За оцінками експертів Української міжбанківської асоціації членів платіжних систем (ЕМА), трансформація шахрайських сценаріїв вийшла на рівень високотехнологічних AI-атак. Шахраї навчилися створювати цифрові клони реальних людей для обходу систем Liveness Detection (перевірки «живості» користувача перед камерою), які банки та державні сервіси використовують для віддаленого відкриття рахунків, підтвердження великих транзакцій або відновлення доступу до кабінетів.

Читайте также: CEO Instagram назвав три риси працівників, які допоможуть їм вижити в епоху ШІ

Які вразливості експлуатують зловмисники, чому розвиток цифрових послуг неочікувано підставив переселенців за кордоном — розбираємося без зайвого пафосу та канцеляризмів в матеріалі dev.ua.

Анатомія схеми: від «успадкованого» номера до кредиту в «Дії»

Схема, яку масово фіксують останнім часом, працює як чітко налагоджений конвеєр і складається з кількох кроків:

1. Полювання за номерами-привидами

Усе починається з купівлі SIM-карти з номером, який раніше належав громадянину України, але через відсутність поповнень протягом року був деактивований оператором і знову виставлений на продаж.

Як шахраї розуміють, які саме номери є «перспективними»? Є дві головні версії:

Автоматизований перебір (Bruteforce): Зловмисники запускають ботів на сторінках реєстрації фінсервісів. Якщо система не пропонує створити новий кабінет, а впізнає номер як існуючого клієнта — окей, за цим номером стоїть реальна людина, шукаємо далі.

Аналіз через GetContact: Якщо номер має багату історію тегів у телефонних книгах, прив’язаний до імен чи посад, для шахраїв це зелене світло — у власника може бути кредитна історія.

2. Захоплення «Дії» через BankID

Володіючи фінансовим номером, зловмисники заходять у банк-донор, де жертва має рахунок. Банк розпізнає «рідний» номер і вимагає мінімум перевірок. Наступний крок — вхід в обліковий запис «Дія» через BankID. У руках шахраїв опиняються цифрові документи, а також інструменти Дія.Шерінг та Дія.Підпис.

3. Атака на Liveness Detection та онбординг

Маючи чужу цифрову особу, шахраї масово йдуть у нові банки та МФО, де жертва ніколи не обслуговувалася, але де доступний швидкий дистанційний онбординг. На етапі біометричної перевірки обличчя в гру вступає штучний інтелект.

Еволюція технологій: від масок до Fraud-as-a-Feature

Гучні затримання шахрайських груп демонструють, наскільки швидко розвивається інструментарій зловмисників.

Етап 1: Face Morphing (Локальні підміни)

Донедавна шахраї активно юзали атаки типу face morphing. Зловмисник брав власне обличчя за основу та за допомогою нейромереж накладав на нього антропометричні ознаки (форму очей, носа, пропорції) жертви.

Етап 2: Повна генерація та Presentation Attacks

Згодом підхід трансформувався у повну генерацію зображень і відео штучним інтелектом. Ба більше, фіксуються випадки банальних Presentation Attacks — коли перед камерою смартфона просто крутять заздалегідь підготовлене анімоване відео високої якості на іншому екрані. Шахраї діють відкрито й експериментують, ба навіть іноді залишають на відео водяні знаки (watermarks) комерційних ШІ-платформ.

Тренд: Зсув до «Fraud-as-a-Feature»

Сьогодні спостерігається небезпечний тектонічний зсув: від моделі Crime-as-a-Feature (створення спеціалізованого хакерського софту) до Fraud-as-a-Feature.

Зловмисникам більше не потрібні глибокі технічні знання. Вони використовують легальні комерційні AI-сервіси, створені для розваг, покращення якості відео чи анонімізації. Достатньо базових навичок користувача, щоб адаптувати дешеві цивільні інструменти штучного інтелекту для проходження банківського Liveness-контролю. 

Розумієте тепер, чому Anthropic так повільно випускає (або взагалі не випускає) нові великі мовні моделі, такі як Mythos або Fable 5 на відкритий ринок? Тому що вони здатні не тільки знайти вразливість у вашому софті, а і без проблем написати експлойт для злочинця. І йому навіть не треба тепер бути для цього хакером. Fraud-as-a-Feature в дії.

Адаптація під андерайтинг

Раніше шахраї орієнтувалися виключно на роботів (автоматичне схвалення без участі людей). Але коли банки посилили контролі, зловмисники почали впевнено виходити на пряме спілкування з живими андерайтерами. Маючи «живий» номер телефону, повні дані з «Дії» та детальну кредитну історію, вони переконливо видають себе за клієнта під час відеодзвінків.

Реальний кейс: 56 000 грн кредиту в Польщі 

Згідно з матеріалами судової справи Новобузького райсуду Миколаївської області, злочинцю вдалося витратити доволі велику суму з рахунку жертви, перереєструвавши на себе фінансовий номер. Переселенці для шахраїв — лакомий шматочок, тому що їхні права під час перебування за кордоном, в якомусь сенсі, обмежені. Зараз пояснемо, чому.

Схема «вивільнення номера»: як обібрали переселенку

Жертва злочину з квітня 2022 року постійно проживає в Польщі. У березні 2026 року вона несподівано виявила, що її фінансовий номер телефону оператора «Київстар» перестав працювати.

Як з’ясувалося згодом, картку «вивільнили» від оператора, і її перереєстрували на іншу особу. Отримавши контроль над номером, зловмисники відкрили собі повний доступ до банкінгу жінки та почали перехоплювати OTP-коди підтвердження.

Усього за один день, 25 березня 2026 року, шахраї встигли:

  1. Списати весь кредитний ліміт в банку (який раніше не використовувався і був повністю погашений) на суму 36 421,35 грн.
  2. Зайти на маркетплейс Kasta+ і відкрити там кредитний ліміт ще на 20 000 грн.
  3. Подати заявки та спробувати набрати мікрокредитів на сайтах «ШвидкоГроші» та Moneyveo.

Жінка миттєво звернулася до банку з вимогою заблокувати рахунки, визнати операції шахрайськими та запустити процедуру повернення коштів. Банк виставив справедливу умову: анулювання боргу можливе лише після надання офіційного витягу з Єдиного реєстру досудових розслідувань (ЄРДР). Без витягу з реєстру він не може повернути гроші.

І тут є нюанс. Справа в тому, що потерпілому, крім онлайн-заяви, необхідно особисто звернутися до районного підрозділу поліції за місцем проживання та власноруч підписати заяву про вчинення правопорушення. За законом, лише власноруч підписана заява має юридичну силу для відкриття кримінального провадження. 

В майбутньому, планується запровадження можливості підпису заяви про вчинення правопорушення через Дію.Підпис та подання звернення через банк із використанням ЕЦП/КЕП. Поки що це ще не реалізовано, і не банки, і не Поліція в цьому винні.

Тому постраждалій довелося звернутися до адвоката, який представляв її інтереси в українському суді, який прийняв рішення на її користь в першій інстанції — зобов’язав правоохоронців зареєструвати заяву в ЄРДР.

Читайте также: Уряд планує створити координаційний центр, який перевірятиме всі критично важливі підприємства. Що відомо про процедуру багаторівневого надання статусу критичності

Поширена схема

Ситуація, в яку потрапила жертва з Польщі, доволі поширена. І жертв — багато. Так, наприкінці минулого року слідчі поліції викрили організовану групу, яка за допомогою штучного інтелекту оформлювала кредити на українців.

Оборудку організувала 33-річна жінка, яка під час повномасштабного вторгнення також виїхала до Польщі (таке прикре співпадіння). 

Жінка отримувала з невстановлених джерел персональні дані користувачів онлайн-банкінгу — фінансові номери мобільних телефонів, паролі та коди авторизації. Вона передавала їх іншим учасникам групи, які здійснювали несанкціоновані входи до мобільних застосунків українських банків, а далі — у «Дію» через систему авторизації BankID.

Зрештою зловмисники уклали договори та відкрили рахунки від імені щонайменше 286 громадян, а на частину з них оформили кредити на суму понад 4 000 000 гривень.

Показовий кейс із затримання: Найцікавіше в цій схемі — як саме шахраї обманювали систему. Нейромережа змінювала лише саме обличчя, щоб зробити його схожим на жертву (технологія Face Matching). Проте шахрайка прокололася на дрібниці: характерне татуювання на її шиї залишилося незмінним, що й помітила Кіберполіція.

Ба більше, під час інших спроб шахраї використовували обличчя свого спільника-чоловіка — штучний інтелект «морфив» (переробляв) його зовнішність під потрібних їм жінок.

NFC як новий захисний рубіж (і чому він не ідеальний)

У відповідь на загрозу дипфейків Дія запровадила обов’язковий етап авторизації з нового або недовіреного пристрою — оновлений процес активації «Дія.Підпис» із використанням NFC-технології. Для активації необхідно зчитати біометричний документ (ID-картку або закордонний паспорт) через NFC, пройти фотоперевірку та встановити код.

Це суттєво ускладнило роботу шахраїв, але вони швидко адаптувалися через соціальну інженерію:

Атака на людину, а не на залізо: Замість технічного обходу NFC зловмисники телефоном переконують жертву самостійно прикласти документ до телефону та пройти фотоперевірку під їхню диктовку. Захист спрацьовує коректно, але на користь шахрая.

Концептуальний відкат: Вимога прикладати пластиковий паспорт суперечить ідеї чисто цифрової ідентифікації як повноцінної заміни фізичним документам. Система змушена повертатися до матеріального носія.

Ускладнення клієнтського досвіду: Наявність документа «тут і зараз» створює додатковий бар’єр, знижує конверсію для банків, а саме зчитування чіпа через NFC часто викликає технічні труднощі у користувачів.

Хто винен: зміна парадигми відповідальності

Цей тип шахрайства (Stolen Identity — викрадення особистості) кардинально відрізняється від класичних схем. У випадках звичайної соціальної інженерії клієнт сам винен у своїй необачності: піддався тиску чи добровільно переказав гроші.

У кейсах з DeepFake та атаками на Liveness Detection клієнт взагалі не бере участі в процесі (до моменту впровадження NFC-авторизації). Він не здійснює операцій і навіть не здогадується, що його цифрова копія просто зараз бере кредит. Він не бере безпосередньої участі в процесі, але все ж таки створює передумови для шахрайства, не відв’язавши банківські акаунти від свого фінансового номера.

Людина стає жертвою стрімкого цифрового розвитку, а не власної дурості. Створюючи зручні цифрові екосистеми, держава та фінсектор сформували комфортний простір для обслуговування клієнтів. Проте за відсутності абсолютних безпекових запобіжників цей простір стає однаково зручним як для громадян, так і для шахраїв, дозволяючи останнім масштабувати атаки без жодного контакту з жертвою. Основним кластером поранених у цій схемі стають українці за кордоном, які просто перестали користуватися своїми українськими SIM-картами.

Чек-лист безпеки від ЄМА: як захиститися?

1. Перестали користуватися номером? Відв’яжіть його від усього!

Обов’язково змініть фінансовий номер у банках та державних реєстрах, якщо ви:

  1. переїхали за кордон і не підтримуєте українську SIM-карту в активному стані;
  2. плануєте змінити оператора або номер;
  3. втратили SIM-карту і не збираєтеся її відновлювати.

Щойно ваш старий номер надійде у повторний продаж, він перетвориться на універсальний ключ до вашого минулого цифрового життя.

2. Ніколи не проходьте ідентифікацію «під диктовку»

Якщо під час телефонної розмови (навіть якщо співрозмовник представився поліцією, банком чи техпідтримкою) вас просять:

  1. відкрити застосунок «Дія», увімкнути демонстрацію;
  2. сканувати паспорт чи ID-картку через NFC;
  3. активувати «Дія.Підпис» або підписати документ;
  4. Негайно кидайте слухавку. Жодна реальна установа не інструктуватиме вас щодо біометричних перевірок у телефонному режимі.

3. Жодних сторонніх застосунків

Банки ніколи не просять клієнтів встановлювати сторонні програми для «захисту рахунку» чи «сканування вірусів». Будь-яке подібне прохання — це спроба отримати віддалений доступ (на кшталт AnyDesk) до вашого смартфона.

Превентивні лайфхаки

Щоб уберегти себе від неприємних сюрпризів, увімкніть сповіщення в застосунку «Дія» про події в кредитній історії: Меню → Повідомлення → Увімкнути сповіщення.

Якщо в «Дії» раптом з’явилось сповіщення про запит вашої кредитної історії від організації, до якої ви не подавали заявку на кредит, негайно зателефонуйте до неї й повідомте про можливу спробу шахрайського оформлення кредиту на ваше ім’я.

Захистіть себе від шахраїв за допомогою функції FREEZE на сайті УБКІ. Вона тимчасово «заморожує» вашу кредитну історію, тому банки та мікрозайми (МФО) не зможуть її перевірити й просто відмовлять у будь-якому кредиті на ваше ім’я.

Читайте также: Нью-Йорк першим із американських штатів увів мораторій на будівництво датацентрів для ШІ. Які аргументи

Це платна послуга, яку варто ввімкнути, якщо ви:

  • загубили паспорт або ID-картку (щоб ніхто не взяв на вас онлайн-кредит);
  • надовго їдете за кордон і точно не плануєте купувати нічого в розстрочку;
  • помітили, що вже почали набирати шахрайські кредити — щоб зупинити наступні. 

Увімкнути можна тут.

Від admin

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *