Ваша. Розумна. Пошта.
Швидкий, кросплатформний поштовий клієнт, створений фільтрувати зайвий шум, щоб ви могли зосередитися на тому, що справді важливо.
Визначення
💡 Фішинговий електронний лист: шахрайське повідомлення, створене, щоб обманом змусити вас розкрити конфіденційну інформацію, як-от паролі, номери кредитних карток або облікові дані акаунта. Шахраї видають себе за банки, компанії або знайомих вам людей, щоб лист виглядав легітимним.
Як працює фішинг
Хтось надсилає вам електронний лист, який виглядає так, ніби він від вашого банку. Тема листа: "Терміново: підозріла активність у вашому акаунті." Лист містить логотип вашого банку, використовує його кольори й закликає вас негайно натиснути посилання, щоб підтвердити свою особу. Ви натискаєте, потрапляєте на сторінку, яка виглядає точно як сторінка входу вашого банку, вводите своє ім’я користувача та пароль — і все. Ви щойно віддали свої облікові дані шахраю.
Оце і є фішинг. Насправді лист не від вашого банку. Сторінка входу підроблена. Тепер шахрай має ваш пароль і може спустошити ваш акаунт.
Такі атаки працюють, бо вони грають на терміновості та довірі. "Ваш акаунт буде призупинено через 24 години." "Ми виявили незвичну активність." "Підтвердьте свою особу зараз, інакше втратите доступ." Вони тиснуть на вас, щоб ви діяли швидко, не замислюючись. І вони стають дедалі витонченішими. Сучасні фішингові листи часто мають бездоганну граматику, правдоподібні адреси відправників і переконливий брендований вигляд. Часи очевидних шахрайств із "нігерійським принцом" здебільшого минули.
Як розпізнати фішинговий електронний лист
Термінова або загрозлива мова — перша явна ознака. Легітимні компанії не погрожують закрити ваш акаунт, якщо ви не відповісте протягом кількох годин. Шахраї створюють штучну терміновість, щоб обійти вашу пильність.
Уважно подивіться на адресу відправника. "support@amaz0n.com" (із нулем) — це не Amazon. "accounts@paypa1.com" (із цифрою один) — це не PayPal. Наведіть курсор на ім’я відправника, щоб побачити справжню адресу електронної пошти. А ще краще — перевірте інформацію в заголовках листа.
Загальні звертання на кшталт "Шановний клієнте" або "Шановний користувачу" замість вашого справжнього імені свідчать про масовий фішинг. Хоча деякі складні атаки справді використовують ваше реальне ім’я, тож лише цього недостатньо для остаточного висновку.
Звертайте увагу на неочікувані вкладення або посилання. Ваш банк не надсилатиме вам рахунок у ZIP-файлі. Ваш колега навряд чи надіслав вам випадковий PDF-документ, якщо ви на нього не чекали. Якщо сумніваєтеся, зв’яжіться з імовірним відправником через інший канал, перш ніж щось відкривати.
Жодна легітимна компанія ніколи не писатиме вам електронною поштою з проханням повідомити пароль, номер соціального страхування, дані кредитної картки або коди двофакторної автентифікації. Ніколи. Якщо в листі просять такі дані, це підробка.
Погана граматика чи форматування тепер менш надійна ознака, але багато фішингових листів усе ще містять дивні формулювання або незграбні переклади. Професійні компанії вичитують свої листи.
Наводьте курсор на посилання перед натисканням (не натискайте, лише наведіть). Якщо показана URL-адреса не збігається з тим, куди посилання нібито веде, це фішинг. Посилання з текстом "mybank.com", яке насправді веде на "mybank-verify-login-2024.ru", очевидно є підробкою.
Типи фішингових атак
Деякі фішингові атаки є цільовими, а деякі — масовими.
Цільовий фішинг атакує конкретних людей за допомогою персоналізованої інформації. Шахраї досліджують вас у LinkedIn, знаходять ваших колег, можливо, помічають, що ви щойно почали нову роботу. Потім вони створюють повідомлення, які моторошно точно збігаються з реальністю. Набагато переконливіше, ніж типові масові розсилки.
А ще є whaling. Це коли вони націлюються на керівників. Хтось видає себе за CEO і пише у фінансовий відділ із проханням терміново здійснити банківський переказ. Такі атаки коштують компаніям мільйони, бо керівники мають доступ до великих коштів.
Клон-фішинг ще підступніший. Беруть справжній лист, який ви раніше отримували (наприклад, квитанцію чи сповіщення), копіюють його, замінюють посилання на шкідливі й надсилають знову. Ви впізнаєте його, бо отримували справжню версію минулого тижня, і тому довіряєте йому, не замислюючись.
Вішинг і смішинг? Це не електронна пошта, але це пов’язані шахрайські схеми. Вішинг — це телефонні дзвінки, смішинг — текстові повідомлення. Та сама тактика шахрайства, лише інші канали.
Нещодавні фішингові шахрайства 2026 року
Фішингова схема з Microsoft Power BI
Це було доволі хитро. Шахраї використали справжню функцію сповіщень Microsoft Power BI, щоб надсилати фішингові листи з реальних адрес Microsoft. Ви могли отримати повідомлення, у якому стверджувалося, що з вашого акаунта PayPal списали від 400 до 700 доларів, із номером телефону, за яким треба подзвонити, щоб "оскаржити" це.
І ось де все ставало небезпечним: коли ви телефонували, людина на іншому кінці стверджувала, що вона з Microsoft. Вас покроково проводили через встановлення програмного забезпечення для віддаленого доступу, щоб "вирішити проблему". Це давало їм повний контроль над вашим комп’ютером. PCWorld задокументував повну атаку на початку 2026 року.
Листи виглядали легітимно, бо вони й були легітимними — просто використаними не за призначенням. Саме тому ця схема спрацьовувала.
Операція Tycoon 2FA
Tycoon 2FA по суті був фішингом як послугою. Платите за підписку — і отримуєте доступ до платформи, яка могла надсилати переконливі фішингові листи, що обходили двофакторну автентифікацію. На піку вона щомісяця атакувала понад 500 000 організацій десятками мільйонів повідомлень.
Найбільше постраждали сфери охорони здоров’я та освіти. Понад 100 учасників Health-ISAC стали жертвами фішингу, що спричинило реальні операційні проблеми (затримки в наданні допомоги пацієнтам у лікарнях Нью-Йорка, збої в роботі шкіл). Microsoft відстежила 96 000 окремих жертв у всьому світі, перш ніж правоохоронці ліквідували цю схему в березні 2026 року.
До середини 2025 року Tycoon був відповідальним за 62% усіх фішингових спроб, заблокованих Microsoft. Лише за один місяць вони зупинили понад 30 мільйонів листів із цієї єдиної платформи. Ось так тепер працює фішинг промислового масштабу.
ClickFix і атаки з підробленою CAPTCHA
Знаєте ті CAPTCHA-перевірки "Я не робот"? Зловмисники з’ясували, як їх підробляти. Ви потрапляєте на сторінку, схожу на справжню сторінку перевірки, але замість натискання прапорців вас обманом змушують скопіювати й запустити на комп’ютері шкідливі команди PowerShell.
The Hacker News повідомило, що приблизно 147 500 систем були заражені між кінцем серпня 2025 року та початком 2026 року. Нещодавні кампанії націлювалися на творців контенту в соцмережах, заявляючи, що ті мають право на верифіковані значки. Жертви дивилися інструктивні відео, де їм показували, як скопіювати "токени автентифікації" з cookie браузера, але насправді це встановлювало програмне забезпечення для віддаленого моніторингу.
У 2025 році 30% таких атак використовували підроблені запити на перевірку для встановлення інструментів віддаленого доступу. Який був рівень успішності? Достатньо високий, щоб зловмисники й далі використовували той самий сценарій.
Чому це працює? Тому що людей привчили проходити CAPTCHA не замислюючись. Бачите "підтвердьте, що ви людина" — і одразу натискаєте далі. Саме цей автоматизм і робить це небезпечним.
Що робити, якщо ви отримали фішинговий лист
Нічого не натискайте. Не відкривайте вкладення. Не переходьте за посиланнями. Не відповідайте. Просто видаліть його.
Повідомте про це: у більшості поштових клієнтів є кнопка "Повідомити про фішинг". Gmail, Outlook та інші провайдери використовують ці повідомлення, щоб покращувати свої спам-фільтри й захищати інших користувачів.
Перевіряйте незалежно: якщо в листі стверджується, що він від вашого банку, закрийте лист і увійдіть до банку безпосередньо через його сайт або застосунок. Не використовуйте посилання з підозрілого листа. Якщо у вашому справжньому акаунті все гаразд, лист був підробленим.
Уточніть у відправника: якщо фішинговий лист нібито надійшов від когось, кого ви знаєте, зв’яжіться з цією людиною іншим способом (зателефонуйте, напишіть повідомлення, напишіть у Slack). Не відповідайте на сам підозрілий лист.
Що робити, якщо я вже натиснув(-ла) на фішинговий лист?
Негайно змініть свої паролі, особливо якщо ви ввели облікові дані на підробленому сайті. Увімкніть двофакторну автентифікацію, якщо ще цього не зробили. Стежте за своїми акаунтами на предмет несанкціонованої активності. Якщо ви ввели дані кредитної картки, зверніться до банку, щоб скасувати картку.
Як захистити себе
SPF, DKIM і DMARC
Якщо ви керуєте доменом, упровадьте SPF, DKIM і DMARC, щоб не дати шахраям підробляти вашу адресу електронної пошти для інших. Хоч це й не захистить вас від отримання фішингових спроб, зате захистить інших від фішингових атак, що видають себе за вас.
Увімкніть двофакторну автентифікацію всюди, де це можливо.
Навіть якщо хтось викраде ваш пароль через фішинг, без другого фактора він не зможе отримати доступ до вашого акаунта, тож ви станете значно складнішою ціллю. Ставтеся скептично до неочікуваних листів, особливо до термінових запитів, пов’язаних із грошима чи обліковими даними. Коли щось здається підозрілим, зазвичай так і є—довіряйте своїй інтуїції.
Оновлюйте своє програмне забезпечення.
Сучасні браузери та поштові клієнти мають вбудоване виявлення фішингу, яке покращується з кожним оновленням, тож актуальні версії допомагають вам користуватися найновішими функціями безпеки. Якщо ви відповідаєте за компанію, регулярно проводьте фішингові симуляції. Працівники часто є найслабшою ланкою в безпеці, а навчання через реалістичне тестування допомагає їм розпізнавати й уникати справжніх атак.
Подумайте про використання менеджера паролів.
Ці інструменти автоматично підставляють паролі лише на легітимних сайтах, а це означає, що якщо ваш менеджер паролів не автозаповнює дані на сайті, схожому на сайт вашого банку, це тривожний сигнал, що сайт підроблений. Цей додатковий рівень перевірки може виявити фішингові спроби, які інакше могли б вас обдурити.
Вимкніть завантаження віддалених зображень
У деяких поштових клієнтах, наприклад Spark Desktop, ви навіть можете вимкнути завантаження віддалених зображень для додаткового захисту: відкрийте Налаштування Spark Desktop > Загальні > Завантажувати віддалені зображення > Вимкніть перемикач.
Пов’язаний вміст
- Конфіденційність в електронній пошті Spark
- Фрази, яких варто уникати в електронних листах
- Правило двох хвилин для електронної пошти
- Найкращі поштові клієнти
Пов’язані терміни