В Україні зафіксовано нову хвилю фішингових атак: зловмисники масово надсилають електронні листи про нібито наявний податковий борг та вимагають терміново його сплатити. Для цього користувачів закликають перейти за посиланням, яке може вести на шкідливі ресурси або запускати встановлення небезпечного програмного забезпечення. Про нову схему попередили у Державній податковій службі та профільних медіа з кібербезпеки.
За даними ДПС, шахраї використовують класичну модель соціальної інженерії — створюють ефект терміновості та страху перед штрафами або санкціями. Саме такі механізми традиційно використовуються в сучасних фішингових кампаніях.
Як працює нова схема
У фейкових листах користувачам повідомляють про «несплачений податковий борг» і закликають негайно перейти за посиланням для перевірки інформації або сплати заборгованості. Саме посилання є ключовим елементом атаки.
Для підвищення довіри шахраї використовують:
- логотипи та дизайн, схожі на символіку ДПС;
- підроблені адреси відправника;
- імітацію державних доменів;
- повідомлення про терміновість;
- попередження про можливі штрафи;
- фрази про необхідність «негайної перевірки».
У ДПС підкреслюють: служба не розсилає вимог про оплату податкових боргів через сторонні посилання у листах.
Чим небезпечний перехід за посиланням
Головна загроза полягає не в самому тексті листа, а у переході за вказаними адресами. Фахівці попереджають: користувач може не лише потрапити на фальшивий сайт, а й автоматично завантажити шкідливе програмне забезпечення.
Серед потенційних ризиків:
- викрадення паролів;
- доступ до електронної пошти;
- компрометація банківських даних;
- зараження комп’ютера;
- віддалений доступ до пристрою;
- крадіжка конфіденційної інформації.
У низці випадків фішингові ресурси імітують державні портали настільки точно, що відрізнити підробку від справжнього сайту стає складно.
Чому атаки почастішали
Експерти з кібербезпеки звертають увагу, що останніми місяцями в Україні зросла кількість атак із використанням державної символіки. Раніше шахраї вже використовували імена банків, соціальних служб, державних структур та навіть військових організацій.
Схеми мають схожий сценарій:
- створення відчуття терміновості;
- використання відомого бренду або установи;
- примушування перейти за посиланням;
- спроба отримати дані користувача.
Кіберфахівці пояснюють: страх перед штрафами чи боргами працює ефективніше за випадкову рекламу або спам.
Як убезпечити себе
У ДПС рекомендують громадянам і бізнесу дотримуватись базових правил кібергігієни.
Основні рекомендації:
- не відкривати листи від невідомих адрес;
- не переходити за підозрілими посиланнями;
- не завантажувати вкладення;
- перевіряти інформацію через офіційні сервіси;
- користуватися виключно державними ресурсами;
- звертати увагу на домен відправника.
Фахівці наголошують: інформацію про податкові питання варто перевіряти лише через офіційні канали ДПС та електронний кабінет платника.
Ситуація демонструє, що кіберзагрози дедалі частіше маскуються під звичайні повідомлення від державних органів. А тому уважність користувачів залишається головним інструментом захисту.
