У соцмережах поширюється новий вид онлайн-фішингу. Шахраї маніпулюють емоціями людей, аби заволодіти їхніми акаунтами та доступом до інтернет-банкінгу. Загалом, за три місяці 2025 року на адресу управління протидії кіберзлочинам в Сумській області надійшло 115 звернень від громадян, яким заподіяно матеріальну шкоду на суму 3,9 млн грн внаслідок різних видів фішингу. Про новий тип шахрайства Суспільному розповів старший оперуповноважений управління протидії кіберзлочинам в Сумській області департаменту кіберполіції Нацполіції України Артем Бухтіаров.
За словами правоохоронця, в даному випадку фішинг починається з образливого коментаря під дописом, щоб зачепити людину та вплинути на її емоції, типу: “Як ти погано виглядаєш…”, “Ти взагалі миєшся…”. Людина переходить на сторінку того, хто це написав, а там тільки одне посилання.
Це маніпуляція, психологічна маніпуляція людиною, адже шахраї в більшості випадків не технарі, не айтішніки, а саме психологи. І їхня головна мета - зробити так, щоб людина перейшла, тобто “клюнула” на це посилання. І це один із приводів для того, щоб привернути увагу. Ну, тобто, є образа. Людина думає: "Та хто це мене ображає? Подивлюсь на її сторінку для того, щоб хоча б зрозуміти, що це за людина, чому вона її ображає і хто і чому вона дозволяє собі таку поведінку.
Зрозуміло, що кожна людина, яка переходить за цим фішинговим посиланням, в подальшому повинна або ввести якісь свої авторизаційні дані для того, щоб отримати подальший інформацію або під цим посиланням вже замасковане якесь шкідливе програмне забезпечення, яке встановлюється на той гаджет, з якого з якого було відкрито це посилання і отримує інформацію або особистого характеру для шантажу, або скопіює дані необхідні для доступу до банкінгів, які встановлені на тому самому гаджеті.
Загалом фішинг у нас був і залишається одним із найрозповсюдженіших видів злочинів серед шахрайств і полягає він в тому, що зловмисники створюють шкідливе посилання, яке розсилають під різними приводами всім мешканцям не тільки Сумщини, але всієї України. Для прикладу, людині може бути запропоновано провести нібито оплату за якусь послугу, можливо за авторизацію, яка там буде копійки нібито вартувати і для того, щоб отримати подальший повний функціонал сайту, на який людина виявила бажання прийти. Вона повинна ввести туди авторизаційні дані, номер карти, термін її дії і CVV код, який також шахраї використовують для доступу до банкінгу і зняття всіх же заощаджень, які знаходяться на рахунках потенційної жертви.
Є приклад, який стосується і нібито підвищення пенсії: зайдіть за посиланням, де буде вам запропонована схема, за якою можна підвищити пенсію або ще визволення військовополонених. Зайдіть за посиланням, де ви зможете отримати інформацію, перевірити чи перебуває ваш близький в полоні і отримати про нього дані. Тобто, під будь-яким приводом. Ті самі петиції, підписання петиції про просування звання Героя України загиблим воїнам. Людина переходить за цим посиланням для того, щоб зробити добру справу і підписати цю петицію, але виходить так, що вона “клює" на фішинг.
До речі, останні схеми ще стосуються фішингових посилань, які є замасковані в QR-кодах. Візуально вони схожі на звичайні QR-коди і відрізняються лише набором таких самих закодованих символів в QR-коді, тобто людина візуально фактично не може визначити, що це QR-код фішинговий.
Як вберегтися від онлайн-фішингу
1. Не потрібно взагалі переходити за сумнівними лінками з електронною поштою, з соцмережами, з месенджером або від другорядних людей, які ви особисто не знаєте. Бажано не переходити, так як шахраї створюють ці фішингові посилання фішингові сайти, навіть, якщо це сайти, які будуть візуально схожі на якісь вже достовірно встановлені сайти. Потрібно звертати увагу на посилання і що там за символи знаходяться. Якщо це якийсь набор символів, то, по-перше, незрозуміло взагалі походження це посилання цього посилання і, по-друге, його потрібно перевірити. Кіберполіцією створено та підтримується сервіс під назвою BlackList EMA, через які можна перевірити це саме посилання на ознаки фішингу і наявність його в базі даних фішингових посилань.
2. Не потрібно вводити свої авторизаційні дані, тобто CVV код карти, термін дії карти, свій номер телефону, якісь одноразові паролі, які надходять для підтвердження нібито авторизації. Все це є ключами до банкінгів, які встановлені на фактично кожну смартфоні у наших громадян.
3. Потрібно використовувати відповідне програмне забезпечення, це антивіруси і брендмаури, які встановлюються і на комп'ютерах і на смартфонах і є запорукою того, що вірус і шкідливе програмне забезпечення не буде подати, який встановлений встановлено на ваш телефон.
4. Варто вмикати двофакторну аутентифікацію, яка збереже ваші соцмережі від зламу.
5. Сканувати QR-коди лише з надійних джерел і уникати кодів, розміщених на випадкових наклейках і листівках або рекламних оголошеннях. Якщо там немає розшифровки того посилання, тож перед скануванням кожного QR-коду потрібно перевірити посилання і в своєму смартфоні можна налаштувати його так, щоб він не одразу відкривав вміст посилання, яке з під QR-кодом зашифроване, а спочатку візуально вам відображав на екрані саме це посилання, щоб ви могли бачити, на який сайт воно веде. Тобто, використовувати функцію попереднього перегляду посилання.
Завжди потрібно звертати на веб-адресу після переходу за QR-кодом і навіть, якщо сайт виглядає переконливо будь-які відмінності в домені можуть бути ознакою шахрайства. Домен - це останні буквосполучення в кожному посиланні, тобто .com.ua або .gov. Якщо той чи інший сайт раніше закінчувався на .com, а зараз ua.com, то це скоріш за все буде фішингове посилання.
6. Потрібно перевіряти наявність захищеного з'єднання. Якщо сайт не має сертифіката безпеки, то вводити на ньому якусь інформацію небезпечно. Тобто біля позначки на початку посилання “http” повинен бути відповідний замочок і це означає, що вказаний сайт перевірений відповідними заходами безпеки. Якщо цей замочок відсутній, то така перевірка не проводилась.
7. Потрібно не вводити банківські дані на невідомих сайтах та без необхідності зайвий раз здійснювати шляхом використання цих банківських даних якісь покупки на тих сайтах, де ви жодного разу зразу їх не здійснювали, і ви не знаєте, що це за сайт. Потрібно використовувати віртуальні або тимчасові картки для онлайн-платежів, і це допоможе уникнути значних фінансових втрат у разі витоку фінансових даних цієї картки. Краще перерахувати суму, на яку ви збираєтесь придбати товар на цю свою картку. Наприклад, якщо ви хочете купити там якісь штани, які вартують тисячу гривень, ви переводите ці гроші на окрему картку для онлайн покупок і вже з неї здійснюєте оплату. В такому випадку, ви принаймні максимально що втратите - це ту тисячу гривень, яка знаходиться на карті, а не всі заощадження і також на вас не оформлять кредити і не очистять всі ваші кредитні картки, які прив'язані до вашого інтернет-банкінгу.
Кіберполіція підтримує волонтерський проєкт "Brama", який працює у напрямку протидії дезінформації та незаконному контенту в інформаційному просторі. На сайті проєкту люди можуть залишати скарги на джерело, яке необхідно заблокувати. Приєднатися до проєкту можна також в Telegram-каналі.
Читайте Суспільне у Telegram та WhatsApp
Дивіться нас у YouTube та TikTok
Долучайтесь до нашої спільноти у Viber та Facebook
Підписуйтеся на наш Instagram