ШІ аналізує соцмережі жертв, аби повідомлення були правдоподібні: штучний інтелект дозволив шахраям масштабувати відомі схеми

За даними НБУ, у 2025 році кількість незаконних дій та шахрайських операцій із платіжними картками, за якими були завдані збитки, зменшилася на 5% – до 256 тис. операцій. Однак сума збитків, навпаки, зросла майже на чверть — до 1,4 млрд грн. При цьому 83% усіх шахрайських операцій відбувалися через інтернет, а 90% загальної суми збитків були спричинені соціальною інженерією. Зловмисники все активніше використовують ШІ-інструменти, тож потенційним жертвам стає все складніше зрозуміти, що вони спілкуються не з працівником банку чи другом, який просить скинути грошей на картку, а з шахраями.

"За перші п’ять місяців 2026 року шахрайство у фінансовій сфері стало значно технологічнішим, швидшим і більш персоналізованим. Ключова зміна полягає в тому, що штучний інтелект більш активно використовується як інструмент масштабування вже відомих схем: соціальної інженерії, фішингу, фейкових дзвінків, підроблених повідомлень, шахрайських онлайн-пропозицій, псевдозборів і маніпуляцій у месенджерах", – розповідає  заступниця голови правління Глобус Банку Анна Довгальска.

За її словами, ШІ допомагає генерувати тексти без типових помилок, якими раніше можна було легко розпізнати фішингові повідомлення. Тепер підроблений лист, SMS або повідомлення в месенджері можуть бути граматично правильними, стилістично схожими на офіційну комунікацію банку, компанії, державної установи чи служби доставки.

Близько 80% фішингових листів створюють за допомогою ШІ

Одним з головних напрямків використання штучного інтелекту став фішинг. Вже понад 80% проаналізованих фішингових листів мають ознаки використання штучного інтелекту. Європейські дослідження оцінюють показник використання ШІ у фішингу у 82,6%. Фактично автоматизація дала змогу шахраям різко здешевити підготовку атак, у деяких випадках до 95%, а також суттєво прискорити їх. 

"Крім того, ШІ дає можливість персоналізувати атаки. Зловмисники можуть використовувати відкриті дані із соціальних мереж, професійних профілів, зокрема LinkedIn, месенджерів, публічних фото, коментарів чи згадок, щоб зробити повідомлення більш правдоподібним. Наприклад, у листі можуть згадати місце роботи, ім’я керівника, недавню поїздку, подію або сервіс, яким людина справді користується. Саме тому жертві дедалі частіше здається, що лист або повідомлення реальні, – каже банкірка.

Вона зазначає, що у таких персоналізованих атаках ефективність може бути значно вищою, ніж у звичайному масовому фішингу. Якщо середній рівень кліків за фішинговими посиланнями може становити близько 2,7%, то для більш точних AI-атак фіксуються показники клікабельності до 54%. За великого масштабу навіть невеликий відсоток переходів перетворюється на колосальну кількість ризикових дій: за окремими оцінками, це може сягати близько 92 млн кліків на день у глобальному вимірі.

"Найнебезпечніше в сучасному фішингу — це поєднання посилання з контекстом. Людина бачить знайоме ім’я, правильний тон, логотип, згадку про реальну подію і цілком природно може втратити пильність. ШІ дає шахраям змогу створити ілюзію правди там, де раніше були очевидні помилки", – пояснила Анна Довгальська.

ШІ допомагає "клонувати" голос реальної людини

Окрема загроза — це deepfake-технології (підроблений голос, відео або зображення). ШІ може використовуватися для створення підроблених голосів і відео реальних людей. Шахраї здатні клонувати голос людини за короткими аудіофрагментами, а іноді для базової імітації може бути достатньо кількох секунд запису. Такі записи можна отримати з відкритих відео, голосових повідомлень, соцмереж або чатів.

У найпростіших випадках людині телефонують від імені "родича" або "друга" і просять терміново переказати гроші. У складніших — імітують керівника компанії, який нібито просить бухгалтера або фінансового менеджера терміново провести платіж. Такі схеми особливо небезпечні, коли поєднують голосову імітацію, психологічний тиск і вимогу негайної дії: "переказати кошти", "підтвердити операцію", "не ставити зайвих питань", "зробити це просто зараз".

"Діпфейки також можуть використовуватися для зламу акаунтів у месенджерах, створення фальшивих відеозвернень, маніпуляцій у псевдозборах або навіть для спроб проходження ідентифікації на окремих онлайн-платформах, зокрема криптобіржах. Водночас важливо розуміти: найскладніші deepfake-схеми поки що використовуються точково, а не масово, адже вони дорожчі, потребують підготовки, достатнього обсягу даних і продуманого сценарію. Натомість фішинг, повідомлення в месенджерах, фейкові сайти, шахрайські дзвінки та маніпуляції з фінансовим номером залишаються значно масовішими", – розповідає банкірка.

Як захиститися від ШІ-шахрайства

Аби не потрапити на гачок шахраями Анна Довгальська радить дотримуватись "алгоритму безпеки". Головне правило — ніколи не поспішати. Будь-яке повідомлення або дзвінок, що вимагає негайної дії з грошима, карткою, кодами, паролями або доступом до застосунку, треба сприймати як потенційно ризикове.

"У нових технологічних умовах важливо зрозуміти: атакують насамперед людину. Шахрай прагне не стільки обійти банківський захист, скільки змусити клієнта самому відкрити "двері": натиснути посилання, назвати код, підтвердити платіж або переказати гроші", — наголосила експертка.

В жодному разі нікому не можна повідомляти CVV-код, термін дії картки, PIN-код, логін і пароль до інтернет-банкінгу, одноразові паролі з SMS або push-повідомлень, коди мобільного оператора, дані для входу в застосунки. 

"Якщо ви отримали дзвінок буцімто з банку, то краще завершити розмову і самостійно передзвонити за номером, вказаним на офіційному сайті або на картці. Якщо знайома людина написала повідомлення з проханням терміново переказати гроші, то зв’яжіться з нею іншим каналом комунікації або ж перетелефонуйте їй", — порадила вона.

Для захисту фінансового номера телефону експертка радить ідентифікувати SIM-картку у мобільного оператора, не використовувати неперсоніфікований номер як фінансовий, а також підключити додаткові сервіси захисту SIM-картки, щоб у разі втрати телефона або підозри на несанкціонований доступ була змога негайно заблокувати картку та інтернет-банкінг.

Окремо важливо використовувати двофакторну автентифікацію всюди, де це можливо: у банківських застосунках, пошті, месенджерах, соціальних мережах, маркетплейсах. За окремими оцінками, двофакторна автентифікація може забезпечувати близько 99% захисту від значної частини несанкціонованих доступів до акаунтів. Це не робить людину абсолютно невразливою, але суттєво ускладнює доступ шахраїв до її фінансових і персональних даних.

"Злочинці хочуть, щоб людина діяла швидко. Клієнт має зробити навпаки — зупинитися, перевірити, поставити під сумнів і лише потім ухвалювати рішення. У часи ШІ фінансова безпека починається саме з критичного мислення", — підсумувала Анна Довгальська.