В Держспецзв’язку розповіли, як захиститися від сучасних фішингових атак

Попри постійний розвиток засобів захисту, фішинг продовжує залишатися найдієвішим інструментом для початкового проникнення у системи як приватних користувачів, так і організацій. За оцінками профільних європейських структур, на цей метод припадає близько 60% усіх первинних кібератак.

Технології зловмисників постійно вдосконалюються:

• підроблені CAPTCHA-перевірки на скомпрометованих або фейкових сайтах змушують користувача виконувати шкідливі команди під виглядом «перевірки на людину»;
• phishing-as-a-Service – готові «набори» для клонування сторінок входу популярних сервісів та масового розсилання посилань, які роблять створення підроблених ресурсів доступним навіть для зловмисників без технічних навичок;
• автоматизація розсилок дозволяє за хвилини надсилати тисячі персоналізованих повідомлень, відстежувати відкриття й переходи, оновлювати контент і списки отримувачів – кампанії стають масовішими та результативнішими;
• штучний інтелект активно використовується для генерації переконливих фішингових листів. За прогнозами, на початку 2025 року частка фішингових кампаній зі ШІ-підтримкою перевищувала 80% усієї фіксованої активності у сфері соціальної інженерії.

Форми, які варто розпізнавати

Фішинг має багато видів і кожен з них потребує окремої уваги:

• phishing – класичні шахрайські листи електронною поштою;
• quishing – шкідливі посилання, заховані у QR-кодах;
• spearphishing – персоналізовані атаки на конкретну людину чи організацію;
• smishing – шахрайство через SMS;
• vishing – обман за допомогою голосових дзвінків;
• whaling – атаки, спрямовані на керівників компаній;
• BEC (business email compromise) – компрометація ділового листування для фінансового шахрайства, під час якої зловмисники видають себе за довірених осіб (керівників, постійних партнерів або вендорів), щоб змусити працівника переказати кошти чи передати дані;
• deepfakes – підроблені аудіо- та відеоматеріали на основі ШІ.

Приклади з практики: що фіксував CERT-UA останнім часом

1. Фішинг від імені платформи Prometheus (UAC-0057, весна 2026)

З весни 2026 року CERT-UA фіксує численні випадки розсилання електронних листів серед державних організацій із використанням скомпрометованих облікових записів, експлуатуючи тематику отримання сертифікатів через онлайн-платформу Prometheus. До листа додається PDF-документ із посиланням, перехід за яким завантажує ZIP-архів із JS-файлом.

2. Шпигунство за оборонно-промисловим комплексом через Signal (UAC-0200, березень 2025)

CERT-UA фіксує цільові кібератаки на співробітників підприємств оборонно-промислового комплексу та представників Сил оборони. Протягом березня 2025 року у Signal виявлено розсилку повідомлень з архівами, які нібито містять звіт з результатами наради, причому в деяких випадках листування велося від раніше скомпрометованих контактів жертви для підвищення довіри. Архіви містять виконуваний файл DarkTortilla, що завантажує шкідливу програму DarkCrystal RAT.

3. Фішинг від імені самого CERT-UA (UAC-0255, березень 2026)

26 і 27 березня 2026 року CERT-UA зафіксувала масові розсилки листів нібито від імені CERT-UA із закликом завантажити з Files.fm захищений паролем архів («CERT_UA_protection_tool. zip») та встановити «спеціалізоване програмне забезпечення». Серед отримувачів – державні організації, медичні центри, охоронні фірми, навчальні заклади, фінансові установи та ІТ-компанії. Замість «захисного інструменту» жертва отримувала шкідливу програму AGEWHEEZE з повним доступом до системи.

Як убезпечити себе

• Перевіряйте адресу відправника та URL перед переходом;
• Ніколи не вводьте паролі на сторінках, на які ви перейшли за посиланням із листа. Якщо повідомлення вимагає від вас авторизації, відкрийте нову вкладку і самостійно введіть адресу потрібного сайту вручну (або скористайтеся офіційним застосунком);
• Не відкривайте архіви та виконувані файли з листів, навіть якщо вони нібито від знайомих чи партнерів; у разі сумнівів – звертайтеся до організації офіційними каналами;
• Увімкніть двофакторну автентифікацію;
• Не скануйте QR-коди з невідомих джерел;
• Критично оцінюйте дзвінки та відео з проханнями про термінові дії чи перекази коштів.

Пильність залишається найдієвішим засобом захисту.

Зазначимо, що згідно з дослідженням, близько 25% фішингових сторінок існують всього кілька годин.