В Україні квітне значна кількість злочинних задумів, де мішенню часто стають сім’ї військових. Широке застосування штучного інтелекту (ШІ) розширило спектр методів ошуканства.
Отже, за початкові п’ять місяців 2026 року неправомірні дії у фінансовій галузі стали відчутно більш технологічними, оперативними та індивідуалізованими. Згідно з висловлюваннями Ганни Довгальської, заступника голови правління “Глобус Банку”, штучний інтелект все інтенсивніше використовується як інструмент для розширення вже існуючих схем: соціального інжинірингу, фішингу, фальшивих викликів, підроблених повідомлень, оманливих онлайн-пропозицій, несправжніх зборів коштів та маніпуляцій у месенджерах. ШІ робить повідомлення більш переконливими, дзвінки – достовірнішими, а атаки – значно швидшими.
У підсумку, в 2025 році число протизаконних дій та шахрайських операцій з платіжними картками, за якими були завдані втрати, скоротилася на 5% — до 256 тис. операцій. Проте сума завданих збитків, навпаки, зросла майже на чверть — до 1,4 млрд грн. Середня сума однієї незаконної махінації збільшилася на 30% — з 4247 грн у 2024 році до 5536 грн у 2025 році. При цьому 83% усіх шахрайських операцій відбувалися через мережу інтернет, а 90% від загальної суми збитків були нанесені соціальним інжинірингом.
Найбільш поширені злочинні схеми
Ганна Довгальська відзначає, що масовою небезпекою залишається соціальна інженерія: в Україні найчастіше зловмисники представляються працівниками банку, стільникового оператора, державної установи, благодійної організації або ж навіть за знайомих особи. Їх головна задача — це змусити клієнта особисто розголосити особисті відомості або підтвердити транзакцію.
ВІДЕО ДНЯ
“Стандартні ситуації — це нав’язливі дзвінки нібито від “служби безпеки банку” з інформацією про сумнівну транзакцію, блокування рахунку або необхідність “убезпечити кошти” тощо. Людину насильно вводять у стан неспокою, змушують діяти поспішно, невідкладно. Такий тиск блокує критичне мислення, внаслідок чого жертва надає реквізити картки, CVV-код, логін для онлайн-банкінгу або одноразовий код”, — зауважила банкір.
Друга відома схема — це фішинг. Мова йде про фальшиві вебсайти банків, державних програм, служб доставки, доброчинних фондів, онлайн-платформ або онлайн-магазинів. Людина переходить за посиланням, вписує дані картки, після чого шахраї мають можливість зняти кошти або отримують доступ до фінансового номера і онлайн-банкінгу.
РЕКЛАМА
Окремий напрямок — шахрайські підписки онлайн та несправжні магазини. Користувачу пропонують товар за неправдоподібно низькою вартістю, акційний доступ до сервісу, розіграш, безпрограшну лотерею, тестовий період або оформлення невеличкого платежу, який насправді активує постійне зняття коштів. Часто такі вебсайти виглядають професійно, мають логотипи популярних брендів, відгуки, чат-боти та навіть симуляцію служби підтримки.
Четверта схема — фальшиві збори, псевдодопомога та зловживання на тему війни. Злочинці створюють сторінки збору коштів “на ЗСУ”, “на лікування”, “на гуманітарну допомогу”, фальсифікують фотографії, звіти, квитанції, документи, а в окремих випадках можуть вдаватися до дипфейк-відео або згенерованих ШІ зображень.
Ще один постійно ризикований напрямок — P2P-шахрайство, тобто перекази з картки на картку. Найчастіше він маскується під продаж в інтернеті, OLX-доставку, завдаток за товар, бронювання помешкання, оплату уявних послуг або страховий внесок.
РЕКЛАМА
“Клієнту варто використовувати просте правило: якщо вас кваплять, залякують, обіцяють надзвичайну вигоду або просять діяти негайно — це вже сигнал, як мінімум, зупинитися, відкинути зайві переживання. Аферисти майже завжди діють через надмірну емоційність: страх втратити кошти, прагнення швидко одержати допомогу, жалість до знайомого чи спокусу придбати щось дуже вигідно”, — підкреслила Ганна Довгальська.
Як ШІ покращує злочинність
Банкір зауважила, що штучний інтелект значно змінив якість шахрайських схем. Найперше ШІ допомагає створювати тексти без типових огріхів, за якими раніше можна було легко виявити фішингові повідомлення. Зараз фальшивий лист, SMS або повідомлення у месенджері можуть бути граматично бездоганними, стилістично близькими до офіційної комунікації банку, компанії, державної установи чи служби доставки.
За її даними, саме фішинг став одним з головних напрямків застосування ШІ. Вже більше 80% проаналізованих фішингових листів мають ознаки використання штучного інтелекту. Європейські дослідження оцінюють показник використання ШІ у фішингу у 82,6%. По суті, автоматизація дозволила шахраям різко здешевити підготовку атак, в деяких випадках до 95%, а також значно пришвидшити їх.
Окрім того, ШІ надає можливість персоналізувати атаки. Зловмисники можуть використовувати публічні дані із соціальних мереж, професійних анкет, зокрема LinkedIn, месенджерів, відкритих фото, коментарів або згадок, щоб зробити повідомлення більш правдоподібним. Наприклад, у листі можуть згадати місце роботи, прізвище керівника, недавню подорож, подію чи сервіс, яким людина насправді користується. Тому жертві все частіше здається, що лист або повідомлення “справжні”.
РЕКЛАМА
“Найбільш небезпечне в сучасному фішингу — це комбінація посилання з контекстом. Людина бачить знайоме ім’я, правильний тон, логотип, згадку про реальну подію і цілком природно може втратити пильність. ШІ дозволяє шахраям створити ілюзію правди там, де раніше були явні недоліки”, — пояснила.
На її думку, окрему загрозу становлять deepfake-технології (підроблений голос, відео чи зображення). Експертка відзначила, що ШІ може застосовуватися для створення підроблених голосів та відео реальних людей. Шахраї здатні клонувати голос особи за короткими аудіофрагментами, а іноді для базової імітації може бути достатньо кількох секунд запису. Такі записи можна отримати з відкритих відео, голосових повідомлень, соціальних мереж або чатів.
У найпростіших випадках людині телефонують від імені “родича” або “товариша” і просять терміново переказати кошти. У складніших — імітують керівника компанії, який нібито просить бухгалтера або фінансового менеджера терміново здійснити платіж. Такі схеми особливо ризиковані, коли об’єднують голосову імітацію, психологічний тиск та вимогу негайної дії: “переказати кошти”, “підтвердити транзакцію”, “не ставити зайвих запитань”, “зробити це прямо зараз”.
“Раніше людина могла реагувати на недоліки в тексті, незвичну мову, неприродний голос або нелогічну логіку повідомлення. Тепер ці індикатори діють гірше. ШІ допомагає аферистам звучати переконливіше. Тому головний захист — не намагатися “розпізнати” шахрая за інтонацією, а перевіряти саму дію”, — наголосила Ганна Довгальська.
Як захиститися від ШІ-шахрайства: практичні поради
Щоб не потрапити в пастку зловмисників, Ганна Довгальська радить дотримуватися базового “алгоритму безпеки”. Головне правило — ніколи не поспішати. Будь-яке повідомлення або дзвінок, що потребує негайної дії з грошима, карткою, кодами, паролями або доступом до програми, слід сприймати як потенційно небезпечне.
Вона радить громадянам ніколи нікому не повідомляти CVV-код, термін дії картки, PIN-код, логін та пароль до інтернет-банкінгу, одноразові паролі із SMS або push-повідомлень, коди мобільного оператора, дані для входу до програми. Також не варто вводити дані картки на підозрілих вебсайтах, навіть якщо сторінка виглядає професійно, має логотип відомої компанії, офіційний стиль або службу підтримки. Також слід уважно перевіряти доменну адресу, не довіряти подібним написам та користуватися лише офіційними програмами з App Store або Google Play.
“Якщо ви отримали дзвінок нібито з банку, то краще завершити розмову та самостійно перетелефонувати за номером, вказаним на офіційному сайті або на картці. Якщо знайома людина надіслала повідомлення з проханням терміново перерахувати гроші, то зв’яжіться з нею іншим каналом комунікації або перетелефонуйте їй”, — порадила вона.
Окреме правило — ставити під сумнів “терміновість”. Саме поспіх є одним з основних інструментів шахраїв. Вони створюють відчуття, що рахунок заблокують, кошти зникнуть, допомогу втратять, акція закінчиться, товар заберуть зараз, а платіж потрібно зробити негайно. У таких ситуаціях найкраща дія — пауза, перевірка та відмова від імпульсивного рішення.
“Слід також звертати увагу на нетипові фрази, помилки, дивну логіку в розмові або невідповідність стилю людини, яка нібито пише або телефонує. Але важливо не покладатися тільки на ці ознаки: в епоху ШІ повідомлення може бути грамотно написаним, а голос — схожим на реальний. Тому перевіряти потрібно не лише форму, а насамперед саму дію — незалежним способом”, — підкреслила фахівчиня.
Для захисту фінансового номера телефону експертка рекомендує ідентифікувати SIM-картку у мобільного оператора, не використовувати неперсоніфікований номер як фінансовий, а також підключити додаткові сервіси захисту SIM-картки, щоб у разі втрати телефону чи підозри на несанкціонований доступ була можливість негайно заблокувати картку та інтернет-банкінг.
Окремо важливо використовувати двофакторну автентифікацію всюди, де це можливо: у банківських додатках, пошті, месенджерах, соціальних мережах, онлайн-магазинах. За певними оцінками двофакторна автентифікація може забезпечувати близько 99% захисту від значної частини несанкціонованих доступів до облікових записів. Це не робить людину абсолютно невразливою, але суттєво ускладнює доступ шахраїв до її фінансових та персональних даних.
Тим часом українців застерегли про активізацію шахрайств під виглядом фальшивих правоохоронців.