Posted inСуспільство

Що таке фішинг?

Що таке фішинг?

Фішинг – це одна з найпоширеніших кібератак, яка щороку коштує бізнесу та людям мільярди гривень. Зловмисники маскуються під довірені організації, щоб витягти ваші дані: паролі, номери карток чи PIN-коди. Якщо ви отримуєте листа від “банку” з проханням терміново увійти в кабінет, це може бути фішинг. У цій статті розберемо, що це таке, як воно працює і як не стати жертвою.

Визначення фішингу

Фішинг походить від англійського “phishing” – гри слів від “fishing” (рибалка), де “приманка” – це обманне повідомлення. Це соціальна інженерія: хакери обманюють людей, щоб ті самі видали конфіденційну інформацію. На відміну від вірусів чи DDoS, тут немає прямого злому комп’ютера – жертва робить все сама.

За даними звіту Verizon DBIR 2023, фішинг бере участь у 36% усіх успішних брешей даних. В Україні, за статистикою Кіберполіції, щомісяця фіксують тисячі таких інцидентів, особливо на тлі воєнних подій.

Історія фішингу

Фішинг з’явився в 1994–1995 роках на AOL, де хакери видавали себе за співробітників і просили паролі. У 2000-х рясніли атаки на eBay та PayPal. Сьогодні фішинг еволюціонував: від простих email до AI-генерованих листів та дзвінків. У 2022 році в Україні фішинг зріс на 50% через онлайн-банкінг.

Основні типи фішингових атак

Фішинг буває різним залежно від каналу. Ось найпоширеніші:

Email-фішинг (масовий)

Найпростіший: масові розсилки з підробленими логотипами банків чи сервісів. Жертва клікає посилання і потрапляє на фейковий сайт.

Спір-фішинг (цільовий)

Атака на конкретну особу чи компанію. Хакери вивчають LinkedIn, соцмережі. Приклад: лист від “колеги” з “важливим” файлом.

Вішинг (голосовий фішинг)

Дзвінки від “банкірів” чи “служби підтримки”: “Ваш рахунок заблоковано, назвіть код з SMS”.

Смшинг (SMS-фішинг)

Повідомлення з посиланням: “Оновіть дані Приват24” чи “Виграв приз – заберіть тут”.

Фармінг

Перенаправлення на фейковий сайт через DNS-маніпуляції, без кліків.

Клінт-клікінг

Посилання в месенджерах: “Подивіться фото” – веде до шкідливого сайту.

Як працює фішингова атака

Схема проста:

  1. Приманка: Лист, SMS чи дзвінок з терміновою проблемою (“рахунок заблоковано!”).

  2. Підробка: Імітація бренду – логотип, email типу support@privat24-bank.com.ua.

  3. Посилання: Веде на сайт-копію (URL схожий: bank-privat24.com замість privat24.ua).

  4. Крадіжка: Введення логіну/пароля відправляє дані хакерам.

  5. Експлуатація: Крадені дані для крадіжки грошей чи перепродажу в даркнеті.

Триває секунди, але шкода – на роки.

Найпоширеніші приклади фішингу в Україні

  • Банки: Листи від “ПриватБанку” чи “Монобанку” про “підозрілу транзакцію”.

  • Державні сервіси: Фейкові “Дія” чи “Паспорт онлайн” з вимогою верифікації.

  • Краса та шопінг: “Виграння iPhone” від Rozetka чи OLX з посиланням на оплату.

  • IT-компанії: “Оновіть Windows” від Microsoft з шкідливим exe-файлом.

  • Військові: Під час війни – фейкові “допомоги ЗСУ” для збору даних волонтерів.

У 2023 році в Україні зафіксовано понад 10 тис. скарг на фішинг у Приват24.

Як розпізнати фішингову атаку

Ознаки, на які варто звернути увагу:

  • Терміновість: “Дійте негайно, інакше рахунок заблокуємо”.

  • Помилки: Орфографія, граматика в тексті.

  • Незвичайний відправник: support@google-security.com замість офіційного.

  • Підозрілий URL: Наведіть мишкою – бачите bank.com.ua.net.

  • Запит даних: Банк ніколи не просить пароль по email.

  • Ненадійний HTTPS: Відсутній замок у браузері або сертифікат не від банку.

  • Неочікувані вкладення: RAR чи EXE від “податківців”.

Перевіряйте: hover над посиланням, шукайте в Google.

Як захиститися від фішингу

Ефективний захист – комбінація:

Технічні заходи

  • Антивірус: ESET, Kaspersky з антифішингом.

  • 2FA: Двофакторка на всіх акаунтах.

  • VPN: Для публічних Wi-Fi.

  • Браузерні розширення: uBlock Origin, HTTPS Everywhere.

Поведінкові правила

  • Не клікайте посилання з email/SMS – заходьте на сайт вручну.

  • Перевіряйте URL: офіційний – privat24.ua, не privât24.com.

  • Використовуйте менеджер паролів (Bitwarden).

  • Навчайтеся: тестуйте на phishtest.net.

Для бізнесу

  • Навчання співробітників (симуляції фішингу).

  • SPF/DKIM/DMARC для email.

  • SIEM-системи для моніторингу.

Порада Чому працює
2FA Хакер з паролем не пройде без коду
URL-чек Блокує 90% фейків
Антивірус Авто-блокування шкідливих сайтів

Наслідки фішингу та статистика

Жертва втрачає гроші (середній збиток – 5000 грн), ідентичність чи роботу. Компанії – репутацію та дані клієнтів. За Phishingmta.info, у 2023 фішинг склав 55% атак. В Україні – 1 з 10 українців стикався з ним (дослідження МВС).

Висновок

Фішинг не зникне, але ви можете не стати жертвою. Будьте пильними, перевіряйте все і використовуйте інструменти захисту. Якщо підозрюєте атаку – повідомте в Кіберполіцію (cyberpolice.gov.ua) чи банк. Безпечний інтернет починається з вашої обережності.