Фішинг в інтернет-магазинах: як розпізнати шахрайство під час онлайн-покупок

Ринок електронної комерції зростає стрімкими темпами. Маркетплейс обробляють мільйони транзакцій щодня. Цей величезний обсяг створює благодатний ґрунт для фішингових атак, які обманом змушують покупців розкрити логіни, платіжні дані та особисту інформацію.

Розуміння механізмів цих схем – перший крок до захисту.

5 найпоширеніших тактик фішингу в електронній комерції

1. Підроблені сторінки продавців у соцмережах

Шахраї створюють сторінки в Instagram, VK, Facebook або TikTok, що імітують популярних продавців. Вони рекламують товари з величезними знижками та спрямовують покупців на фішингові сайти, що копіюють сторінку входу маркетплейсу. Варто ввести логін та пароль — і ваш обліковий запис у руках шахраїв.

Ознаки підробки:

• Ціни значно нижчі від ринкових
• Посилання веде на домен, який не збігається з офіційним сайтом
• Продавець наполягає на оплаті поза платформою
• відсутність верифікованих значків або невідповідність інформації про магазин

2. Фішинг через SMS та месенджери про «проблеми із замовленням»

Вам надходить повідомлення про проблему з недавнім замовленням — помилка оплати, затримка доставки або приз за лояльність. Повідомлення містить посилання на підроблену сторінку входу.

Приклади повідомлень: – «Оплата замовлення №SP29381 не пройшла. Підтвердіть тут: [фішингове посилання]» – «Вітаємо! Ви виграли купон. Отримайте посилання: [фішингове посилання]»

• «Ваша посилка затримана на митниці. Оновіть дані: [фішингове посилання]»

3. Фальшива служба підтримки

Шахраї створюють облікові записи в Telegram або соцмережах, що імітують службу підтримки маркетплейсу. Вони відповідають на публічні скарги та пропонують «допомогти вирішити проблему» — запитуючи ваші облікові дані.

4. Підроблені сторінки оплати

Після того як покупець виявляє інтерес до товару (часто за привабливою ціною), продавець відправляє спеціальне посилання на оплату, що веде на фішингову сторінку для збору даних банківської картки.

5. Фальшиві розпродажі та кешбек

З'являються під час великих розпродажів (Чорна п'ятниця, Новий рік, 11.11) у вигляді реклами у соцмережах. Обіцяють ексклюзивний кешбек, але перенаправляють на сторінки крадіжки даних.

Як відрізнити справжню URL від фішингової

Це найважливіша навичка для захисту від фішингу. Навчіться уважно читати адресний рядок.

Елемент	Реальний	Фішинговий
Домен	ozon.ru	ozon-verify.ru
Домен	wildberries.ru	wildberries.ru.login-check.com
Протокол https:// (із замком)	Можливо https://, але інший домен
Піддомен	seller.ozon.ru	ozon.seller-page.net

Золоте правило

Останні дві частини перед першим слешем - це реальний домен. У ozon-verify.ru/login домен - ozon-verify.ru, а не ozon.ru. У wildberries.ru.login-check.com/auth домен - login-check.com.

Візьміть за правило завжди перевіряти домен перед введенням облікових даних.

Покрокова перевірка перед покупкою

1. Перевірте URL - переконайтеся, що ви на офіційному сайті маркетплейсу
2. Перевірте продавця — шукайте значки, дату реєстрації, відгуки
3. Порівняйте ціни — якщо надто дешево, пошукайте той же товар у інших продавців
4. Залишайтеся на платформі — не проводьте угоди за межами маркетплейсу
5. Використовуйте офіційні способи оплати — лише вбудовані платіжні системи
6. Не переходьте за посиланнями з повідомлень — заходьте у програму безпосередньо
7. Перевіряйте відгуки — остерігайтесь магазинів із винятково 5-зірковими відгуками

Що робити, якщо ви стали жертвою фішингу

Негайні дії

1. Змініть пароль — увійдіть через офіційну програму та змініть пароль
2. Увімкніть 2FA, якщо ще не зробили
3. Перевірте замовлення та способи оплати — шукайте несанкціоновані покупки
4. Зверніться до служби підтримки через програму, не через зовнішні контакти
5. Зв'яжіться з банком — якщо вводили дані картки на сторінці фішингу

Канали для скарг

Куди звертатись	Спосіб
Маркетплейс	Центр допомоги у додатку
Кіберполіція	Подати заяву онлайн
Росспоживнагляд	Подати скаргу на сайті
Центробанк Інтернет-приймальна ЦБ РФ
Фішингові сайти Повідомити в Google Safe Browsing

Безпечна передача даних при онлайн-покупках

Під час онлайн-угод часто доводиться ділитися конфіденційними даними — номером рахунку для повернення, адресою доставки, підтвердженням особи. Надсилання такої інформації через чат або Telegram означає, що вона залишиться в історії назавжди.

LOCK.PUB дозволяє ділитися даними через захищені паролем посилання з обмеженим терміном дії. Коли продавцю потрібна ваша адреса або вам потрібно поділитися підтвердженням оплати, тимчасове безпечне посилання гарантує, що інформація не залишиться у доступних логах чатів.

Сезонні сплески фішингу

Фішингові атаки слідують передбачуваному календарю:

період	Подія	Тип фішингу
Січень	Новорічні розпродажі Фальшиві купони
Лютий-березень	Гендерні свята Шахрайські акції
травень	Весняні розпродажі Підроблені знижки
Листопад	Чорна п'ятниця, 11.11	Максимальний обсяг фішингу
Грудень Новорічні розпродажі Шахрайство з подарунковими картками

У ці періоди подвайте пильність. Додайте офіційні сайти маркетплейсів в закладки та заходьте на них безпосередньо, а не за посиланнями.

Формування звичок безпеки

Найефективніший захист від фішингу — це окремий інструмент, а послідовне поведінка. Використовуйте менеджер паролів для створення унікальних паролів. Увімкніть усі доступні функції безпеки. Виконайте звичку робити паузу перед кожним кліком та перевіряти URL-адресу.

Коли потрібно поділитися деталями замовлення, підтвердженням оплати або особистою інформацією, використовуйте LOCK.PUB для створення тимчасових захищених посилань замість надсилання даних прямо у повідомленнях. Декілька зайвих секунд можуть врятувати вас від серйозних фінансових втрат.

Купуйте безпечно та ніколи не довіряйте пропозиціям, які виглядають надто добре.