Шахрайство стало побутом: 6 сценаріїв і “фінансова гігієна” – як не потрапити в чергову аферу вже сьогодні

Ми звикли уявляти фінансові втрати в інтернеті як “кіберзлочин”: десь сидить хакер, десь є злам, десь з’явилася технічна діра. Це зручна картинка, адже вона розкладає відповідальність по різних шухлядах: банк хай тримає оборону на серверах, держава ловить винних, а користувач ніби просто “постраждав”. 

Але вітчизняна статистика останніх років свідчить про те, що дедалі частіше гроші зникають не тому, що система “зламалася”, а тому, що людина сама запускає переказ добровільно й щиро, бо її переконали, що так треба (врятувати кошти, “перевірити картку”, “підтвердити виплату”, “оновити дані”, “зняти блокування” тощо).

У звіті НБУ за 2024 рік це добре помітно. За кількістю 83% шахрайських операцій припали на інтернет, а за сумою збитків онлайн ще більш домінує – 93%. Загальні втрати за рік склали 1,1 млрд грн, середній “чек” однієї незаконної операції – 4 247 грн, а частота – близько 31 випадку на 1 млн видаткових операцій картками. І ключове: 84% суми збитків у 2024 році НБУ відносить до соціальної інженерії – ситуацій, коли люди самі розкривають дані або самі підтверджують платіж під тиском обману. 

Для контрасту: у 2023 році частка соціальної інженерії у сумі збитків уже була величезною –  80% (і НБУ описував типові сценарії, де вирішальним стає не “злам банку”, а маніпуляція клієнтом). Тобто тренд не виник “раптом”: він послідовно росте й стає нормою побуту. А підсумки минулого року повторюють те саме: домінують “авторизовані” платежі, коли транзакцію підтверджує законний власник просто тому, що його переконали це зробити.

Очевидно, що шахрайство стало побутовою технологією, вшитою у звички: швидко відповісти на “службу безпеки”, перейти за лінком “про допомогу”, продиктувати код “бо терміново”, натиснути “підтвердити”, щоб “не втратити”. І якщо хочемо зрозуміти, як ми до цього дійшли (і як з цього виходити), треба говорити не лише про кіберзахист банків, а про реальну психологію щоденних рішень – ту саму специфічну фактуру, на якій ці схеми працюють.

Шахрайство як побут: 6 сценаріїв, які ви бачили або ще побачите

Сьогоднішній “дзвінок від банку” – це вже не той примітивний “картку заблоковано”. Сценарій став схожим на справжній сервіс: рівний голос, “швидка діагностика”, “ми бачимо підозрілу операцію”, або “зараз захистимо кошти”. Іноді підтягують підміну номера, інколи такі деталі, від яких у людини зникає останній сумнів “а раптом це фейк”.

Але головна еволюція навіть не в акторській грі, а в логіці: тебе можуть не просити повні реквізити напряму, натомість ведуть до того, щоб ти сам підтвердив дію. Назвав код із SMS, погодився на “перевірочний” платіж у застосунку, “для безпеки” перекинув гроші на “резервний” рахунок. Саме це і є типовою соціальною інженерією, коли дані або підтвердження операцій люди віддають самі, під тиском обману. 

Далі йдуть маркетплейси, де фішинг давно став “українською класикою”. Хтось пише як покупець або продавець і кидає посилання “для доставки” чи “для отримання коштів”. Сторінка виглядає знайомо: майже той самий дизайн, логотипи, формулювання, адреса “майже як треба” – і рука автоматично вводить дані картки або проходить “підтвердження”, після чого гроші зникають. 

Відомі такі сценарії з підробленими лінками “OLX Доставка” та навіть дає інструмент перевірки посилань. Фіксуються хвилі схем, коли “покупці” спеціально переводять продавця у месенджер і вже там надсилають фальшиві лінки на “оплату”. 

На цьому тлі дуже чіпкою приманкою стала “держдопомога” й соціальні виплати. Підроблене “офіційне повідомлення” працює не на довірливості, а на звичці: людина вже бачила справжні програми, чула про виплати, уже втомлена й поспішає. Зокрема, відомі кейси з фішинговими сайтами під соціальну допомогу “єДопомога”. Кіберполіція попереджає про шахрайство “під виглядом соціальних виплат”, де користувача ведуть на підконтрольні ресурси й виманюють дані. 

Ще одна болюча зона – псевдоволонтерські збори. Після 2022 року донат став майже рефлексом: побачив потребу – переказав. Шахраї паразитують саме на цій нормалізації терміновості: копіюють реальні збори, беруть чужі фото й історії “на авто”, “на дрони”, “на лікування”, підкручують емоцію і тиснуть “часу нема”. Кіберполіція закликає до перевірки збору перш ніж донатити, бо під виглядом допомоги працюють шахраї, і таких історій багато. 

Паралельно живуть “повідомлення від знайомого” на кшталт коротких “позич терміново”, “не можу говорити”, “скинь зараз”. Тут навіть не треба суперлегенд: соціальний зв’язок спрацьовує швидше за логіку, особливо коли людина в дорозі, на роботі чи під тривогою. І кожен окремий переказ виглядає дрібним, але в сумі це перетворюється на потік транзакцій, які майже ніколи не повертаються.

І нарешті – псевдоінвестиції та “швидкий дохід”, де людині показують “прибуток” на красивій панелі, створюють відчуття контролю, а потім витягують все більше: “додайте депозит”, “оплатіть комісію”, “пройдіть верифікацію”, “щоб вивести, треба ще…”. Регулярно публікуються повідомлення про викриття схем із фейковими криптобіржами та “інвестиційними” проєктами, де кошти виводили через підконтрольні канали.

І от що їх усіх об’єднує: це шахрайство, максимально наближене до звичного життя. Воно маскується під дзвінок “сервісу”, покупку, доставку, виплати, донат, коротке повідомлення в чаті або бажання підзаробити. Саме тому воно масштабується – і саме тому НБУ в статистиці бачить домінування соціальної інженерії, а не “технічних зламів”.

Українці вразливіші через війну, втому, швидкість та цифрову довіру

Ефективність соціальної інженерії в Україні – це не про “необережність” у вакуумі, а про середовище, в якому люди живуть і приймають рішення: коли навколо війна й багаторічний стрес, мозок реально економить ресурси й шукає не ідеальний варіант, а найшвидший спосіб зняти загрозу.

Це добре видно в опитуваннях, де втома й напруженість тримаються серед найчастіших станів, а самооцінка психологічного стану з плином часу лише погіршується; додамо сюди фінансову крихкість – для багатьох сімей “дрібна” втрата на картці відчувається як удар, тому будь-яке повідомлення в стилі “підозріла операція, треба терміново врятувати кошти” заходить глибше й вимикає критичність, бо ставки суб’єктивно зростають.

Окремо працює культура швидких рішень, яка у вітчизняній реальності часто була корисною адаптацією, але в фінансах стає вразливістю, бо шахраї живляться терміновістю й продають паузу як “небезпечну”, а свою інструкцію як “правильний крок”; і парадоксально, але нам дуже допомогла цифровізація – настільки, що тепер нею ж і паразитують: коли країна звикла до держави в смартфоні й “офіційної” мови інтерфейсів, коли “Дією” користуються понад 23 мільйони людей, то будь-яка сторінка, що виглядає знайомо й говорить “правильними” словами, здається легітимною, і шахраям лишається просто віддзеркалити стиль.

Далі приходить втома від постійної обережності – у певний момент люди починають економити увагу, і тоді успішний обман виглядає не як “яке жахіття”, а як ще одна рутинна дія, зроблена на автоматі; і є ще один український множник – волонтерство: донат у війні став моральним рефлексом, сумнів інколи відчувається як цинізм, перевірка – як затягування, і саме тому псевдоволонтерські схеми такі токсичні, бо вони б’ють не лише по гаманцю, а по довірі й готовності допомагати далі.

Де закінчується банк: чому переказ “не відкотять” і що банки реально роблять

У соціальній інженерії найболючіший конфлікт – розрив між очікуванням людини “банк має врятувати” і юридичною реальністю “операцію підтвердив сам клієнт”: для платіжної інфраструктури критична різниця між справді несанкціонованою операцією, коли клієнт не давав згоди, і операцією, яку клієнт сам “узаконив” дією: ввів одноразовий код, підтвердив платіж у застосунку, погодився з переказом у два кліки, бо його переконали, що це “захист” або “перевірка”. 

Верховний Суд наголошував, що сам по собі факт коректного введення даних для ініціювання операції ще не є автоматичним доказом вини клієнта, і банк має належно доводити обставини. Але в побутовій масовій соціальній інженерії вузол часто зав’язаний інакше: люди реально самі натискають “підтвердити”, бо впевнені, що роблять правильно, і тоді шанс повернення грошей різко падає: кошти можуть миттєво піти далі по ланцюжку рахунків і міжбанківських переказів, а “скасувати одним кліком” уже не виходить. 

Це не означає, що банки тут “ні до чого” – вони вкладаються в антифрод: ловлять нетипову поведінку, ставлять тимчасові стопи на підозрілі операції, додають перевірки й ліміти, а НБУ публікує правила, які реально знижують ризик – не розголошувати реквізити й одноразові коди, не вводити дані на підозрілих сторінках, перевіряти контакт банку лише через офіційні номери. 

Проблема в тому, що антифрод завжди впирається в баланс: якщо “закрутити гайки” надто сильно, платежі стануть повільними й нервовими, користувачі почнуть злитися, а сервіс програватиме конкуренцію – і соціальна інженерія якраз грає на тому, що фінансова система мусить бути швидкою та зручною, інакше вона сама себе підріже.

Тому банки дедалі більше намагаються впливати не лише на інфраструктуру, а й на поведінку в точці рішення – попередженнями, банерами, короткими “стоп-фразами”, навчальними кампаніями – і це радше не “імітація турботи”, а спроба перенести захист туди, де все вирішується за 10 секунд, між панікою і кнопкою “підтвердити”. 

Нова фінансова гігієна: як  можна запобігти черговій афері вже зараз

Погана новина – “універсального щита” не існує. Хороша у тому, що соціальна інженерія ламається не “супертехнікою”, а кількома дуже приземленими звичками, які збивають шахраям темп. Перша – пауза перед будь-якою фінансовою дією, яку вам нав’язують як термінову: навіть дві хвилини часто знімають емоційний пік, на якому тримається обман. 

Друга – перевіряти не “чи схоже на офіційне”, а “чи логічна дія”: якщо “захист коштів” пропонують через переказ або “перевірочний платіж” – це суперечність незалежно від дизайну, тону й “службових” слів. Третя – альтернативний контакт: якщо дзвонять “з банку” – покласти слухавку й самостійно набрати номер з офіційного джерела; якщо пише “знайомий” з проханням “терміново позич” – перевірити іншим каналом, бо шахрайство тримається на ізоляції в одному чаті. 

Четверта звичка – розділяти гроші: окрема картка для щоденних витрат, дрібних покупок і донатів – окремо “скарбничка” з основними сумами. Це не параноя, а контроль наслідків: навіть якщо помилився, помилка не перетворюється на катастрофу. П’ята – ліміти як страховка від людського фактора: помилка можлива в будь-кого, а ліміт робить її обмеженою. 

Шоста – право бути “незручним”: перепитати, відмовити, уточнити, сказати “я передзвоню сам” – це не грубість. Соціальна інженерія погано переносить прямі перевірки, бо її сила – у швидкості та тиску. Сьома – нормалізувати розмову: коли люди діляться кейсами в сім’ї чи колективі, шахрайству стає важче, бо з’являється колективна пам’ять, а не приватний сором. 

І окрема практична річ для маркетплейсів – взагалі не ходити за “доставочними” й “оплатними” лінками з приватних повідомлень, адже такі посилання часто ведуть на фішингові сторінки, і дає інструменти перевірки лінків. 

Додамо до цього нову реальність, яку прискорює ШІ: обман дедалі частіше виглядає як нормальне життя, а не як грубий “спам”. Технології синтетичного контенту – зокрема, імітація голосу й “правдоподібні” підробки – обговорюються вже як практичний ризик, і фокус зміщується з “шукати помилки в тексті” на процедурні запобіжники у вигляді паузи, сенсової перевірки й альтернативного контакту. 

І тут ми повертаємося до головного: соціальна інженерія – не “збій системи”, а її побічний ефект у швидкій цифровій країні, що живе в хронічному стресі. Банк може посилювати антифрод і попередження, держава – ловити організаторів схем, платформи – блокувати фішингові сторінки. 

Але жодна інфраструктура не замінить рішення людини в момент, коли вона вже тримає палець над кнопкою “підтвердити”. Тому фінансова безпека сьогодні – це не “знати всі схеми”, а мати одну звичку, яка ламає майже всі схеми: не діяти в чужій терміновості.

Тетяна Вікторова