
Резервне копіювання даних (Бекап): Повний посібник з кіберзахисту на 2026 рік
Як надійно захистити бізнес від втрати даних? Пояснюємо правила бекапу, метрики RPO/RTO, захист від вірусів-шифрувальників і хмарні рішення для МСБ.
Захистіть свій бізнес від вішингу, смішингу та діпфейків. Розбираємо реальні схеми шахраїв, слабкі місця KYC та впровадження надійних протоколів безпеки.
Команда ІТЕЗ
Процес компрометації корпоративних систем зазнав еволюції: 90% фінансових втрат від карткового шахрайства в Україні нині генеруються через маніпуляцію людською свідомістю, а не технічні злами. Інтеграція генеративного штучного інтелекту перетворила соціальну інженерію на автоматизовану індустрію. Європейське агентство з кібербезпеки (ENISA) констатує: понад 80% світових кампаній соціальної інженерії наразі підтримуються алгоритмами ШІ. У цій статті розібрано архітектуру сучасних атак, механіку обходу систем верифікації та інструкції з розгортання протоколів безпеки.
Соціальна інженерія 2.0 (SE 2.0) - це етап кіберзагроз, де для створення таргетованих фішингових сценаріїв та обходу багатофакторної автентифікації масово застосовуються інструменти штучного інтелекту.
Фундаментальна проблема корпоративної безпеки полягає в фокусі на захисті периметра, тоді як SE 2.0 атакує когнітивну систему співробітника. За даними Verizon Data Breach Investigations Report за 2026 рік, 62% порушень безпеки пов'язані з експлуатацією людського фактора. Зловмисники орендують мовні моделі (наприклад, WormGPT та FraudGPT), здатні автоматично генерувати таргетовані листи на основі відкритих даних компанії. Це усунуло граматичні помилки як маркер шахрайства, що спричинило 14-кратне зростання кількості AI-згенерованих фішингових розсилок.
Аналітика Hoxhunt свідчить, що базовий рівень розпізнавання загроз після стандартних тренінгів становить близько 10%. Надійний захист потребує переходу до систем управління людськими ризиками (XHRM), які фокусуються на динамічних симуляціях та зміні поведінкових патернів.
Шахраї комбінують когнітивні тригери за принципами Чалдіні, щоб штучно звузити час на прийняття рішення та заблокувати аналітичне мислення жертви.
Технічна досконалість інструментів, таких як AiTM-проксі (EvilProxy чи Modlishka), не спрацює без кліка або введення даних користувачем. Зловмисники нашаровують тригери впливу: авторитет (дзвінок від керівника чи служби безпеки), терміновість (погроза блокування рахунку за 15 хвилин) та дефіцит. Це активує стресову реакцію, змушуючи жертву ігнорувати посадові інструкції та передавати одноразові коди доступу.
Вішинг (Voice Phishing) - шахрайство з використанням голосових комунікацій для виманювання конфіденційних даних або фінансів шляхом психологічного тиску.
Глобальні збитки від телефонного шахрайства перетнули позначку у 39,5 млрд доларів США. Середні річні збитки від вішингу для однієї організації-мішені оцінюються у 14 млн доларів. Звіт CrowdStrike 2025 Global Threat Report фіксує зростання кількості атак голосового фішингу на 442% між першим та другим півріччям 2024 року. Під час симуляцій виявлено, що 70% організацій несвідомо розкривають критичну інформацію. Найуразливішими є відділи продажів та служба підтримки.
Прикладом є атака угруповання Scattered Spider на MGM Resorts та Caesars Entertainment у вересні 2023 року. Зловмисники зібрали дані співробітників через LinkedIn, зателефонували до служби ІТ-підтримки, зімітували працівників і скинули паролі. Наслідком стали втрати MGM на суму близько 100 млн доларів та виплата компанією Caesars викупу в 15 млн доларів.
Спуфінг Caller ID реалізується через маніпуляцію протоколами SIP-транкінгу, що дозволяє підмінити номер відправника, відображаючи ім'я з контактної книги жертви.
Шахраї використовують віртуальні АТС та VoIP-шлюзи для формування пакетів із фальшивими метаданими. Коли виклик надходить на смартфон, операційна система зіставляє номер з локальною адресною книгою і виводить на екран фотографію та посаду реального керівника. Це створює базис довіри до початку розмови. Для боротьби з цим консорціум GSMA розробляє протоколи наскрізної перевірки, такі як GSMA Call Check.
Смішинг (SMS Phishing) використовує довіру користувачів до мобільних мереж для поширення шкідливих посилань або запуску атак зі зворотним викликом.
Протягом останнього року 76% підприємств зазнали атак через SMS, із загальним зростанням кількості інцидентів на 328%. Вартість інструментарію значно знизилася: готові набори для смішингу можна придбати за 200 доларів на місяць. Середній глобальний збиток від успішної атаки становить 800 доларів.
Sender ID Spoofing дозволяє надсилати SMS від імені відомих брендів через алфанумеричну підробку або підробку довгого коду (Neighbor Spoofing).
Алфанумеричний спуфінг дозволяє надсилати повідомлення, які потрапляють у гілку легітимного листування з банком чи поштою на смартфоні жертви. Інший метод - Neighbor Spoofing, коли номер виглядає як місцевий. Смішинг часто є складовою багатоканального фішингу: атака починається з email, продовжується у корпоративному месенджері і завершується SMS із фішинговим посиланням. Нейтралізація таких маніпуляцій на рівні оператора вимагає стандарту AB Handshake.
Deepfake - синтезовані нейромережами медіафайли, які імітують зовнішність і голос реальних людей для обходу біометрії та соціальної інженерії.
За дослідженням Gartner, 62% організацій протягом року стикалися з діпфейк-атаками (41% аудіо, 35% відео). Частота спроб шахрайства з діпфейками у контакт-центрах зросла на 1300% (дані Pindrop). У січні 2024 року співробітник компанії Arup здійснив транзакції на 25,6 млн доларів після відеоконференції з фальшивим фінансовим директором. Натомість атака на СЕО компанії Ferrari провалилася: керівник був зімітований аудіо-діпфейком, але співробітник застосував політику секретного питання, запитавши про книгу, яку той рекомендував раніше.
Для створення відео застосовуються генеративні змагальні мережі (GAN) та моделі дифузії, а для голосу - системи перетворення тексту в мову (TTS).
Моделі GAN складаються з Генератора та Дискримінатора, що тренуються спільно для створення математично достовірної підробки. За даними McAfee, для розробки високоякісного голосового зліпка з 85% збігом тембру сучасним моделям достатньо 3 секунд аудіо. Зловмисники збирають дані з відкритих джерел (YouTube, месенджери) і використовують методику друку тексту в реальному часі, який нейромережа миттєво озвучує клонованим голосом.
Ін'єкційні атаки обходять системи KYC через перехоплення API-запитів і пряму передачу синтетичного відео на сервер, роблячи стандартні перевірки на життєдіяльність марними.
Спроби діпфейк-реєстрацій зросли на 94% у Великій Британії, а загальна кількість спроб обходу KYC за допомогою діпфейків збільшилася на 340% (дані Deloitte). Експлуатація систем відбувається двома векторами:
Традиційні механізми захисту від PAD не виявляють ін'єкційних атак. Фінансовим установам необхідно впроваджувати архітектуру виявлення ін'єкцій (IAD) та криптографічну біометричну прив'язку (Biometric Binding).
| Тип атаки | Механіка реалізації | Ступінь загрози | Методи технічної нейтралізації |
|---|---|---|---|
| Презентаційні атаки (PAD) | Показ маніпульованого відео/маски фізичній камері пристрою. | Середня | Алгоритми виявлення оклюзії, аналіз відображення екрана, карти глибини. |
| Ін'єкційні атаки | Перехоплення API, пряма трансляція синтетичного коду на сервер. | Критична | Системи IAD, атестація пристрою, криптографічна прив'язка. |
За даними НБУ, у 2025 році кількість інцидентів з картками в Україні знизилася на 5%, але загальні фінансові збитки зросли на 24% до 1,4 млрд грн.
За опитуванням Rakuten Viber, понад 90% українців стикалися з онлайн-шахрайством у 2025 році. Зниження кількості інцидентів до 256 000 супроводжувалося різким зростанням середньої суми збитку на 30% - до 5 536 грн на одну операцію. 83% втрат генерується в Інтернеті.
Урядова команда CERT-UA зафіксувала 4 315 кіберінцидентів у 2024 році та 5,9 тисяч у 2025 році. СБУ відбила понад 3 тисячі цілеспрямованих ворожих атак на державні системи. Шахраї активно експлуатують воєнний контекст: масово розсилають повідомлення про фейкову соціальну допомогу, здійснюють вішингові дзвінки від псевдо-НБУ з вимогою продиктувати CVV, викрадають номери через eSIM та залучають громадян до інвестиційних афер.
Захист від SE 2.0 вимагає переходу на апаратні ключі FIDO2, впровадження політик сегрегації обов'язків та систем AI-детекції контенту.
Архітектура безпеки має ґрунтуватися на принципі Zero Trust (Нульової довіри). Традиційні SMS-коди та Push-повідомлення вразливі до атак MFA Fatigue та AiTM-перехоплення. Надійним стандартом є протоколи FIDO2/WebAuthn із застосуванням апаратних ключів (Passkeys), які криптографічно прив'язують сесію до конкретного домену.
Організаційні процеси є критичними: фінансові департаменти повинні впровадити політику зворотного виклику. Будь-яка інструкція щодо переказу коштів має перевірятися вихідним дзвінком на фіксований корпоративний номер. Також необхідно використовувати секретні кодові слова та встановлювати часові затримки (24-48 годин) на нетипові транзакції.
Детекція синтетичних медіа здійснюється через аналіз мікроознак (Artifact Analysis) та впровадження маркування C2PA.
Для протидії відео-діпфейкам індустрія використовує інструменти детекції (Intel FakeCatcher, Reality Defender, Pindrop). До повної стандартизації застосовується аналіз візуальних аномалій: виявлення оклюзії (мерехтіння при перетині обличчя об'єктом), десинхронізації артикуляції та невідповідностей освітлення. Стратегічним рішенням є глобальне розгортання протоколу C2PA, який апаратно вбудовує криптографічний водяний знак у файл, створюючи незмінний ланцюжок походження (Provenance).
В Україні дії шахраїв кваліфікуються за ст. 190, 200 та 361 ККУ, тоді як європейський EU AI Act вимагатиме обов'язкового маркування діпфейків з серпня 2026 року.
Стаття 190 ККУ (Шахрайство) передбачає за заволодіння майном через ЕОМ в умовах воєнного стану ув'язнення на строк від 5 до 12 років із конфіскацією майна. Застосовуються також Стаття 200 ККУ та Стаття 361 ККУ, нова редакція якої передбачає до 12 років позбавлення волі за тяжкі наслідки.
Закон України "Про платіжні послуги" (№ 1591-IX, ст. 26) обмежує відповідальність платника сумою 500 грн до повідомлення банку про компрометацію рахунку. Проте на практиці, у разі добровільної передачі кодів, банки відмовляють у компенсації. На європейському рівні EU AI Act робить маркування deepfake-контенту обов'язковим з 2 серпня 2026 року, встановлюючи штрафи до 35 мільйонів євро або 7% світового обороту за грубі порушення.
При компрометації даних необхідно миттєво заблокувати рахунки, ізолювати пристрій, змінити паролі та звернутися до Кіберполіції.
Вішинг - це шахрайство через голосові дзвінки для створення психологічного тиску в реальному часі. Смішинг - атака через короткі текстові повідомлення (SMS, месенджери), що містить фішингові посилання або заклики здійснити зворотний виклик.
Попросіть співрозмовника помахати рукою перед обличчям - перекриття кадру може викликати мерехтіння згенерованої "маски". Звертайте увагу на десинхронізацію губ і звуку, неприродні відблиски на окулярах та відсутність моргання. Найнадійніший спосіб - запитати заздалегідь узгоджене секретне кодове слово.
Сучасним системам генеративного ШІ достатньо запису тривалістю менше ніж 30 секунд. Дослідження показують, що окремі інструменти досягають збігу тембру до 85% на основі всього 3 секунд оригінального аудіо.
Згідно з Законом «Про платіжні послуги», відповідальність клієнта обмежується 500 грн до моменту офіційного звернення в банк. Але якщо банк доведе, що ви добровільно продиктували паролі, CVV-код або одноразові SMS-коди, у поверненні коштів буде відмовлено.
Читайте, як ефективно використовувати IT для розвитку вашого бізнесу

Як надійно захистити бізнес від втрати даних? Пояснюємо правила бекапу, метрики RPO/RTO, захист від вірусів-шифрувальників і хмарні рішення для МСБ.

Що таке мережева безпека та як надійно захистити дані? Розглядаємо сучасні кіберзагрози, брандмауери, VPN, IDS/IPS та Zero Trust для бізнесу й дому.

Patch Management: архітектура процесу оновлення систем. Як пріоритезувати вразливості, налаштувати автоматизацію та уникнути збоїв при розгортанні патчів.

Дізнайтеся, що таке EDR (Endpoint Detection and Response) і як ця технологія захищає робочі станції від сучасних кіберзагроз, програм-вимагачів та атак нульового дня.

Що таке Data Loss Prevention (DLP)? Дізнайтеся, як DLP запобігає витоку конфіденційних даних та захищає бізнес. Детальний розбір технологій, політик, етапів впровадження та вибору DLP-рішення.

Що таке Mobile Device Management (MDM)? Дізнайтеся, як централізовано керувати смартфонами на iOS та Android, захистити дані, впровадити BYOD та обрати між MDM, EMM і UEM.

Що таке SASE (Secure Access Service Edge)? Дізнайтеся, як ця архітектура об'єднує мережу (SD-WAN) та хмарну безпеку (SSE, ZTNA) для швидкого та захищеного доступу до ресурсів компанії з будь-якого місця.

Що таке Business Continuity Plan (BCP)? Дізнайтеся, як забезпечити безперервність бізнесу під час ІТ-криз, які загрози він покриває та чим BCP фундаментально відрізняється від DRP.

Дізнайтеся все про технологію VDI (віртуальні робочі місця) для організації ефективної віддаленої роботи. Розглядаємо архітектуру, порівнюємо VDI з DaaS, аналізуємо платформи VMware, Citrix та Microsoft AVD, а також даємо поради щодо впровадження та підвищення безпеки даних.
Опишіть задачу — відповімо протягом одного робочого дня з конкретною пропозицією та вартістю робіт.
Розкажіть детальніше:
Відгук отримано.
Передамо команді — дякуємо, що витратили хвилину.