Генеративний ШІ допомагає шахраям швидше створювати грамотні листи, перекладати їх різними мовами та імітувати голос знайомої людини. Через це старе правило «у шахрайському повідомленні завжди багато помилок» більше не працює. Надійніший захист — перевіряти не стиль, а ситуацію: хто ініціював контакт, чого від вас вимагають і чи можете ви підтвердити історію незалежним каналом.
Що таке фішинг
CISA визначає фішинг як спробу змусити людину відкрити шкідливе посилання або вкладення, надати особисту інформацію чи заразити пристрій. Повідомлення може надійти електронною поштою, у месенджері, SMS, соціальній мережі або під час дзвінка.
ШІ не змінює мету атаки. Він робить підготовку дешевшою та переконливішою: текст може враховувати професію, публічні дописи, ім’я керівника або стиль листування.
Сигнали небезпеки, які залишаються актуальними
- вас змушують діяти негайно й не дають часу перевірити;
- просять тримати ситуацію в таємниці;
- вимагають пароль, код підтвердження, seed-фразу або реквізити картки;
- просять оплатити подарунковими картками, криптовалютою чи переказом, який важко повернути;
- адреса відправника або домен трохи відрізняється від справжнього;
- посилання веде не туди, куди вказує текст;
- вкладення несподіване, навіть якщо лист виглядає «робочим»;
- керівник раптом просить змінити банківські реквізити або обійти звичайний процес;
- дзвінок від «родича» містить емоційний тиск і термінову вимогу грошей.
Один сигнал ще не доводить шахрайство. Але чим більше їх одночасно, тим важливіше зупинитися.
Чому голосу вже недостатньо
FTC попереджає про шахрайські дзвінки з клонованим голосом родича або керівника. Для створення переконливої імітації зловмисники можуть використовувати публічні аудіофрагменти. Тому фраза «я точно впізнав голос» більше не є надійною перевіркою особи.
Якщо хтось повідомляє про аварію, затримання чи іншу надзвичайну ситуацію і просить гроші, завершіть дзвінок. Самі зателефонуйте людині на номер, який уже був у ваших контактах. Якщо вона не відповідає, зв’яжіться з іншим родичем або колегою. FTC радить саме незалежну перевірку через відомий канал.
Для сім’ї корисно заздалегідь домовитися про кодове слово для термінових ситуацій. Воно не повинно бути очевидним із соціальних мереж.
Як перевірити підозрілий лист
- Не натискайте посилання й не відкривайте вкладення.
- Подивіться повну адресу відправника, а не лише відображене ім’я.
- Наведіть курсор на посилання й перевірте реальний домен.
- Відкрийте сайт самостійно через закладку або введіть адресу вручну.
- Перевірте повідомлення у власному кабінеті сервісу.
- Зателефонуйте відправнику за відомим номером, якщо запит стосується грошей або доступу.
- Повідомте IT-відділ або службу безпеки, не пересилаючи потенційно шкідливе вкладення звичайним способом.
Не використовуйте кнопку «відписатися» у явно шахрайському листі: вона може підтвердити активність адреси або вести на небезпечну сторінку. Позначте повідомлення як фішинг засобами поштового сервісу.
Якщо повідомлення нібито від банку
Не телефонуйте за номером у листі чи SMS. Візьміть номер із банківської картки або офіційного застосунку. Не повідомляйте код із SMS чи push-підтвердження: справжня підтримка не повинна просити код, який підтверджує вхід або переказ.
Якщо ви вже ввели дані, дійте швидко: змініть пароль із чистого пристрою, завершіть активні сеанси, зв’яжіться з банком і перевірте операції. Не чекайте на появу списання.
Захист робочої команди
Шахрайство з оплатою часто використовує авторитет керівника. Встановіть процес, який не можна скасувати одним терміновим повідомленням:
- зміна реквізитів постачальника підтверджується дзвінком на раніше відомий номер;
- платіж понад визначену суму погоджують дві людини;
- коди й паролі ніколи не передають у чаті;
- термінове прохання керівника можна перевірити без покарання за затримку;
- команда знає, куди повідомляти про підозру.
Технічні засоби важливі, але процес захищає навіть тоді, коли повідомлення граматично ідеальне та персоналізоване.
Чи можна попросити інший ШІ визначити шахрайство
AI-сервіс може допомогти побачити мовні сигнали, але не повинен отримувати ваші паролі, повні банківські дані або конфіденційне листування. Він також може помилитися й оголосити справжній лист безпечним. Використовуйте такий аналіз лише як додаткову підказку, а не як фінальну перевірку.
Надійніше перевірити домен, відкрити офіційний кабінет і зв’язатися з організацією незалежним каналом.
Якщо ви вже стали жертвою
- Негайно зателефонуйте банку або платіжному сервісу.
- Змініть скомпрометовані паролі й усі місця, де вони повторювалися.
- Увімкніть багатофакторну автентифікацію або passkey.
- Завершіть невідомі сеанси й видаліть чужі способи відновлення.
- Перевірте пристрій, якщо запускали файл або встановлювали програму.
- Попередьте контакти, якщо зловмисник отримав доступ до вашої пошти чи месенджера.
- Збережіть докази й зверніться до банку, платформи та відповідних правоохоронних органів.
Висновок
AI-фішинг небезпечний не через безпомилкову технологію, а через поєднання персоналізації, швидкості й людських емоцій. Не намагайтеся визначити правду лише за голосом або грамотністю тексту. Зупиніться, не використовуйте надані контакти, перевірте історію незалежним каналом і дотримуйтеся процесу для платежів та доступу. Ці дії працюють незалежно від того, створив повідомлення ШІ чи людина.
Читайте також: Що таке passkey і чи може він замінити пароль.

Долучайтеся до розмови
Пишіть по суті й поважайте інших читачів. Перший коментар може з’явитися після перевірки редакцією.