі до душі», – пише користувачка Threads @britishdaugter і додає скріншот переписки. Лінк, який «фотографка» пропонує, просить заповнити «вікно попередньої авторизації». «Фотографка» у персональній переписці запевняє: все гаразд, інші клієнти переходили «і нічого поганого не сталось». 

Такі персоналізовані повідомлення можуть приходити не тільки в соцмережах, а й на платформах, де користувачі цього не очікують: маркетплейсах, платформах оголошень, навіть у повідомленнях від «державних установ». 

Спільний знаменних цих повідомлень – потенційну жертву хочуть затягнути в розмову, а потім так чи інакше буде спроба виманити персональні дані. При цьому захиститися від фішингу можемо тільки ми самі. 

Скріншот користувача 

Шахраї підробляють навіть тих, хто бореться з шахраями. Навесні 2026 року урядова команда реагування на кіберпрецеденти CERT-UA зафіксувала масову розсилку листів нібито від власного імені. Отримувачам пропонували завантажити «захисний інструмент» для кібербезпеки. Насправді в архіві було шкідлива програма, яка надавала зловмисникам доступ до компʼютера. Ба більше – Кіберполіція ініціювала блокування фішингового сайту, який маскувався під портал Національної поліції. Шахраї розсилали фейкові повідомлення про нібито порушення правил дорожнього руху і вимагали терміново сплатити штраф. 

Фішингові листи – це класичний формат цього виду шахрайства, але він не єдиний, застерігає Держспецзвʼязку. Шкідливі посилання можуть бути заховані в QR-кодах, SMS.  У Нацполіції застерігають: зловмисники наклеюють свій QR-код поверх оригінального в кафе та ресторанах, а також в інших публічних місцях, на ринках та невеликих магазинах. 

Шахраї через діпфейки підробляють госолові повідомлення чи навіть відеоповідомлення – звісно, за участі ШІ. Гра на уважність виходить на новий рівень. Навіть в обізнаних користувачів може статися проблема, якщо фішингове повідомлення застало їх у момент втоми або низької концентрації через зайнятість. 

Як впізнати сайт-підробку? 

Якщо користувач стикається зі спробою фішингу на десктопі, простий метод розпізнати фейковий лінк – навести на нього курсором. У нижньому кутку віконця зʼявиться адреса, за якою можна перевірити домен. 

Щоб провести платіж, краще зайти в банківський застосунок або вручну зайти на сайт банку, аніж йти за лінком у повідомленні. 

Помилки мають насторожувати: помилки у словах, непритаманні українській мові формулювання, дивні шрифти. 

Якщо сайт просить пароль від банкінгу або інші дані картки – це шахрайство. Класика жанру – ніколи не повідомляти PIN-коди, CVV-коди карток та одноразові паролі. 

Використовуйте складні, унікальні паролі для різних сервісів. 

Регулярно оновлюйте операційну систему та застосунки і памʼятайте про святая святих захисту своїх даних – двофакторну аутентифікацію. Іноді від великих проблем захищають прості кроки. 

Економіка фішингу 

Навесні 2026 року державні установи почали отримувати листи нібито про сертифікати від освітньої платформи Prometeus. Лист виглядав правдоподібно, всередині – PDF-файл, а в ньому – посилання. Клік на нього – і завантажується архів, що запускає шкідливе програмне забезпечення.

Після запуску шкідлива програма збирала інформацію про компʼютер, могла завантажити додаткові інструменти для повного контролю над системою. Для державної установи це велика проблема: загроза втратити внутрішню переписку, тендерну документацію, персональні дані, фінансові звіти. 

Чому фішинг не зникає? Причина проста. Це дешево і масштабно. Для запуску фішингової кампанії не потрібно зламувати банківські системи чи витрачати місяці на підготовку атаки. На підпільних форумах продаються готові набори для створення копій різних сайтів, масових розсилок, збору даних користувачів. Половина фішингових сайтів у світі живуть менше пʼяти годин, але за цей час їм вдається зібрати ошукати десятки жертв. Такі дані корейських дослідників були представлені на авторитетній конференції ACM Web Conference у 2025 році. 

Апетити шахраїв зростають. Як змінився «середній чек» крадіжки з картки онлайн? 

За чотири роки збитки від карткового шахрайства в Україні майже потроїлися. Торік шахраї спустошили картки ошуканих українців на 1,4 млрд грн, тоді як в 2022-му – на 481 млн грн. Та й тоді, в 2022-му, це було дуже багато, а саме – на 46% більше порівняно з довоєнним 2021-м. Саме через це Нацбанк в 2023 році оголосив повернення до кампанії «Шахрай гудбай» – регулятор зафіксував зростання шахрайських схем із платіжними картками. 

Динаміка останніх років показує: кількість шахрайських операцій уже не зростає такими темпами, а торік навіть зменшилась на 5%. Але середній збиток від однієї шахрайської операції зростає. Організатори таких схем дедалі ефективніше монетизують кожну атаку. 

Фішинг стає все менше й менше схожим на шахрайство. Замість «дивних» листів від «принців» потенційні жертви бачать повідомлення від банків, державних сервісів, роботодавців чи знайомих людей. Штучний інтелект зробив такі атаки дешевшими і ефективнішими. Тому головним інструментом захисту залишається звичка бути обачним в інтернеті з усім, що стосується фінансової інформації – перевірка посилань і джерела повідомлення, а особливо – постійна настороженість до введення особистих даних.