Фішинг у 2026 році: що це насправді, як він виглядає сьогодні і чому 85% атак на бізнес починаються саме з нього

Класична картинка з листом про «виграш у лотерею» від нігерійського принца давно неактуальна. Сучасний фішинг — це QR-код у легітимно виглядаючому листі від Microsoft 365, фейкова сторінка CAPTCHA, яка просить вставити команду в командний рядок, і повідомлення нібито від CERT-UA з проханням завантажити «спеціалізоване ПЗ для захисту». Фахівці команди SHERIFF КІБЕРБЕЗПЕКА розповідають, як змінився фішинг у 2025–2026 роках і чому ваш фінансовий директор може стати першою ціллю атаки на компанію.

У січні 2026 року бухгалтерка середньої української компанії отримала листа з домену, який відрізнявся від домену її ключового постачальника однією літерою: замість «rn» — «m». У листі повідомлялося, що постачальник змінив банківські реквізити для оплати наступної партії. Лист виглядав професійно: правильна підпис-картка, копії попередньої переписки в нижній частині, навіть посилання на «оновлений договір» у Google Drive. Бухгалтерка переказала 412 тисяч гривень. Через дві доби, коли постачальник зателефонував з питанням про затримку платежу, з'ясувалося, що поштову скриньку керівника постачальника зламали ще місяць тому, зловмисники мовчки читали кореспонденцію і дочекалися моменту, коли можна максимально природно вписатися в платіжний цикл.

Це не сюжет з кіно і не приклад з академічного підручника. Це звичайна BEC-атака (Business Email Compromise), типовий сценарій 2026 року. І так, це - фішинг.

Фішинг — це різновид кіберзлочину, у якому зловмисник видає себе за довірену особу, бренд або сервіс, щоб обманом отримати від жертви чутливі дані: паролі, коди двофакторної автентифікації, банківські реквізити, доступ до корпоративних систем або просто змусити переказати гроші чи запустити шкідливе ПЗ. Назва — англійська калька зі слова «fishing» (риболовля): зловмисник «закидає» приманку у вигляді листа, повідомлення чи підробленого сайту і чекає, поки хтось «клюне».

Якщо коротко: фішинг — це соціальна інженерія, яка експлуатує не вразливість у коді, а вразливість у людському сприйнятті. Тому жоден антивірус, жодний firewall і жоден найдорожчий навіть найдорожча система моніторингу та аналізу кіберподій (SIEM) не закривають фішинг повністю. Він не атакує машину. Він атакує ваш мозок,  точніше, той його режим, у якому ви відкриваєте 80-й лист за день і не маєте часу вчитуватися.

Розуміти види фішингу важливо не для енциклопедичної повноти, а тому що захищатися від кожного з них треба по-різному. Ось основні форми, які реально зустрічаються в українському інфополі у 2025–2026 роках.

Класика жанру: великі розсилки на тисячі адрес з імітацією банку, поштового сервісу, державного сервісу чи відомого SaaS. Розрахунок на статистику — навіть 0,1% переходів дає зловмиснику велику базу скомпрометованих акаунтів. Захист: спам-фільтри, навчання співробітників, перевірка домена відправника.

Це вже не «розсилка», а точкова атака на конкретну людину або вузьку групу. Зловмисник заздалегідь вивчає жертву через LinkedIn, корпоративний сайт, новини, соцмережі і пише лист, який звучить персонально, з контекстом, з правильними іменами колег і клієнтів. Цільовий фішинг (spear phishing) набагато небезпечніший за масовий, бо обходить інтуїтивні фільтри: «це звертаються особисто до мене, з конкретним проєктом — навряд чи це шахрайство».

Підтип цільового фішингу, спрямований на топ-менеджмент: CEO, CFO, фінансових директорів, голів ради директорів. Лист звучить як юридичний запит, повідомлення від регулятора чи претензія від великого клієнта. Ставка вища за все: одна успішна whaling-атака може коштувати компанії десятки мільйонів.

Це повноцінна схема, у якій зловмисник або компрометує реальну поштову скриньку всередині компанії (часто директора або бухгалтера), або робить дуже точну імітацію домену. Далі він використовує цю позицію, щоб ініціювати фінансову транзакцію: змінити реквізити в інвойсі, попросити «термінову оплату» постачальнику, схвалити переказ. BEC-атаки в 2025–2026 роках лідирують за фінансовими втратами серед усіх типів кіберзлочинів проти бізнесу.

Фішинг давно вийшов за межі електронної пошти. Smishing — це повідомлення на кшталт «Ваше відправлення затримано, перейдіть за посиланням, щоб уточнити адресу» або «Ваш податковий кабінет потребує верифікації». Vishing — це дзвінки нібито від банку, поліції, СБУ чи мобільного оператора з проханням «продиктувати код з СМС для скасування підозрілої транзакції». Особливо небезпечні vishing-атаки в комбінації з deepfake-голосом, які почали з'являтися у 2025 році.

Найшвидше зростаючий вектор 2025–2026 років. QR-код вставляється у лист (іноді безпосередньо в тіло, іноді у вигляді нібито «безпечного» вкладення-PDF), і користувач, який сканує його зі свого телефона, потрапляє на фейкову сторінку логіна. Окрема пастка: корпоративний MFA не спрацьовує, бо телефон зазвичай не входить у периметр захисту так само строго, як робочий ноутбук. За даними Microsoft, у березні 2026 року сплеск QR-кодів, вбудованих безпосередньо в тіло листа, склав 336% порівняно з попереднім місяцем.

Один з найбільш підступних сценаріїв 2025 року. Користувача заводять на сторінку, що виглядає як стандартна перевірка «Я не робот». На сторінці пропонують «виконати додаткову верифікацію» — скопіювати рядок і вставити у вікно «Виконати» (Win+R) або в термінал. Користувач думає, що це нормальний антибот-захист, а насправді він власноруч запускає шкідливе ПЗ. Найгучніший приклад — кампанія проти готельного сектора через підроблені листи Booking.com, де ClickFix став точкою старту повноцінного зараження.

Розрахований на корпоративних користувачів Microsoft 365, Azure, Google Workspace. Зловмисник ініціює легітимний потік авторизації через «device code» (код пристрою), а жертві надсилає лист або повідомлення в Teams/Signal з проханням «ввести цей код для приєднання до зустрічі» чи «підтвердити доступ до спільного документа». Жертва вводить код у власний акаунт і таким чином дає зловмиснику довготривалий токен доступу до своєї пошти, файлів і чатів. Кампанія Storm-2372, документована Microsoft, цілеспрямовано використовувала саме цей механізм проти урядових і оборонних організацій.

Підписуйтеся на наші соцмережі

Український інформаційний простір останні два роки один з найбільш насичених у світі за кількістю задокументованих фішингових кампаній. CERT-UA та Держспецзв'язку публікують детальні звіти регулярно і кожен такий звіт готовий навчальний матеріал для бізнесу.

З початку 2026 року CERT-UA фіксує масштабну хвилю розсилок, у яких листи маскуються під повідомлення центральних органів влади або регіональних адміністрацій. Текст звучить як бюрократичний документ із проханням «оновити мобільний застосунок» або «перевірити інформацію в електронному кабінеті». Доставка шкідливого вантажу або через архів з EXE-файлом всередині, або через посилання на легітимний, але скомпрометований український сайт. Цілі — державні структури, фінансові установи, медичні організації.

У березні 2026 року Держспецзв'язку випустила окреме попередження: зловмисники почали розсилати листи від імені самої CERT-UA з рекомендацією «терміново завантажити спеціалізоване ПЗ для захисту від нової хвилі атак». Завантаженим файлом виявився RAT під назвою AGEWHEEZE — це програма віддаленого керування, яка дає зловмиснику повний доступ до зараженої машини. Серед цілей державні організації, медицина, фінанси, освіта, навіть охоронні компанії та розробники ПЗ.

Класичні україномовні приманки 2025 року. Лист виглядає як офіційне повідомлення від суду чи правоохоронного органу, у вкладенні — архів із подвійним розширенням «Додаток.pdf.zip». Більшість користувачів, побачивши «.pdf» у назві, не звертають уваги на «.zip» в кінці й клікають. Усередині — шкідливий виконуваний файл або скрипт, який запускає ланцюжок зараження.

У 2025 році CERT-UA описала фішингові кампанії, спрямовані вже не на email, а на месенджер Signal — серед українських військових, держслужбовців і журналістів. Жертві надсилається повідомлення нібито від колеги з посиланням на «спільний документ» чи «фото з оперативною інформацією». Перехід веде на фейкову сторінку логіна Signal або відразу запускає компрометацію акаунта.

Якщо коротко: тому що в нього зайшли AI, корпоративна екосистема SaaS і кросплатформність. Розглянемо детальніше.

Раніше «погана граматика» була надійним маркером фішингу особливо для англомовних розсилок з кириличного простору. У 2025–2026 роках LLM пишуть листи без помилок будь-якою мовою, з правильним діловим тоном, з врахуванням культурних нюансів. Зловмиснику достатньо описати в промпті: «напиши лист від імені фінансового директора української IT-компанії підрядникам про термінову зміну реквізитів». Microsoft у звіті за 2026 рік окремо описує AI-enabled device code phishing з динамічними кодами та підвищеною успішністю.

Сучасна компанія працює не лише в email. Вона живе у Slack, Teams, Notion, Google Workspace, Salesforce, GitHub. Кожна з цих платформ — потенційний канал для фішингу. Лист про «коментар до вашого документа в Notion», повідомлення в Teams від «зовнішнього партнера», запит на доступ до GitHub-репозиторію — кожне з них може бути приманкою. І більшість awareness-програм досі вчать співробітників розпізнавати фішинг лише в email.

Сучасна фішингова атака рідко обмежується одним повідомленням. Типовий ланцюжок 2026 року: лист на email → SMS з кодом «підтвердження» → дзвінок «з банку» з проханням підтвердити операцію. Кожен етап знижує опір жертви, бо «прийшло з трьох різних джерел — мабуть, справді важливо».

Коли користувач сканує QR-код у листі своїм особистим телефоном, він фактично виходить за межі захищеного робочого ноутбука. На телефоні немає того ж DLP, того ж antivirus-агента, тих самих корпоративних політик. QR-код — це місточок з безпечного робочого середовища у незахищене особисте.

Повний розбір 12 ознак фішингу з прикладами листів — окрема велика тема, але якщо потрібен швидкий мінімум, ось 6 червоних прапорців, які повинен знати кожен співробітник:

1.     Адреса відправника не з того домену або з домену, який «майже» правильний (microsft.com замість microsoft.com, gmaii.com замість gmail.com).

2.     Текст листа звертається до вас узагальнено («Шановний клієнте», «Dear Customer»), хоча сервіс зазвичай знає ваше ім'я.

3.     У листі ненормальна терміновість: «акаунт буде заблокований через 2 години», «термінова дія потрібна негайно».

4.     Прохання ввести пароль, код з SMS, дані картки або «підтвердити» MFA-код, який ви не запитували.

5.     Текст посилання не співпадає з реальним URL. Наведіть курсор (без кліку) — у браузерному tooltip побачите справжню адресу.

6.     Несподіване вкладення: архів, .exe, документ Office з проханням «увімкнути макроси», файл з подвійним розширенням типу «.pdf.zip»

Якщо хоча б одна ознака збіглася — не клікайте, не відповідайте, не скачуйте. Перешліть лист у IT-департамент або службу безпеки. Краще десять разів перевірити безневинне повідомлення, ніж один раз пропустити справжню атаку.

Перше і головне — не панікувати, не вимикати комп'ютер різко з розетки і не намагатися «самостійно почистити» машину. Швидкі, але неправильні дії знищують артефакти, які потрібні для розслідування. Натомість потрібно діяти за алгоритмом.

1.     Зафіксуйте час інциденту. Запишіть точно (з хвилинами), коли ви відкрили лист, коли клікнули на посилання, коли ввели дані.

2.     Збережіть лист повністю. Не видаляйте його. Якщо це email — попросіть IT зберегти повний заголовок (full headers). Це критично для аналізу.

3.     Відключіть машину від мережі. Не вимикайте, а саме від'єднайте від Wi-Fi або витягніть Ethernet-кабель. ОЗП залишається активною — це важливо для криміналістичного аналізу.

4.     Змініть пароль скомпрометованого акаунта. Робіть це з іншого, чистого пристрою — не з тієї машини, на якій сталася компрометація.

5.     Перевірте правила пересилання пошти і фільтри. Зловмисники часто додають невидимі правила, які пересилають всю вхідну пошту на зовнішню адресу. Це класичний слід BEC.

6.     Сповістіть фінансовий департамент. Якщо є хоч мінімальна підозра на компрометацію поштової скриньки, заморозьте всі платежі, заплановані на найближчі 24 години, до підтвердження їх легітимності телефоном.

7.     Зверніться по DFIR-розслідування. Якщо машина належить компанії і мова про корпоративний акаунт — це вже інцидент. Самостійно зрозуміти, що зробив зловмисник всередині, чи рухався він далі мережею, чи створив persistence — без професійних інструментів неможливо.

DFIR (Digital Forensics and Incident Response) — це не «викликати спеціаліста, щоб переустановив Windows». Це системна процедура: збір криміналістичних артефактів, реконструкція дій атакуючого, аналіз масштабу компрометації, виявлення persistence-механізмів, формування рекомендацій з hardening і, за потреби, взаємодія з правоохоронцями. До DFIR варто звертатися, коли збігається хоча б одна з ознак нижче.

•        Ви впевнені або підозрюєте, що зловмисник отримав доступ до корпоративної поштової скриньки (особливо керівника, бухгалтера, фіндиректора).

•        Сталася BEC-атака: змінилися реквізити в інвойсі, переказано гроші на «новий рахунок постачальника».

•        Виявлено невідомі правила пересилання, приховані replies, аномальні входи в Microsoft 365 / Google Workspace з незнайомих IP.

•        У внутрішній мережі помічено латеральний рух: підозрілі підключення до файлових серверів, спроби доступу до доменного контролера.

•        У співробітника спрацювала ClickFix-сторінка, після якої він виконав команду в командному рядку, навіть якщо «нічого не сталося».

•        Пройшов device code phishing — користувач ввів код, надісланий ззовні.

•        Ви бачите ознаки exfiltration — нетипово великий зовнішнього трафіку на невідомі сервери, особливо у вихідні чи неробочий час.

У будь-якому з цих сценаріїв самостійні дії здебільшого шкодять, а не допомагають. Перезавантаження стирає volatile-артефакти. «Швидке очищення» антивірусом знищує сліди, які потрібні для розуміння повного масштабу. Зміна паролів без попереднього аналізу токенів і сесій не виганяє зловмисника — він залишається з активною сесією, поки ви заспокоюєтеся.

Тридцять років тому фішинг був «дитячою» загрозою на тлі справжніх кіберзагроз — експлойтів, червів, DDoS-атак. У 2026 році він основна точка входу в корпоративні мережі. Це не тому, що зловмисники стали дурнішими і більше не вміють робити нічого складнішого. А тому, що вони порахували: атакувати людину швидше, дешевше і ефективніше, ніж атакувати технологію.

Захист від фішингу — це не «купити антифішинговий фільтр». Це поєднання трьох рівнів: технічного (DMARC/DKIM/SPF, MFA з phishing-resistant методами на кшталт FIDO2, поведінковий аналіз пошти), процесного (чіткі регламенти підтвердження фінансових транзакцій, подвійний контроль під час виконання критичних дій, обов'язкова ескалація підозрілих листів) і людського (регулярний тренінги на сучасних прикладах, не на скріншотах 2015 року).

І, що головне, це готовність до інциденту до того, як він стався. Бо коли фішингова атака вже відбулася і фінансова транзакція проведена, перші 24 години - це різниця між «втратили 400 тисяч» і «зупинили банк, ще встигли відкликати платіж, зберегли логи, передали справу в кіберполіцію». Хто не готовий до цих 24 годин заздалегідь переважно їх програє.