Онлайн-торгівля в Україні стала настільки звичною, що покупка з телефона вже майже не відрізняється від походу в магазин. Люди продають дитячі речі, купують техніку, замовляють подарунки, шукають знижки й домовляються про доставку в кілька повідомлень.
Саме ця буденність і стала головною перевагою шахраїв. Вони більше не потребують складних технічних атак, коли можуть використати поспіх, довіру, бажання швидко продати товар або страх втратити покупця. Фішинг став не лише підробленим сайтом, а цілою психологічною операцією.
Найчастіше схема починається там, де користувач почувається впевнено: на маркетплейсі, у месенджері, в оголошенні або в чаті з нібито реальним покупцем. Далі людину м’яко виводять за межі офіційної платформи — туди, де вже немає захисту сервісу, правил спору й перевіреної оплати.
За оцінкою Дейком, головна небезпека сучасного онлайн-шахрайства полягає в тому, що воно маскується під звичайний цифровий сервіс. Жертві не пропонують очевидну аферу. Їй надсилають «форму доставки», «посилання для отримання коштів» або «підтвердження платежу».
Фішинг еволюціонував разом із самими маркетплейсами. Якщо раніше підроблені сторінки часто видавали себе помилками в дизайні чи грубою мовою, тепер вони копіюють логотипи, кольори, структуру кнопок, повідомлення підтримки й навіть стиль офіційних сервісів доставки.
Капітан поліції Ігор Чепур, який працює у сфері протидії кіберзлочинам у Києві, називає фішинг однією з найпоширеніших схем проти користувачів онлайн-платформ. Її мета залишається простою: отримати персональні дані, реквізити банківської картки або доступ до акаунта.
Окрема категорія — шахрайство під виглядом доставки. Продавцю пише нібито покупець, швидко погоджується на ціну й надсилає посилання для «оформлення безпечної угоди». Насправді сторінка просить ввести номер картки, термін дії, CVV-код або підтвердити операцію в банківському застосунку.
Іноді схема працює навпаки. Людина хоче купити товар, бачить вигідну ціну й отримує прохання внести передоплату поза платформою. Пояснення звучить правдоподібно: «щоб забронювати», «бо багато охочих», «щоб не платити комісію». Після переказу продавець зникає разом із оголошенням.
Шахраї добре розуміють, що найслабше місце — не пароль, а момент емоційного рішення. Вони створюють терміновість: акаунт нібито заблокують, покупець «чекає лише п’ять хвилин», доставка «потребує негайного підтвердження», а вигідна пропозиція «діє тільки зараз».
Так працює соціальна інженерія. Людину не ламають технічно, її підштовхують до помилки. Співрозмовник може бути ввічливим, наполегливим, обізнаним із правилами платформи й навіть переконливо імітувати службу підтримки. Саме тому жертвою може стати не лише новачок.
Підвищений ризик мають активні користувачі маркетплейсів: ті, хто часто продає речі, регулярно купує онлайн, шукає дешевші варіанти або користується кількома сервісами доставки. Чим більше цифрових угод, тим вища ймовірність натрапити на підроблений сценарій.
Новачки залишаються окремою мішенню. Вони ще не завжди знають, що офіційні платформи не просять переходити в сторонні месенджери для оплати, не вимагають CVV-код для отримання грошей і не надсилають «універсальні» посилання через випадкових користувачів.
Є кілька ознак, які мають зупинити угоду ще до втрати грошей. Це дивний домен, скорочене посилання, помилки в адресі сайту, відсутність захищеного з’єднання, тиск на терміновість, відмова спілкуватися в офіційному чаті та будь-яка пропозиція обійти правила платформи.
Не менш важливий сигнал — вимога ввести повні дані картки для отримання коштів. Для переказу покупцеві або продавцеві зазвичай не потрібен CVV-код, пароль до банкінгу чи підтвердження підозрілої операції. Якщо сайт просить більше, ніж потрібно, це вже не сервіс, а пастка.
Банки й маркетплейси поступово посилюють захист. Вони впроваджують додаткові перевірки платежів, автоматично блокують підозрілі операції, обмежують зовнішні посилання, закривають фейкові акаунти й проводять освітні кампанії. Але жодна система не замінить уважність користувача.
Цифрова безпека починається з простих звичок. Для онлайн-покупок варто мати окрему картку з обмеженим балансом, підключити сповіщення про транзакції, не зберігати реквізити на сторонніх сайтах і використовувати різні паролі для різних сервісів.
Окремо слід берегти акаунти. Якщо шахрай отримує доступ до профілю на маркетплейсі або в месенджері, він може атакувати вже не одну людину, а всіх її контактів. Тому двофакторна автентифікація, перевірка активних сесій і складні паролі — не формальність, а базовий захист.
У разі підозри на фішинг діяти треба швидко. Картку слід одразу заблокувати в банківському застосунку або через гарячу лінію. Паролі до пов’язаних акаунтів потрібно змінити. Пристрій варто перевірити на шкідливі програми, а підозріле посилання — більше не відкривати.
Якщо гроші вже списано, важливо звернутися до банку, подати заяву до кіберполіції й залишити скаргу на платформі, де почалася комунікація. Навіть якщо кошти не вдасться повернути одразу, така заява допомагає блокувати акаунти, домени й повторні схеми.
Фішинг небезпечний саме тим, що не виглядає як злочин у момент першого контакту. Він схожий на звичайний продаж, швидку доставку, зручну оплату або турботу служби підтримки. Його сила — у довірі, яку люди вже мають до онлайн-торгівлі.
Українці дедалі більше купують і продають в інтернеті, а отже, цифрова гігієна стає такою ж необхідною, як уважність до гаманця в людному місці. Фейковий сайт може зникнути за годину, але наслідки одного необережного кліку залишаються надовго.
Безпечна онлайн-угода починається не з вигідної ціни, а з контролю над власними даними. Там, де користувач не переходить за сумнівним посиланням, не вводить зайві реквізити й не виходить за межі офіційної платформи, шахрайська схема втрачає головне — доступ до довіри.
