Фішинг у 2026: як розпізнати підроблені листи та сайти

Фішинг у 2026: більше не "нігерійський принц"

Фішинг еволюціонував. Якщо раніше підроблені листи можна було впізнати за граматичними помилками та дивним форматуванням, то у 2026 зловмисники озброїлись AI. Сучасна фішингова атака:

• Написана бездоганною мовою без жодної помилки

• Персоналізована — містить ваше ім'я, посаду, назву компанії з відкритих джерел

• Приходить з домену що відрізняється на одну літеру від справжнього

• Може супроводжуватись deepfake-дзвінком нібито від директора

За даними IBM X-Force, фішинг залишається вектором №1 для 41% усіх кіберінцидентів у 2025. Середній час між відкриттям листа і кліком по шкідливому посиланню — 28 секунд.

Еволюція фішингових атак

Spear phishing (цільовий фішинг)

Атака спрямована на конкретну людину або компанію. Зловмисник вивчає LinkedIn, Facebook, публічні документи, щоб лист виглядав максимально правдоподібно. Наприклад: "Іване, як ми обговорювали на зустрічі в четвер — прошу підтвердити переказ на рахунок..."

Whaling (атака на керівників)

"Кит" — атака на топ-менеджмент. CEO Fraud: підроблений лист від "директора" до бухгалтера з проханням терміново перевести кошти. Збитки від однієї успішної атаки — від $50 000 до мільйонів.

Vishing та Smishing

Vishing — голосовий фішинг. У 2026 AI-клонування голосу дозволяє зателефонувати голосом "директора" і попросити підтвердити платіж. Smishing — фішинг через SMS: "Ваша посилка затримана, підтвердіть адресу" з посиланням на фейковий сайт Нової Пошти.

QR-фішинг (Quishing)

QR-коди в листах ведуть на фішингові сайти. Більшість антивірусів не перевіряють вміст QR — людина сканує і потрапляє на підроблену сторінку логіну.

Як перевірити підозрілий лист: покрокова інструкція

1. Перевірте адресу відправника

Не "ім'я відправника", а саму email-адресу. Типові прийоми:

• [email protected] замість [email protected]

• [email protected] — домен насправді security-alert.xyz

• Омогліфи: paypa1.com (одиниця замість l), аpple.com (кирилична "а")

2. Перевірте посилання перед кліком

Наведіть курсор (не клікайте) на посилання і подивіться на реальний URL у нижньому лівому куті браузера. Або скопіюйте посилання та перевірте через:

• VirusTotal — сканує URL через 70+ антивірусних баз

• Google Safe Browsing — transparencyreport.google.com/safe-browsing/search

• URLVoid — перевірка репутації домену

3. Аналіз заголовків листа

У будь-якому email-клієнті можна переглянути повні заголовки (Gmail: три крапки → "Показати оригінал"). Шукайте:

• Return-Path — фактична адреса повернення, може відрізнятись від From

• Received — ланцюг серверів через які пройшов лист

• X-Originating-IP — IP-адреса відправника (можна перевірити геолокацію)

4. Ознаки підробленого сайту

• URL не збігається з офіційним (навіть якщо HTTPS — сертифікат є у всіх)

• Немає контактів, адреси, юридичної інформації

• Форма логіну запитує більше даних ніж зазвичай (наприклад, ще й CVV картки)

• Помилки у тексті, дивне форматування, чужі логотипи

• Домен зареєстрований недавно (перевірте через whois.domaintools.com)

SPF, DKIM, DMARC: захист вашого домену від підробки

Якщо зловмисник надсилає листи нібито від @вашакомпанія.ua — це domain spoofing. Три DNS-записи захищають від цього:

SPF (Sender Policy Framework)

DNS TXT-запис який вказує які сервери мають право надсилати пошту від вашого домену. Приклад:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

~all — "м'яке" відхилення (позначити як підозрілий). -all — жорстке відхилення.

DKIM (DomainKeys Identified Mail)

Цифровий підпис листа. Сервер-відправник підписує лист приватним ключем, сервер-отримувач перевіряє підпис через публічний ключ у DNS. Якщо лист змінено в дорозі — підпис не співпадає.

DMARC (Domain-based Message Authentication)

Вказує що робити з листами що не пройшли SPF або DKIM: none (тільки звіт), quarantine (у спам), reject (відхилити). Також надсилає звіти про спроби підробки вашого домену.

v=DMARC1; p=reject; rua=mailto:dmarc@вашакомпанія.ua

Перевірте ваш домен прямо зараз: MXToolbox DMARC Checker, dmarcian.com

Що робити якщо клікнули по підозрілому посиланню

1. Не панікуйте, дійте швидко

2. Від'єднайте пристрій від інтернету (Wi-Fi, кабель)

3. Повідомте IT-відповідального або керівника

4. Якщо ввели пароль — змініть його на всіх сервісах де він використовується

5. Якщо ввели дані картки — заблокуйте карту через банківський додаток

6. Запустіть повне сканування антивірусом

7. Задокументуйте: час, URL, що саме зробили

Навчання співробітників: практичні підходи

• Симуляції фішингу щоквартально — не для покарання, а для вимірювання ризику

• Правило двох каналів — будь-який запит на переказ коштів від "директора" по email підтверджується дзвінком на відомий номер

• Культура "краще перепитати" — співробітник не несе відповідальності за те що повідомив про підозрілий лист, але несе — за те що клікнув мовчки

• Чіткий канал для репортингу — окрема пошта або Slack-канал для повідомлень про підозрілі листи

Висновок

Фішинг стає точнішим і складнішим щороку. Технічні рішення (SPF/DKIM/DMARC, антифішингові фільтри) — необхідна база. Але головний захист — навчені співробітники які знають що шукати і не бояться повідомляти про підозріле.

Хочете налаштувати антифішинговий захист для вашого домену або провести навчання команди? Напишіть нам.