► Читайте сторінку «Мінфіну» у фейсбуці: головні фінансові новини
Що змінилося
Ключова зміна полягає в тому, що штучний інтелект більш активно використовується як інструмент масштабування вже відомих схем: соціальної інженерії, фішингу, фейкових дзвінків, підроблених повідомлень, шахрайських онлайн-пропозицій, псевдозборів і маніпуляцій у месенджерах.
Як зазначила банкірка, шахрайство частіше ґрунтується на психологічному тиску- злочинці намагаються змусити людину самостійно зробити переказ, ввести дані картки, повідомити код із SMS або перейти за небезпечним посиланням.
«Штучний інтелект лише поглиблює цю загрозу: він робить повідомлення переконливішими, дзвінки — правдоподібнішими, а атаки значно швидшими», — пояснила Довгальська.
Посилаючись на дані Національного банку України, вона повідомила, що у 2025 році кількість незаконних дій та шахрайських операцій із платіжними картками, за якими були завдані збитки, зменшилася на 5% — до 256 тис. операцій. Однак сума збитків, навпаки, зросла майже на чверть — до 1,4 млрд грн.
Середня сума однієї незаконної операції збільшилася на 30% — із 4247 грн у 2024 році до 5536 грн у 2025 році. При цьому 83% усіх шахрайських операцій відбувалися через інтернет, а 90% загальної суми збитків були спричинені соціальною інженерією.
Які найпоширеніші схеми
Найпоширеніші шахрайські схеми: соціальна інженерія, фішинг, фейкові сервіси та P2P-шахрайство Анна Довгальська зазначає, що наймасовішою загрозою залишається соціальна інженерія: в Україні найчастіше зловмисники видають себе за працівників банку, мобільного оператора, державної установи, благодійної організації або навіть знайомих людини.
Їхня головна мета — це змусити клієнта власноруч розкрити конфіденційні дані або підтвердити операцію.
Друга поширена схема — це фішинг. Йдеться про підроблені сайти банків, державних програм, служб доставлення, благодійних фондів, маркетплейсів або онлайн-магазинів.
Окремий напрям — шахрайські онлайн-підписки та фейкові магазини. Користувачеві пропонують товар за нереалістично низькою ціною, «акційний» доступ до сервісу, розіграш, безпрограшну лотерею, пробний період або оформлення невеликого платежу, який насправді відкриває регулярне списання коштів. Часто такі сайти виглядають професійно, мають логотипи відомих брендів, відгуки, чат-боти та навіть імітацію служби підтримки.
Четверта схема — фейкові збори, псевдодопомога та маніпуляції на темі війни. Зловмисники створюють сторінки зборів «на ЗСУ», «на лікування», «на гуманітарну допомогу», підробляють світлини, звіти, чеки, документи, а в окремих випадках можуть використовувати діпфейк-відео або згенеровані ШІ зображення.
Ще один стабільно небезпечний напрям — P2P-шахрайство, тобто перекази з картки на картку. Найчастіше воно маскується під продажі в інтернеті, «OLX-доставку», передоплату за товар, бронювання житла, оплату вигаданих послуг або «страховий платіж».
Як ШІ вдосконалює шахрайство
Банкірка зауважила, що штучний інтелект суттєво змінив якість шахрайських схем. Насамперед ШІ допомагає генерувати тексти без типових помилок, якими раніше можна було легко розпізнати фішингові повідомлення.
Тепер підроблений лист, SMS або повідомлення в месенджері можуть бути граматично правильними, стилістично схожими на офіційну комунікацію банку, компанії, державної установи чи служби доставки.
За її даними, саме фішинг став одним із головних напрямів використання ШІ. Вже понад 80% проаналізованих фішингових листів мають ознаки використання штучного інтелекту.
Європейські дослідження оцінюють показник використання ШІ у фішингу у 82,6%.
Фактично автоматизація дала змогу шахраям різко здешевити підготовку атак, у деяких випадках до 95%, а також суттєво прискорити їх.
Крім того, ШІ дає можливість персоналізувати атаки. Зловмисники можуть використовувати відкриті дані із соціальних мереж, професійних профілів, зокрема LinkedIn, месенджерів, публічних фото, коментарів чи згадок, щоб зробити повідомлення більш правдоподібним.
Експертка зазначила, що у таких персоналізованих атаках ефективність може бути значно вищою, ніж у звичайному масовому фішингу. Якщо середній рівень кліків за фішинговими посиланнями може становити близько 2,7%, то для більш точних AI-атак фіксуються показники клікабельності до 54%. За великого масштабу навіть невеликий відсоток переходів перетворюється на колосальну кількість ризикових дій: за окремими оцінками, це може сягати близько 92 млн кліків на день у глобальному вимірі.
«Найнебезпечніше в сучасному фішингу — це поєднання посилання з контекстом. Людина бачить знайоме ім'я, правильний тон, логотип, згадку про реальну подію і цілком природно може втратити пильність. ШІ дає шахраям змогу створити ілюзію правди там, де раніше були очевидні помилки», — пояснила Анна Довгальська.
На її думку, окрема загроза — це deepfake-технології (підроблений голос, відео або зображення). Експертка зауважила, що ШІ може використовуватися для створення підроблених голосів і відео реальних людей. Шахраї здатні клонувати голос людини за короткими аудіофрагментами, а іноді для базової імітації може бути достатньо кількох секунд запису. Такі записи можна отримати з відкритих відео, голосових повідомлень, соцмереж або чатів.
У найпростіших випадках людині телефонують від імені «родича» або «друга» і просять терміново переказати гроші. У складніших — імітують керівника компанії, який нібито просить бухгалтера або фінансового менеджера терміново провести платіж. Такі схеми особливо небезпечні, коли поєднують голосову імітацію, психологічний тиск і вимогу негайної дії: «переказати кошти», «підтвердити операцію», «не ставити зайвих питань», «зробити це просто зараз».
Як захиститися від ШІ-шахрайства: практичні поради
Щоб не потрапити в тенета злочинців, Довгальська радить дотримуватись базового «алгоритму безпеки». Головне правило — ніколи не поспішати. Будь-яке повідомлення або дзвінок, що вимагає негайної дії з грошима, карткою, кодами, паролями або доступом до застосунку, потрібно сприймати як потенційно ризикове.
«У нових технологічних умовах важливо зрозуміти: атакують насамперед людину. Шахрай прагне не стільки обійти банківський захист, скільки змусити клієнта самому відкрити „двері“: натиснути посилання, назвати код, підтвердити платіж або переказати гроші», — наголосила експертка.