Ваш бухгалтер отримав лист від «ПриватБанку» з проханням терміново підтвердити реквізити. Лист виглядає ідеально — логотип, підпис, навіть посилання схоже на справжнє. Один клік — і зловмисники вже мають доступ до облікових даних.
Це не гіпотетичний сценарій. Це реальний інцидент, який ми в IT-Premium розслідували минулого місяця.
Фішинг у 2026: чому це проблема №1
Фішинг залишається найпоширенішим вектором кібератак у світі. За даними Verizon Data Breach Investigations Report, 36% усіх витоків даних починаються з фішингового листа. Для малого та середнього бізнесу ситуація ще гірша — у них рідко є виділена команда безпеки.
В Україні проблема загострилася з 2022 року. Війна створила ідеальні умови для фішерів:
- Емоційний тиск — листи про «мобілізацію», «евакуацію даних», «термінові виплати» працюють безвідмовно
- Перехід на віддалену роботу — менше контролю, більше особистих пристроїв
- Нові сервіси — Дія, єПідтримка, Резерв+ стали мішенями для підроблених сайтів
За даними CERT-UA, у 2025 році зафіксовано понад 4000 фішингових кампаній, спрямованих на українські організації. І це лише зареєстровані випадки.
Анатомія фішингової атаки: як це працює
Розуміння механіки допомагає розпізнати загрозу. Типова фішингова атака складається з кількох етапів:
1. Розвідка
Зловмисник збирає інформацію: імена співробітників з LinkedIn, структуру компанії, email-формат (ім’я.прізвище@компанія.ua). Чим більше відкритої інформації — тим переконливіший лист.
2. Підготовка приманки
Створюється лист або повідомлення, яке імітує довірене джерело: банк, податкову, постачальника, колегу, керівника. У 2026 зловмисники активно використовують ШІ для створення ідеальних копій.
3. Доставка
Лист потрапляє до поштової скриньки. Сучасні фішингові листи обходять базові спам-фільтри, бо не містять класичних ознак спаму.
4. Експлуатація
Жертва натискає посилання, вводить дані на підробленому сайті або завантажує файл. Часто достатньо одного кліку.
5. Закріплення
Отримавши доступ, зловмисник діє швидко: викачує дані, встановлює шкідливе ПЗ, або готує шифрування серверів.
5 типів фішингу, з якими стикається український бізнес
Email-фішинг (масовий)
Класичний варіант: масова розсилка від імені банків, державних сервісів, популярних платформ. Низька якість, але бере кількістю.
Приклад: Лист «від Укрпошти» про недоставлену посилку з посиланням на відстеження. Посилання веде на сайт-копію, де треба ввести дані картки.
Спірфішинг (цільовий)
Атака на конкретну людину або компанію. Зловмисник знає ім’я, посаду, контекст роботи. Набагато небезпечніший за масовий фішинг.
Приклад: Лист «від директора» бухгалтеру з проханням терміново оплатити рахунок нового постачальника. Email виглядає як внутрішній, тон відповідає стилю керівника.
BEC (Business Email Compromise)
Зламується реальна поштова скринька співробітника або партнера. Листи йдуть з легітимної адреси — розпізнати майже неможливо.
Приклад з практики IT-Premium: У торгової компанії зламали email менеджера постачальника. Від його імені надіслали нові банківські реквізити. Компанія перерахувала 280 000 грн на рахунок шахраїв.
Вішинг (телефонний фішинг)
Дзвінок від «служби безпеки банку», «техпідтримки Microsoft», «податкової». В Україні особливо поширений після початку повномасштабного вторгнення.
Фішинг у месенджерах
Viber, Telegram, WhatsApp — нові канали для фішерів. Повідомлення від «Дія», «єВорога», «волонтерів» з посиланнями на шкідливі сайти.
Як розпізнати фішинг: чек-лист для кожного співробітника
Роздрукуйте цей список і повісьте біля кожного робочого місця:
🔴 Терміновість. «Негайно!», «Протягом 24 годин!», «Ваш акаунт буде заблоковано!» Справжні організації рідко тиснуть на терміновість.
🔴 Незнайомий відправник. Перевірте email-адресу повністю. [email protected] і [email protected] — різниця в одній букві.
🔴 Посилання не збігається. Наведіть курсор на посилання (не натискайте!) і перевірте реальну URL-адресу внизу браузера.
🔴 Запит конфіденційних даних. Пароль, номер картки, код з SMS — жодна легітимна організація не запитує це електронною поштою.
🔴 Вкладення від невідомих. Особливо .exe, .zip, .docm файли. Навіть PDF може містити шкідливий код.
🔴 Граматичні помилки. Хоча з ШІ це стає менш надійною ознакою, але все ще зустрічається.
🟡 Невідповідний тон. Якщо «директор» раптом пише не в своєму стилі — перевірте іншим каналом зв’язку.
🟡 Незвичне прохання. Зміна реквізитів, термінова оплата, доступ до системи — завжди підтверджуйте голосом.
Технічний захист: що повинно бути в кожній компанії
Навчання співробітників — це лише половина рішення. Друга половина — технічні засоби, які блокують фішинг до того, як він дістанеться до людини.
1. Налаштування email-автентифікації (SPF, DKIM, DMARC)
Ці три протоколи — основа захисту корпоративної пошти:
- SPF — визначає, які сервери мають право відправляти листи від імені вашого домену
- DKIM — додає цифровий підпис до кожного листа
- DMARC — вказує, що робити з листами, які не пройшли перевірку
За нашими даними, лише 23% українських МСБ мають правильно налаштований DMARC. Решта — відкрита мішень для email-спуфінгу.
2. Багатофакторна автентифікація (MFA)
Навіть якщо фішер отримав пароль — без другого фактора він не увійде. MFA зменшує ризик компрометації акаунту на 99.9% (дані Microsoft).
Мінімум: MFA на пошті, VPN, бухгалтерських системах, хмарних сервісах.
Рекомендація: Використовуйте апаратні ключі (YubiKey) або додатки-автентифікатори. SMS-коди — краще, ніж нічого, але вразливі до SIM-swapping.
3. Фільтрація email та веб-трафіку
Сучасні рішення аналізують:
- Посилання в реальному часі (sandbox-перевірка)
- Вкладення на наявність шкідливого коду
- Репутацію відправника
- Аномалії в заголовках листів
4. Endpoint Detection and Response (EDR)
Антивірус уже недостатньо. EDR-рішення відстежують підозрілу поведінку на пристрої: незвичні підключення, спроби ескалації привілеїв, масове копіювання файлів.
5. Резервне копіювання за правилом 3-2-1
Якщо фішинг призвів до шифрування — резервна копія рятує бізнес:
- 3 копії даних
- 2 різні носії
- 1 копія поза офісом (хмара або інша локація)
Що робити, якщо хтось клікнув
Інцидент стався. Співробітник зрозумів, що натиснув не те. Далі кожна хвилина важлива.
Перші 5 хвилин:
- Відключити пристрій від мережі (Wi-Fi, Ethernet)
- Не вимикати комп’ютер (зберігаємо докази в RAM)
- Повідомити IT-відділ або IT-провайдера
Перша година:
- Змінити паролі скомпрометованих акаунтів з іншого пристрою
- Перевірити журнали входу — чи не було несанкціонованих сесій
- Заблокувати підозрілі IP-адреси на файрволі
Перші 24 години:
- Просканувати всі пристрої в мережі
- Перевірити, чи не було бокового переміщення (lateral movement)
- Повідомити CERT-UA (якщо інцидент серйозний)
- Задокументувати інцидент
Навчання співробітників: як зробити це правильно
Одноразова лекція не працює. Ефективна антифішингова програма включає:
Регулярні симуляції. Надсилайте тестові фішингові листи раз на місяць. Відстежуйте, хто натискає. Навчайте тих, хто попадається.
Короткі мікро-тренінги. 5-10 хвилин раз на два тижні. Реальні приклади з українського контексту працюють краще за абстрактні слайди.
Позитивне підкріплення. Хваліть тих, хто повідомив про підозрілий лист. Створіть культуру, де повідомити — це добре, а не ознака параної.
Простий канал для повідомлень. Кнопка «Повідомити про фішинг» у поштовому клієнті або окремий чат у месенджері.
Скільки коштує захист vs скільки коштує інцидент
Типові витрати на базовий антифішинговий захист для компанії на 20-50 співробітників:
| Захід | Орієнтовна вартість |
|---|---|
| Налаштування SPF/DKIM/DMARC | 2 000 - 5 000 грн (одноразово) |
| MFA для всіх акаунтів | 0 грн (вбудовано в більшість сервісів) |
| Email-фільтрація (хмарна) | 500 - 2 000 грн/міс |
| Навчання персоналу | 3 000 - 8 000 грн/квартал |
| Разом на рік | ~30 000 - 60 000 грн |
Середня вартість одного фішингового інциденту для українського МСБ (за нашими даними): 150 000 - 500 000 грн. Це включає простій, відновлення, втрачені дані та репутаційні збитки.
Математика проста: захист коштує в 3-10 разів менше за один інцидент.
Як IT-Premium допомагає із захистом від фішингу
Ми пропонуємо комплексний підхід:
- Аудит поточного стану — перевіряємо email-автентифікацію, налаштування безпеки, обізнаність персоналу
- Впровадження технічних засобів — налаштовуємо SPF/DKIM/DMARC, MFA, фільтрацію пошти
- Навчання співробітників — проводимо тренінги та регулярні симуляції фішингу
- Моніторинг та реагування — відстежуємо загрози 24/7 та реагуємо на інциденти
За 17 років роботи ми захистили понад 100 компаній від кіберзагроз. Середній час реагування на інцидент — 15 хвилин.
Не чекайте, поки ваш бухгалтер натисне на те саме посилання. Замовте безкоштовний аудит email-безпеки — ми перевіримо ваш домен і покажемо, де є вразливості.