Шахрайські листи бувають найрізноманітніших форм і видів. Деякі настільки очевидні, що це навіть смішно — ніхто й не намагався замаскувати шахрайство.
Але не думайте, що всі вони такі. Шахрайство електронною поштою, здається, стає лише підступнішим і винахідливішим. Саме такі схеми можуть змусити придивитися навіть найобізнанішого в комп’ютерах представника покоління Z, який виріс мало не в обіймах iPad, перш ніж він зрозуміє, у чому річ. І якби вони не були такими підступними, можна було б навіть відступити на крок і оцінити сам підхід. Ми покажемо вам, як розпізнавати phishing та інші поширені шахрайські листи й захищатися від них.
Короткий екскурс у минуле
Багато хто з нас пам’ятає найперші дні шахрайства електронною поштою — безтурботні часи, коли ми були і наївнішими, і водночас менш довірливими до листів. Коли ми отримували шахрайський лист, то читали його з розгубленою цікавістю, намагаючись зрозуміти, чому відправник вирішив, що саме ми — правильна людина, до якої варто звернутися по допомогу.
Хто пам’ятає The Spanish Prisoner? Нещасну людину з великим багатством, якій конче потрібна була наша допомога, щоб заплатити викуп і вийти з в’язниці. Кумедно, але ця схема насправді передує електронній пошті, походячи ще з початку 19 століття. Якийсь вільнодумець-інтернет-серфер, вочевидь, вирішив її оцифрувати.
Сьогодні шахрайські листи значно краще використовують сильні сторони свого цифрового формату. На відміну від деяких класичних схем, вони використовують переваги, які з роками почав пропонувати Інтернет, — як-от можливість легко обробляти онлайн-платежі, зростаючу залежність від електронної пошти для найважливіших комунікацій та еволюцію соціальних мереж, якщо назвати лише кілька прикладів.
Ознаки шахрайства з першого погляду
Перш ніж ми детальніше розглянемо різні типи шахрайських листів, ми поділимося кількома загальними правилами, які допоможуть вам розпізнати шахрайський лист/спам — адже всі вони мають спільні елементи: відправника, тему, текст листа і, мабуть, найважливіше, потребу бути прочитаними й сприйнятими за правду.
Назва компанії/відправника
Звертайте увагу на:
Друкарські помилки або неправильне написання стилю — Paypal vs. PayPal.
Щось, що здається надто описовим або малоймовірним — AA Car Emergency vs. AA.
Компанії, у яких ви нічого не купуєте й з якими не маєте справ — Повідомлення від Barclays, коли ви обслуговуєтеся в Lloyds.
Усе, що здається дивним — Від символів і химерно названих компаній до дивних пробілів — іноді в відправнику просто є щось, що здається неправильним.
Адреса електронної пошти відправника
Звертайте увагу на:
Невідповідну адресу електронної пошти — Щось, що не узгоджується з назвою компанії.
Схожі підробки — Адреса, створена так, щоб бути схожою на адресу справжньої компанії. Це може бути домен (@paypalcare.com) або TLD (@paypal.club).
Помилки— Друкарські помилки або інші невідповідності в адресі.
Теми листів
Звертайте увагу на:
Фрази, покликані викликати відчуття терміновості — ‘Попередження: Остаточне повідомлення про оплату’.
Надмірно обіцяльні формулювання — ‘Заробіть £1000 за п’ять хвилин’.
Мова, що викликає сильну емоційну реакцію — ‘Вас найнято! Починайте завтра!’
Друкарські помилки — Шахраї не славляться гарною граматикою.
Надмірне використання розділових знаків або емодзі — Мало які справжні компанії таке використовують.
Наявність ‘Re’ — Це може використовуватися, щоб створити враження, ніби ви вже відповідали, хоча це не так.
Кнопки та вкладення— Завжди утримуйтеся від натискання кнопок або завантаження вкладень у підозрілих листах.
Текст листа
Звертайте увагу на:
Неймовірні обіцянки— Подібно до варіанту з темою листа, але в основному тексті є більше місця для розгортання, що дає змогу зробити брехню переконливішою.
Заклики до дії, спрямовані на отримання особистої інформації — Особливо адреси або даних картки.
Згадки про те, чого ви не пам’ятаєте— Від подій до послуг, яких ви ніколи не отримували
Видавання себе за іншу особу— Хтось стверджує, що він ваш друг або родич, але звучить не як він сам.
Тепер, коли ви маєте певне уявлення про те, як шахраї можуть маніпулювати різними частинами електронного листа, давайте розглянемо конкретні приклади.
Шкідливе ПЗ
Для багатьох атаки шкідливого ПЗ, мабуть, були першим видом небезпечних листів, яких ми справді боялися. Тоді ми, ймовірно, просто називали їх вірусами електронної пошти. Відкриваєш лист — екран чорніє. Гру закінчено. Щось у такому дусі.
Насправді шкідливе ПЗ охоплює широкий спектр зловмисних атак — і деякі з них, відверто кажучи, значно страшніші за швидку смерть комп’ютера.
Відстеження натискань клавіш? Використання вашого CPU без вашого відома? Шпигування за вами? Примусове показування сумнівної реклами кожні п’ять хвилин? Так, шкідливе ПЗ охоплює широкий спектр маленьких програм, які вбудовуються у ваш комп’ютер без вашого відома, а їхні функції варіюються від витівок недоброзичливих жартівників до повноцінних злочинців. Вони ухильні, і їх часто складно позбутися — якщо ви взагалі знаєте, що вони там є.
Як виявити шкідливе ПЗ
Якщо ви помічаєте будь-які із симптомів, перелічених вище, є велика ймовірність, що це шкідливе ПЗ. Воно могло потрапити через електронний лист — але не обов’язково. Є й інші способи, якими ці програми можуть вбудуватися у ваш комп’ютер — завантаження, сумнівні вебсайти і навіть небезпечні апаратні пристрої. Якщо ви колись знайдете на вулиці USB-накопичувач, не перевіряйте, що на ньому.
Захистіть себе від шкідливого ПЗ
Ризикуючи сказати очевидне, спробуйте програмне забезпечення для виявлення шкідливого ПЗ. Але обирайте щось надійне.
Якщо загуглити, як узагалі запобігти шкідливому ПЗ, найпершою порадою буде встановити антивірусне програмне забезпечення. Особисто я не знаю нікого, хто робив би це з кінця 2010-х, але хто я такий, щоб суперечити всій сукупності людських знань і масового досвіду, зведених Gemini в однорядкову відповідь, подану за часткучастки секунди?
Утім, захист від загроз, який пропонують операційні системи, загалом кращий, ніж у перші роки, особливо Windows оновлюється для захисту від загроз, але що важливіше, значна частина поштового програмного забезпечення виконує цю роботу за нас, відфільтровуючи підозрілі листи ще до того, як вони потраплять до нас.
Добре знайти провайдера електронної пошти, який пропонує надійний захист від шкідливого ПЗ і сканує ваші листи ще до того, як вони дійдуть до вас. Це особливо корисно, коли йдеться про уникнення психологічних атак (і до них ми ще за мить перейдемо).
Якщо говорити про захист, а не про запобігання, то варто регулярно робити резервні копії на випадок, якщо ви все ж постраждаєте від однієї з таких атак. Особисто я рекомендую щось на кшталт Mega Sync, що оновлюється щоразу, коли ви натискаєте «зберегти» у файлі.
Phishing
Сьогодні ви, найімовірніше, зіткнетеся саме з phishing-шахрайством електронною поштою. Чому? Бо, як і приваблива мелодія чи запах весни, ми всі вразливі до його чарів. Але як розпізнати phishing?
Phishing-атаки ефективні завдяки своїй універсальності. Іноді phishing неважко виявити. Це може бути що завгодно: буквально будь-що, що змушує людину ввести свої персональні дані. Подумайте про будь-яку причину, через яку ви могли б відчути потребу поділитися своїми персональними даними або надіслати комусь гроші, — і це потенційно може стати phishing-листом.
Ось лише кілька прикладів, і майте на увазі: ключ до phishing у тому, що всі ці листи виглядають справжніми, але є підробленими:
Сповіщення про скидання пароля.
Заповніть відсутні банківські реквізити.
Заповніть свою поштову адресу, щоб увімкнути доставку.
Поновіть свою підписку.
Ви переможець конкурсу!
Друг у скруті просить про допомогу.
Сповіщення про податкове відшкодування.
Прохання про благодійні пожертви.
Якщо ви не бачили phishing-шахрайства, то чи ви взагалі phish? Вони настільки всюдисущі, що важко уявити електронну пошту без них. Але способів phish більше ніж один…
Spear phishing і whaling
Spear phishing і whaling націлені на конкретних людей, часто з використанням агресивніших тактик.
Spear phishing використовує особисті відомості, зазвичай отримані з кількох джерел, щоб створювати переконливіші листи. Оскільки такий лист пишеться з використанням особистої інформації, у ньому можуть згадуватися справжні друзі, ситуації або навіть переконливіше імітувати банк (тощо). Якщо вам здається, що з вами таке навряд чи станеться, майте на увазі, що більшість людей мають в інтернеті більше публічно доступної інформації, ніж усвідомлюють.
Якби хтось видавав себе за вашого друга і згадав дуже конкретну подію, на якій ви обоє були десять років тому, чому б вам не повірити? Може знадобитися час, щоб згадати, що ви детально писали про це у Facebook і що цей допис доступний публічно. А коли вас попросять позичити гроші, можливо, ви й допоможете.
Усі ми вразливі до spear phishing, що робить його небезпечнішим за очевидніші шахрайські схеми. Один втішний нюанс полягає в тому, що рівень дослідження, потрібний для успішного spear phishing-шахрайства, відлякує більшість шахраїв. Їм простіше зробити ставку на масову розсилку, на яку відповість менше людей. Але чи не тут у майбутньому з’явиться AI? Нам потрібно залишатися пильними.
Whaling
Отже, що таке whaling? У багатьох аспектах whaling-атака майже така сама, як spear phishing, але вона спрямована саме на заможних людей, наприклад CEO.
Сумна реальність полягає в тому, що їхній статус і робить їх ціннішими цілями, у які варто вкладати час, і через інші чинники (як-от їхнє багатство, відповідальність, брак часу та велика база контактів) створює кілька потенційних слабких місць для використання. Наприклад, можливо, шахраям достатньо лише переконати PA або секретаря, що вони мають схвалення CEO. Тож, схоже, комерційний whaling — це завжди погано.
Як захиститися від spear phishing і whaling
Окрім того, що перелічено в нашому загальному посібнику вище, вам також слід налаштувати потужну фільтрацію спаму. Саме людський фактор — це те, на чому phishing-листи справді виграють. Якщо шкідливе ПЗ — це простий трюк, то phishing на певному рівні вимагає нашої співучасті. Зрештою, ми самі маємо віддати свою інформацію. Як ми вже обговорювали, це досягається через апеляцію до нашої емоційної реакції.
Тож найсильніший спосіб боротьби з цим — подбати, щоб ми взагалі ніколи з ним не контактували. Спам-фільтри під час оцінювання листа враховують багато елементів, які ми як люди не можемо. Вони звіряють чорні списки, відомі поведінкові шаблони і навіть використовують метод, відомий як байєсівська фільтрація. Він порівнює вміст листа з відомими спам-листами та легітимними листами, щоб обчислити ймовірність того, що це спам. Крім того, хороші спам-фільтри враховують, що інші користувачі позначають як спам, створюючи так званий цикл зворотного зв’язку користувачів.
Скомпрометована корпоративна електронна пошта

Трохи відрізняючись від усього, що ми розглядали досі, це підходить до проблеми з протилежного боку — з ідеї, що легітимний обліковий запис електронної пошти було скомпрометовано. Це не обов’язково має бути корпоративний обліковий запис, але для цілей цього розділу є кілька цікавіших чинників, про які можна поговорити, якщо уявити, що це саме він.
Якщо шахрай незаконно отримає доступ до корпоративного облікового запису електронної пошти, він зможе видавати себе за працівників, щоб запитувати кошти, або навіть отримати доступ до інших внутрішніх систем, які можуть містити конфіденційні дані.
Компрометація корпоративного облікового запису також використовує ще одну соціальну особливість, притаманну багатьом компаніям, особливо великим: малоймовірно, що кожен працівник знає всіх інших. Це, у поєднанні з тим, що в робочому середовищі від людей очікують ввічливості, дає таким листам додаткові переваги порівняно з приватними обліковими записами.
Як захиститися від цього
Якщо всі працівники використовуватимуть двофакторну автентифікацію (email 2FA) і обиратимуть надійні паролі, це значно зменшить ризик викрадених/зламаних облікових записів. 2FA гарантує, що власник облікового запису завжди знатиме, якщо хтось спробує в нього проникнути, а надійний пароль ускладнює атаки грубою силою.
Ви також можете зменшити ймовірність майбутніх проблем, якщо негайно деактивуватимете облікові записи працівників, які залишають компанію. Кладовище невикористовуваних облікових записів, що припадають пилом, — це просто нещасний випадок, який чекає, щоб статися.
Підроблені рахунки
Одна з тем, яку ви, можливо, вже помітили, — це експлуатація різних емоційних крайнощів. Досі ми розглядали страх або необережність CEO і нібито байдужість одного працівника до іншого. А тепер спробуймо гнів.
Хтось стверджує, що ви винні йому гроші, і вимагає негайного погашення. Вони злі, говорять речі, які змушують вас сумніватися у власних спогадах, або створюють обставини, щодо яких ви не можете бути певні, що вони несправжні. Потік злості й агресії триває доти, доки не починає здаватися, що простіше просто заплатити.
Для багатьох із нас це може здаватися малоймовірним, але, можливо, саме в цьому й найгірше: швидше за все, «ми» не є їхньою цільовою аудиторією. Їхній успіх залежатиме від вразливих людей. Тих, хто, можливо, справді не пам’ятає, або більше довіряє незнайомцям.
Профілактика
Якщо припустити, що ми не будемо оплачувати випадкові рахунки, які отримуємо електронною поштою, можливо, варто скористатися цією нагодою й поговорити з тими у вашому житті, хто має менше досвіду в інтернеті. Запитайте, чи потрібна їм допомога з розпізнаванням шахрайства, і поясніть, що те, що хтось вимагає гроші, ще не робить його вимогу законною. Зрештою, ми маємо піклуватися одне про одного, і ніхто не хоче бачити, як хтось просто заходить у очевидну шахрайську пастку.
Є ресурси, на які ви можете спрямувати людей, і які проведуть їх через це у зручний для користувача спосіб.
Шахрайство з пропозиціями роботи

На відміну від деяких інших, ці схеми буває важко розпізнати навіть найдосвідченішим із нас. Одна з причин у тому, що вони не існують у вакуумі електронної пошти. Якби хтось із нас раптом отримав листа про те, що його взяли на роботу, ми б одразу зрозуміли, що це спам. Але що, якби все сталося не так?
Що, якби шахрайство почалося з реального оголошення на справжньому сайті з вакансіями? Ви подалися на нього разом із купою інших справжніх вакансій, і воно здавалося таким самим імовірним, як і всі інші. Тоді це вже лист, якого ви очікуєте — навіть сподіваєтеся на нього,. І, подібно до spear phishing, це створює складнішу можливість для шахрайства. Тому що ви тепер добровільний учасник — принаймні спочатку.
Але учасник чого? Ці схеми можуть набувати безлічі форм, але по суті, як і давні пірамідальні схеми минулого, вони просять гроші наперед під приводом покриття витрат, купівлі обладнання або навіть навчання для посади — і все це несправжнє. Іноді в системі можуть бути й інші люди, які теж вірять, що все справжнє, і це може створювати видимість легітимності там, де її немає.
Як розпізнати шахрайство з пропозицією роботи
Є певні ознаки, на які варто звертати увагу, коли ви подаєтеся на роботу, і які можуть вказувати на те, що вакансія нелегітимна:
Нереалістичні зарплати — Якщо щось надто добре, щоб бути правдою, то, ймовірно, так воно і є.
Розмиті або малоймовірні вакансії — Чи справді комусь потрібна або хотілося б, щоб хтось виконував таку роль?
Без потреби в співбесіді — Або надто поспішна пропозиція роботи без належної перевірки.
Непрофесійна комунікація — Запитують більше даних, ніж мало б бути потрібно.
Відсутність онлайн-присутності компанії — Або компанія, чий вебсайт виглядає трохи підозріло. Стокові зображення, неправдоподібні відгуки, відсутність реального контенту — щось у такому дусі.
Водночас не варто відкидати легітимні вакансії лише через погано складене оголошення. Тож головне, на що слід звертати увагу, — це будь-хто, хто просить гроші ще до початку роботи. Майже немає випадків, коли робота мала б вимагати від вас платити щось наперед, а тим більше виконувати будь-які обов’язки безкоштовно.
Якими б упевненими ви не були в процесі до цього моменту, щойно розмова заходить про переказ грошей, можете не сумніватися — це шахрайство.
Романтичне шахрайство
Мабуть, найсильніша емоційна маніпуляція з усіх: те, що ми відчуваємо, коли закохані.
У мене є особистий досвід, коли хтось у застосунку для знайомств просив позичити гроші (саме там нині найімовірніше трапляється такий вид шахрайства). Це не така вже й рідкість, як може здатися — і в деяких випадках нам навіть може бути складно подумати про це як про шахрайство…
Межі швидко розмиваються, коли серце починає керувати розумом. Можливо, якась частина нас навіть думає: «Може, з мене й роблять дурня, але що таке десять фунтів, коли йдеться про кохання?». Але ця людина може проводити в застосунку для знайомств увесь день. Якщо їй вдається щодня переконати десятьох людей пожертвувати по десятці, то це вже зовсім непоганий заробіток. І це, безумовно, вважатиметься шахрайством.
Як не закохатися в романтичне шахрайство
Ризикуючи перетворитися на порадницю з життєвих драм, не дозволяйте серцю вести вас. Якщо розум каже, що це шахрайство, то, найімовірніше, так і є. Ніколи не давайте гроші людині, яку ви погано знаєте, хоч би як сильно вона запевняла вас у коханні. Це сумний факт життя: люди використовують крайні емоції для маніпуляції.
Шахрайство з призами
Більшість із нас, мабуть, пам’ятає листівки в поштовій скриньці з повідомленням, що ми виграли в лотерею і маємо зателефонувати за номером, щоб отримати свій приз. Гадаю, було неминуче, що й це теж перетвориться на електронний лист.
Тут не так уже й багато можна сказати такого, чого не було сказано в інших розділах. Можливо, ми можемо просто створити життєве правило. Якщо в листі сказано, що ви виграли приз, то ви не виграли приз*.
*Хіба що ви виграли приз. Але ви точно не виграли приз. Перестаньте думати про приз.
Профілактика
Послухайте, ви справді, справді не виграли приз. Купіть лотерейний квиток, якщо вже дуже хочеться, — але натисніть кнопку спаму.
Захист себе та інших
Якщо серйозно, то незалежно від того, спам це чи шахрайство, тут зовсім не до сміху. Люди справді страждають, втрачають гроші або потім почуваються нерозумно.
Ми запропонували кілька способів захистити себе, але насправді все зводиться до трьох речей:
Увімкніть якомога більше засобів безпеки
Що б не пропонував ваш провайдер — 2FA, автоматично згенеровані паролі чи навіть шифрування — усе це варто налаштувати. Вони просто роблять ваш обліковий запис трохи складнішим для захоплення.
Оберіть провайдера, орієнтованого на безпеку
Провайдер із потужним програмним забезпеченням для керування спамом і частими оновленнями безпеки — це, мабуть, найкраща форма постійного захисту для бізнесу. Більшість шахрайських схем, які ми описали, починаються і закінчуються керуванням спамом. Якщо ми їх ніколи не бачимо, вони ніколи не стають проблемою.
Тримайте руку на пульсі
Phishing-шахрайство постійно еволюціонує. Воно націлене на вас, а не на вашу поштову скриньку, тож ви самі є своїм найкращим захистом.
Чи є у вас якісь практики, якими ви користуєтеся, щоб не потрапляти на спам і шахрайство? Нам було б дуже цікаво про них почути! Залишайте будь-які думки чи запитання в розділі коментарів нижче
Часті запитання
Фішинг — це, по суті, надсилання електронних листів від чужого імені (зазвичай компанії), щоб змусити одержувача виконати певну дію. Зазвичай такі дії передбачають надсилання грошей, даних картки або інших конфіденційних даних.
Whaling націлений на конкретну особу з вищим рівнем статків. Наприклад, генерального директора компанії або подібну особу. Створення індивідуального електронного листа спеціально для однієї людини вважається виправданим через потенційно вищий прибуток.
Загалом звертайте увагу на адреси електронної пошти, які не відповідають компанії, від імені якої нібито надіслано лист, недбале форматування, друкарські помилки та URL-адреси, створені так, щоб виглядати схожими, але які не є справжніми (joe@paypal-us.com).
Хороший спам-фільтр захистить вас від більшості загроз. Шахрайські електронні листи працюють, націлюючись на людей — переконуючи нас, що вони справжні. Коли ми взагалі з ними не стикаємося, вони не становлять проблеми.
Це залежить від виду шахрайства та від того, коли ви зрозуміли, що стали жертвою. Якщо ви вже щось оплатили, якнайшвидше зверніться до свого банку, щоб дізнатися, чи можна скасувати платіж. Якщо ви надали дані картки, заблокуйте та скасуйте відповідну картку. Немає жодних гарантій, що ви повернете свої гроші, але ви точно можете запобігти подальшій шкоді. Також варто змінити паролі для потенційно скомпрометованих облікових записів, а якщо ви підозрюєте атаку шкідливого ПЗ, проскануйте свої пристрої.
Компанії в певному сенсі наражаються на більший ризик — у їхніх системах зберігається багато даних, які можуть бути корисними для атак на інших людей. Зламавши корпоративну електронну пошту, потенційно можна отримати великий список розсилки. Крім того, у фішингу та whaling є різні можливості. Наприклад, люди можуть особисто не знати всіх, хто просить у них гроші. Тож ризики дещо відрізняються і, ймовірно, є більш вираженими.
Базове навчання, щоб увесь персонал знав, як виглядають загрози електронної пошти, є, ймовірно, найкращим запобіжним заходом. Далі — наявність хорошого провайдера бізнес-електронної пошти, який пропонує захист, як-от спам-фільтри, двофакторну автентифікацію та оновлення щодо загроз.


Коментарі (2)
Lily Simon
9 серп. 2025 р.
Olha Nesen. Product and Marketing Coordinator
13 серп. 2025 р.