Месенджери давно стали місцем, де люди працюють, купують, донатять і вирішують побутові справи. Саме тому вони стали ідеальним полем для шахраїв. Ми в InfoOnline зібрали найпоширеніші схеми та способи захисту на основі порад Національної поліції. Головна зміна останніх років проста: злочинці вже не тиснуть лише на жадібність. Тепер вони тиснуть на довіру, поспіх і звичку відповідати в один клік.
Найпоширеніші схеми шахрайства в месенджерах
Поліція відносить до наймасовіших схем фейковий продаж товарів, повідомлення від “працівників банку”, фішингові сторінки під виглядом державних виплат, прохання терміново позичити гроші та повідомлення про нібито виграш. Окремо в умовах війни поширилися фейкові збори “для військових” і псевдовиплати від держави, фондів чи міжнародних організацій.
У месенджерах ці сценарії працюють особливо добре, бо люди сприймають чат як приватний простір. Якщо повідомлення прийшло не з сайту, а від знайомого контакту, критичність падає. Саме на це і розраховують шахраї. Вони заходять не через технологію, а через людську звичку довіряти своєму колу.
Щоб було простіше побачити логіку цих атак, варто подивитися на коротке порівняння найнебезпечніших сценаріїв.
| Схема | Як працює | Що має насторожити | Що робити |
|---|---|---|---|
| “Друг просить у борг” | Зламаний акаунт або профіль-клон пише з проханням переказати гроші | Поспіх, нова картка, дивний стиль мови | Перетелефонувати людині |
| “Проголосуй, будь ласка” | Посилання веде на фішингову форму входу | Просять номер, код із SMS, перехід за дивним URL | Не відкривати, перевірити через дзвінок |
| Фейкові виплати | Сайт імітує держпослугу, банк або фонд | Обіцяють гроші за кілька хвилин | Вводити дані лише на офіційних ресурсах |
| Голосові повідомлення з ШІ | Шахрай клонуює голос і просить позичити кошти | Голос знайомий, але ситуація нетипова | Передзвонити і поставити контрольне питання |
| QR-фішинг | Код веде на підроблений сайт оплати | Наклейка виглядає переклеєною, домен дивний | Перевірити адресу до введення даних |
| “Працівник банку” або мобільного оператора | Виманюють коди, дані картки або доступ до SIM | Просять CVV, PIN, SMS-код | Одразу припинити розмову |
Ці схеми різні лише на вході. На виході мета одна: отримати доступ до вашого акаунта, картки або списку контактів. Після цього зловмисники або крадуть гроші одразу, або використовують ваш профіль як новий інструмент атаки.
Чому повідомлення від знайомого вже не гарантує безпеку
Одна з найнеприємніших змін останнього часу — атаки через зламані акаунти. Національна поліція прямо радить: якщо в соцмережі чи месенджері прийшло повідомлення на кшталт “Привіт, позич, будь ласка, гроші”, треба спершу переконатися, що це справді ваш знайомий. Найкраща порада звучить дуже приземлено: “перетелефонуй другу за номером, який ти точно знаєш”.
Друга популярна тактика — профілі-клони. Шахрай копіює фото, ім’я, опис і майже такий самий нікнейм. Потім знаходить друзів жертви і починає масову розсилку. У Telegram така схема працює особливо агресивно, бо там простіше побудувати правдоподібний фальшивий профіль і швидко вийти на коло контактів. Експерти з цифрових прав також звертають увагу, що чутливе листування краще переносити в захищеніші сервіси на кшталт Signal.
Користувачі часто помічають обман уже після переказу. Але до цього майже завжди є дрібні сигнали: дивний поспіх, чужа манера писати, граматичні помилки, вимога відповісти просто зараз, прохання переказати на нову картку або перейти на зовнішній сайт. Саме дрібниці тут вирішують усе.
Голосові повідомлення з ШІ
Окремий ризик — голосові повідомлення, згенеровані або змонтовані за допомогою штучного інтелекту. Держспецзв’язку попереджає: шахраї можуть зламати акаунт, а потім використати старі голосові записи людини, щоб створити нове переконливе звернення до її друзів. Тобто жертва чує знайомий голос і вірить, що допомагає реальному другу.
Фахівці радять діяти просто. Якщо вам пише або надсилає голосове нібито знайома людина, треба передзвонити їй самостійно або поставити контрольне запитання, відповідь на яке знаєте тільки ви двоє. Один із запропонованих варіантів — “Як ми познайомилися?”. У такій схемі виграє не той, хто швидше допоміг, а той, хто встиг перевірити.
Це одна з небагатьох шахрайських схем, де емоція працює сильніше за текст. Саме тому просте правило “не поспішай” тут важливіше за будь-який антивірус.
Схема “проголосуй, будь ласка” і фейкові виплати досі працюють
Одна з найживучіших атак — прохання проголосувати за дитину, знайому або “наш проєкт”. Таке повідомлення часто надходить від імені реального контакту. Далі людину ведуть на фішингову сторінку, де просять номер телефону, код із SMS або інші дані. Після цього акаунт переходить до шахраїв, а вони починають нову хвилю розсилки вже від імені жертви.
Не менш небезпечна схема — псевдодержавна допомога. Людині обіцяють соціальну виплату, єПідтримку, гроші для переселенців або допомогу від ООН, ЄС чи фонду. Сторінка виглядає офіційно, але веде на фальшивий ресурс. Потім користувача переводять на підроблений онлайн-банкінг і виманюють коди доступу до рахунку. Це стара механіка, але в месенджерах вона досі працює краще, ніж у листах.
Фахівці нагадують: жодна законна виплата не потребує від вас PIN-коду, CVV-коду або передачі SMS-підтвердження в чаті. Якщо такі дані просять, це вже не “підозріло”. Це майже готове шахрайство.
QR-коди, SIM-картка і фальшиві “банки” — старі схеми в новій упаковці
Кіберполіція окремо попереджає про фішингові QR-коди в громадських місцях. Шахраї підмінюють коди на табличках, у транспорті, на паркоматах або в оголошеннях. Людина сканує код, бачить переконливий сайт і сама віддає банківські дані. Як підкреслюють у Кіберполіції, візуально відрізнити такий код від справжнього часто дуже складно. Тому головна порада коротка: “завжди перевіряти адресу сайту” перед введенням будь-яких даних.
Ще одна схема — дзвінки від “банку” або “мобільного оператора”. Людину лякають блокуванням рахунку, підозрілою транзакцією або технічною проблемою із SIM-карткою. Далі просять назвати SMS-код, CVV, пароль від банкінгу чи інші дані. На практиці це може закінчитися перевипуском SIM-картки, доступом до онлайн-банкінгу і втратою грошей. Поліція радить заборонити віддалену заміну SIM-картки або перейти на контракт.
Тут добре працює одна жорстка звичка: якщо вам телефонують “із банку”, не продовжуйте розмову. Завершіть дзвінок і самі наберіть офіційний номер, який вказаний на картці або на сайті банку. Це не ввічливість. Це цифрова гігієна.
Як вберегтися від шахраїв у месенджерах
Захист починається не в момент атаки, а раніше. Найбільш корисні кроки давно відомі, але люди все ще відкладають їх “на потім”.
Насамперед варто зробити такі речі:
- увімкнути двофакторну автентифікацію в усіх месенджерах і пошті;
- змінити старі паролі і не повторювати один пароль на різних сервісах;
- приховати номер телефону, останню активність і зайві дані профілю;
- регулярно перевіряти список пристроїв, з яких виконано вхід;
- не переходити за сумнівними посиланнями, навіть якщо їх надіслав знайомий;
- не передавати в чатах PIN, CVV, коди з SMS і фото документів;
- купувати товари лише на перевірених сайтах і за можливості обирати післяплату;
- для онлайн-оплат використовувати окрему або віртуальну картку;
- не переходити з платформи оголошень у сторонні месенджери для “зручності”.
Держспецзв’язку прямо пояснює користь двоетапної перевірки: навіть якщо шахрай дізнається пароль, без другого фактора він не зможе увійти в акаунт. Це не абсолютний захист, але це той бар’єр, який ламає багато атак на старті.
Якщо говорити просто, головне правило звучить так: не віддавайте месенджеру більше довіри, ніж банківському додатку. Бо сьогодні через нього можуть вкрасти не лише листування, а й гроші.
Що робити, якщо акаунт уже зламали або гроші вже переказані
У кризовий момент багато людей роблять найгірше — намагаються “розібратися самі” і втрачають час. Насправді алгоритм має бути коротким і жорстким.
Якщо ви вже стали жертвою, треба:
- негайно зв’язатися з банком і заблокувати картку або підозрілу операцію;
- завершити всі невідомі сеанси у месенджері та змінити пароль;
- увімкнути 2FA, якщо вона ще не була активована;
- попередити свої контакти, що від вашого імені можуть писати шахраї;
- звернутися до поліції або подати електронне звернення до кіберполіції;
- якщо є ризик із SIM-карткою, одразу зв’язатися з мобільним оператором.
Поліція також радить не видаляти листування, посилання, номери карток і скриншоти. Для жертви це емоційне сміття. Для слідства — докази. Раніше ми писали про скандал із “Госпітальєрами”.