ProstoPRO

Фішинг від банку: як розпізнати підроблений дзвінок або SMS і не передати дані шахраям

9 хв читання Михайло Сомбод
Фішинг від банку: як розпізнати підроблений дзвінок або SMS і не передати дані шахраям
Михайло Сомбод

Михайло Сомбод

Автор матеріалу

Телефонні шахраї щороку вдосконалюють свої схеми: сьогодні вони можуть дзвонити з номера, який виглядає один в один як офіційний номер вашого банку. Ця стаття пояснює, чому підроблений номер – ще не гарантія того, що з вами говорить справжній банк, і як упродовж кількох секунд зрозуміти, що вас хочуть обдурити. Тут зібрані конкретні ознаки шахрайських дзвінків і SMS, перелік даних, які справжній банк ніколи не запитує, та чіткий план дій – і для випадку підозрілого дзвінка, і якщо ви вже встигли щось повідомити. Матеріал корисний кожному, хто має банківський рахунок або картку в Україні.

Зміст

Найшвидше: якщо дзвінок або SMS викликає хоч найменший сумнів – покладіть слухавку, знайдіть офіційний номер банку на звороті картки або в застосунку і передзвоніть самостійно.

Швидка підказка: що робити залежно від ситуації

СитуаціяЩо зробитиЧас
Просять назвати CVV або PINПокласти слухавкуодразу
SMS із посиланням від “банку”Не переходити, перевірити в офіційному застосунку1–2 хв
Дзвінок про “заблокований рахунок”Завершити дзвінок, самостійно зателефонувати на офіційний номер3 хв
Просять встановити AnyDesk або TeamViewerВідмовити і завершити розмовуодразу
Просять перевести гроші на “безпечний рахунок”Завершити дзвінок – жоден банк так не робитьодразу

Що таке вішинг і смішинг

Банківський фішинг – загальна назва для шахрайських схем, де зловмисники видають себе за банк, щоб виманити конфіденційні дані або гроші. Залежно від каналу розрізняють кілька різновидів:

  • Вішинг (від voice + phishing) – шахрайство через телефонні дзвінки. Зловмисник телефонує і, представившись співробітником банку чи служби безпеки, намагається дізнатися дані картки або змусити перевести кошти.
  • Смішинг (SMS + phishing) – шахрайство через текстові повідомлення. SMS або повідомлення в месенджері містить фальшиве посилання або прохання зателефонувати за підробленим номером.
  • Спуфінг (spoofing) – технічна підміна відображуваного номера телефону. Використовується як допоміжний інструмент для вішингу, щоб ваш екран показував офіційний номер банку.

За даними Кіберполіції України, вішинг і смішинг – одні з найпоширеніших схем фінансового шахрайства. За глобальними оцінками, кількість SMS-шахрайств зросла на 40% лише за 2025 рік.

Як шахраї підробляють номер банку

Технологія підміни номера (caller ID spoofing) дозволяє шахраям відображати на вашому екрані будь-який номер – навіть офіційний сервісний номер вашого банку. Це не злам телефонної мережі: зловмисники використовують VoIP-сервіси та спеціалізовані програми, які дозволяють “надіслати” будь-який caller ID разом із дзвінком.

Саме тому не варто покладатися лише на відображуваний номер. Навіть якщо екран показує “ПриватБанк” або “Monobank” – це ще не означає, що з вами говорить справжній банківський працівник.

Окремий прийом – шахраї змінюють лише одну або дві цифри в офіційному номері, розраховуючи, що ви не помітите різниці при швидкому погляді на екран.

Типові схеми шахрайських дзвінків

  1. “Служба безпеки банку”. Шахрай представляється співробітником безпеки, повідомляє про “підозрілу операцію” і просить підтвердити дані картки або перевести кошти на “резервний рахунок”.

  2. “НБУ” або “кіберполіція”. Дзвінок нібито від Національного банку чи правоохоронців, які кажуть, що ваш рахунок “під загрозою”. НБУ і поліція не телефонують громадянам з такими запитами.

  3. “Ваш рахунок заблоковано”. Повідомляють про блокування, яке можна “вирішити”, лише назвавши код з SMS або дані картки.

  4. “Ми повертаємо вам кошти”. Обіцяють відшкодування або компенсацію, але для переказу потрібно “підтвердити” реквізити.

  5. “Технічна підтримка банку”. Просять встановити програму віддаленого доступу (AnyDesk, TeamViewer), щоб “виправити помилку” в застосунку.

Як розпізнати підроблений дзвінок від банку

Є кілька надійних ознак, які майже безвідмовно видають шахрая:

  1. Вас просять назвати PIN-код, CVV або повний номер картки. Справжній банк ніколи цього не просить – ці дані є виключно у вас.

  2. Тиск і штучна терміновість. Фрази “прямо зараз”, “у вас є 10 хвилин” або “рахунок заблокують через годину” – класичний прийом соціальної інженерії, щоб ви не встигли зупинитися і подумати.

  3. Вас просять не класти слухавку. Шахраї часто кажуть: “Залишайтеся на лінії, поки ми все перевіримо”. Справжній банк ніколи не утримує вас на дроті.

  4. Просять перевести гроші на “безпечний рахунок”. Жоден банк у світі не просить клієнта переводити власні кошти на інший рахунок “для захисту”.

  5. Просять встановити стороннє ПЗ. AnyDesk, TeamViewer або будь-який “банківський додаток” за посиланням із дзвінка – це спроба отримати доступ до вашого телефону чи комп’ютера.

  6. Оператор уникає конкретних відповідей. Запитайте ім’я співробітника і його підрозділ. Шахрай або ухилятиметься, або відповідатиме розмито.

  7. Дзвінок надійшов через месенджер. Банки України здебільшого не телефонують клієнтам через Viber, WhatsApp або Telegram з питань безпеки рахунку.

  8. Вас просять назвати код з SMS. Цей OTP-код – одноразовий пароль для підтвердження операцій. Його не можна повідомляти нікому.

  9. Просять “підтвердити” ваші дані. Справжній банк вже має всі ваші персональні дані і не просить їх підтверджувати голосом.

Фішингові SMS від банку

Смішинг – окремий і дуже поширений метод. Повідомлення від “банку” приходить з номера або імені відправника, що виглядає офіційно (наприклад, “PrivatBank”), і містить посилання або прохання зателефонувати.

Ознаки підробленого SMS

  • Посилання, яке не збігається з офіційним доменом банку. Наприклад, privatbank-secure.com або monobank-alert.ua замість privatbank.ua.
  • Загальне звернення (“шановний клієнте”) без вашого імені.
  • Повідомлення про “підозрілу операцію”, “виграш” або “блокування” з вимогою терміново перейти за посиланням.
  • Орфографічні помилки або незвичне формулювання.
  • Прохання зателефонувати на номер, якого немає на офіційному сайті банку.
  • Надіслано в нічний час або у вихідні без жодної попередньої активності з вашого боку.

Перед будь-яким переходом за посиланням із SMS – перевірте інформацію безпосередньо в офіційному застосунку банку або на його сайті, який відкриваєте вручну, а не за посиланням.

Що ніколи не запитує справжній банк

Ось повний перелік даних, які справжній банк не запитуватиме ні по телефону, ні в SMS, ні електронною поштою:

  • PIN-код картки
  • CVV/CVV2 (тризначний код на звороті)
  • Повний номер картки (банк і так його знає)
  • Одноразові SMS-паролі (OTP-коди)
  • Логін і пароль від інтернет-банкінгу або мобільного застосунку
  • Дозвіл на встановлення стороннього програмного забезпечення
  • Прохання перевести кошти на інший рахунок “для безпеки”

Якщо у вас просять щось із цього переліку – це шахрай, незалежно від того, наскільки впевнено й офіційно звучить людина на іншому кінці дроту.

Нові методи шахраїв

У 2025–2026 роках з’явилися більш витончені схеми:

AI-голоси та дипфейки. Шахраї використовують штучний інтелект для синтезу переконливих голосів, що звучать “по-банківськи” або навіть імітують конкретного співробітника. Якщо голос в телефоні звучить трохи механічно або надто рівно – це може бути ознакою синтезу.

Автодзвінки-роботи. Спочатку з вами говорить автоматична система, яка просить “натиснути 1 для підтвердження” або переводить на “оператора”. Мета – відібрати тих, хто реагує, і передати їх живому шахраю.

Двоетапні атаки. Спочатку приходить SMS нібито від банку, потім – дзвінок від “служби безпеки”, яка посилається на це SMS. Поєднання двох каналів підвищує довіру жертви.

Шахрайство через державні сервіси. Кіберполіція фіксувала угруповання, які привласнювали кошти через клони сервісу “єДопомога” та інших держпослуг. Перевіряйте адресу сайту перед входом.

Що робити під час підозрілого дзвінка

  1. Не панікуйте і не поспішайте – саме на поспіх і розраховують шахраї.
  2. Не називайте жодних даних: PIN, CVV, коди з SMS, паролі.
  3. Покладіть слухавку, навіть якщо дзвінок виглядає офіційним.
  4. Знайдіть офіційний номер банку – на звороті картки, в офіційному застосунку або на сайті банку, який відкриваєте вручну.
  5. Зателефонуйте в банк самостійно і повідомте про підозрілий дзвінок.
  6. Якщо є найменші сумніви щодо безпеки картки – попросіть банк тимчасово заблокувати її до з’ясування обставин.

Що робити, якщо ви вже передали дані

Якщо ви зрозуміли, що вас обдурили, – дійте негайно:

  1. Зателефонуйте на гарячу лінію банку (номер на звороті картки) і повідомте про шахрайство. Попросіть заблокувати картку і рахунок.
  2. Змініть паролі від інтернет-банкінгу та мобільного застосунку.
  3. Якщо ви встановлювали стороннє ПЗ – видаліть його негайно і зверніться до фахівця для перевірки пристрою на наявність шкідливих програм.
  4. Зверніться до Кіберполіції України через сайт cyberpolice.gov.ua або за безкоштовним номером 0 800 505 170.
  5. Зберіть докази: скриншоти SMS, номери телефонів, час дзвінків – вони знадобляться для подачі заяви.
  6. Зверніться до банку з письмовою заявою про повернення коштів. За законом банк зобов’язаний розглянути звернення, хоча повернення не гарантоване, якщо ви самостійно підтвердили операцію.

Не соромтесь звертатися – шахрайство трапляється з людьми будь-якого рівня обізнаності.

FAQ

Чи може банк дзвонити мені першим? Так, банки дійсно телефонують клієнтам – наприклад, щодо підозрілих операцій або з комерційними пропозиціями. Але вони ніколи не просять назвати PIN, CVV або коди з SMS. Якщо маєте сумніви – покладіть слухавку і передзвоніть на офіційний номер.

Якщо відображається офіційний номер банку, це точно банк? Ні. Технологія спуфінгу дозволяє підробити будь-який відображуваний номер. Орієнтуйтеся не на номер, а на те, що у вас запитують.

Що таке OTP-код і чому не можна його називати? OTP (one-time password) – одноразовий пароль, який банк надсилає вам у SMS для підтвердження конкретної операції. Якщо ви назвете його шахраю, він підтвердить від вашого імені будь-який переказ.

Дзвінок через Viber від “банку” – це нормально? Ні. Банки в Україні не використовують Viber або WhatsApp як основний канал зв’язку з питань безпеки рахунку. Дзвінок через месенджер – майже завжди ознака шахрайства.

Що робити, якщо шахраї вже зняли гроші? Негайно заблокуйте картку через застосунок або гарячу лінію, напишіть заяву до банку і зверніться до Кіберполіції. Банк зобов’язаний провести розслідування, але повернення коштів залежить від обставин операції.

Чи допомагає додаток для визначення номера? Застосунки на кшталт GetContact можуть допомогти з невідомими номерами, але не захищають від спуфінгу – підмінений номер виглядає як офіційний. Покладатися лише на них не варто.

Де знайти офіційний номер свого банку? На звороті банківської картки, в офіційному мобільному застосунку або на сайті банку – який ви відкриваєте вручну, а не за посиланням із SMS чи листа.

Чи є в Україні офіційна кампанія проти банківського шахрайства? Так. НБУ веде кампанію #ШахрайГудбай з практичними інструкціями щодо захисту від різних видів шахрайства.

Підсумок

Банківський фішинг – не технічна проблема, а проблема довіри і поспіху. Шахраї використовують підроблені номери, штучну терміновість і соціальну інженерію, щоб змусити вас діяти, не зупиняючись на роздуми. Головне правило просте: справжній банк ніколи не просить PIN, CVV, OTP-коди або переказ коштів на інший рахунок. Якщо дзвінок або SMS хоча б трохи здається підозрілим – покладіть слухавку і передзвоніть самостійно. Це займає дві хвилини і може врятувати всі ваші заощадження.

Схожі статті