Пароль вас не врятує: як шахраї виманюють дані в українців

Кіберзлочинці давно зрозуміли: навіщо витрачати час на технічний злам, якщо можна змусити людину самостійно віддати пароль. Методи соціальної інженерії стали головною зброєю шахраїв — вони тиснуть на емоції, створюють паніку та імітують офіційні структури. Державна служба спеціального зв'язку та захисту інформації попередила українців про масове поширення таких схем.

Фішинг вийшов далеко за межі електронної пошти. Тепер зловмисники створюють фейкові акаунти та чат-боти в Telegram, Viber і WhatsApp, маскуючись під відомі сервіси. Найпоширеніша схема — телефонний дзвінок нібито від «служби безпеки банку» або «державного органу» з попередженням про критичну загрозу для коштів на рахунку. Використовуючи брак часу та паніку, шахраї вимагають продиктувати пароль або код із SMS.

Telegram-бот для «перевірки штрафів» — нова пастка

У червні команда CERT-UA зафіксувала новий вид атаки. Зловмисники створили Telegram-бот, який нібито дозволяє перевірити штрафи за порушення правил дорожнього руху. Після запуску бот пропонує «підтвердити акаунт» і просить ввести одноразовий код авторизації від самого Telegram, а потім — пароль двофакторної автентифікації. Отримавши обидва коди, хакери повністю заволодівають акаунтом жертви.

Окрему загрозу становлять підроблені сторінки поштових сервісів. Фішингові посилання ховають у прикріпленому PDF-документі або вставляють безпосередньо в лист. Користувач переходить на сторінку, яка візуально повністю копіює інтерфейс поштового сервісу, і введені логін та пароль одразу потрапляють до зловмисників. Особливо вразливі до цієї схеми працівники державних органів та військовослужбовці, які використовують публічну пошту поруч із корпоративною.

Як захистити свої дані: правила кібергігієни

Фахівці Держспецзв'язку підготували конкретні рекомендації для зниження ризику втрати доступу до акаунтів. Передусім — унікальні складні паролі для кожного сервісу. Щоб не тримати десятки комбінацій у голові, варто встановити менеджер паролів. Двофакторна автентифікація має бути ввімкнена скрізь, де це можливо, але жодна легітимна служба підтримки ніколи не попросить надіслати підтверджувальний код.

На робочих комп'ютерах фахівці радять уникати використання публічних поштових скриньок на кшталт ukr.net чи gmail.com для службової комунікації. Перед введенням даних завжди варто перевіряти адресу сайту в рядку браузера — одна змінена літера може вести на фішинговий ресурс. Не переходьте за посиланнями від незнайомців у месенджерах.

Зафіксовано також випадки, коли шахраї видавали себе за менеджерів Rozetka, щоб виманювати гроші та персональні дані покупців. Ця тенденція підтверджує загальне правило: зловмисники паразитують на довірі до відомих брендів, тому критичне мислення залишається найнадійнішим захистом.

Раніше портал Знай повідомляв, пишуть у Viber і знімають усе до копійки: кого обирають шахраї.

Також наш портал інформував, прийшов "лист із суду" на пошту: як діють шахраї та хто під загрозою.

Більше деталей читай у матеріалі: рідний голос — пастка: ШІ-шахраї спустошують картки українців.