ШІ замість обличчя: як шахраї обходять біометрію банків і на чому валяться
Останні роки стали переломними для українського фінтех-ринку. Якщо раніше кібершахрайство асоціювалося з банальним фішингом чи телефонним «розведенням» від імені «служби безпеки банку», то зараз індустрія зіткнулася з високотехнологічними AI-атаками. Шахраї навчилися створювати переконливі цифрові клони реальних людей, які дозволяють обходити системи Liveness Detection — технології перевірки, чи перебуває перед камерою жива людина, а не фотографія чи відеозапис. Саме такі механізми банки та державні сервіси використовують під час віддаленого відкриття рахунків, підтвердження фінансових операцій, оформлення кредитів і відновлення доступу до облікових записів
Які вразливості експлуатують кіберзлочинці та чому стрімка цифровізація несподівано обернулася додатковими ризиками для українців за кордоном — розбираємося у нашому новому матеріалі.
Анатомія схеми: від «успадкованого» номера до кредиту в «Дії»
Схема, яку масово фіксують останнім часом, працює як чітко налагоджений конвеєр і складається з кількох етапів:
1. Полювання на номери телефонів
Усе починається з купівлі SIM-карти з номером, який раніше належав громадянину України, але через відсутність поповнень протягом року був деактивований мобільним оператором і повторно виставлений на продаж.
Як шахраї розуміють, які саме номери є «перспективними»? За оцінками експертів Асоціації ЄМА, найчастіше використовуються два підходи:
- Автоматизований перебір (Brute Force): Зловмисники запускають ботів на сторінках реєстрації фінсервісів. Якщо система не пропонує створити новий обліковий запис, а впізнає номер як існуючого клієнта — окей, за цим номером стоїть реальна людина, — і номер потрапляє до списку потенційно цінних цілей
- Аналіз через GetContact: Якщо номер має багато позначок у телефонних книгах інших користувачів, прив’язаний до реального імені, прізвища, місця роботи чи посади, для шахраїв це зелене світло — номер належав реальній людині, яка користувалася ним тривалий час і могла мати банківські продукти, кредитну історію та облікові записи у державних і фінансових сервісах
2. Захоплення «Дії» через BankID
Володіючи фінансовим номером, зловмисники заходять у банк-донор, де жертва має рахунок. Банк розпізнає «рідний» номер і вимагає мінімум перевірок. Наступний крок — авторизація в застосунку «Дія» через BankID. Якщо атаку вдається реалізувати, шахраї отримують доступ до цифрових документів користувача та можуть використовувати сервіси Дія.Шеринг і Дія.Підпис для подальших шахрайських дій.
3. АІ проти біометрії
Далі шахраї намагаються відкрити нові рахунки та оформити кредити від імені жертви в банках і МФО з дистанційним онбордингом. Єдина серйозна перешкода — перевірка «живості» перед камерою (Liveness Detection). Саме на цьому етапі в гру вступає штучний інтелект: цифрові клони обличчя та інші AI-інструменти використовуються для спроб обманути біометричну перевірку.

Еволюція технологій: від масок до Fraud-as-a-Feature
Гучні затримання шахрайських груп демонструють, наскільки швидко розвивається інструментарій зловмисників.
Етап 1: Face Morphing (цифровий “гібрід” двох людей)
Шахраї активно юзають атаки типу Face Morphing. Вони беруть власне обличчя за основу й за допомогою штучного інтелекту надають йому риси жертви: змінюють форму очей, носа, підборіддя, пропорції обличчя та інші біометричні характеристики. Так утворюється цифровий «гібрид», здатний обманути системи біометричної перевірки.
Етап 2: Повністю згенеровані обличчя та Presentation Attacks
Шахраї переходять від часткової підміни обличчя до повної генерації фото й відео за допомогою штучного інтелекту. Такі технології дають змогу створювати реалістичні цифрові образи, які використовують під час спроб пройти біометричну перевірку.
Водночас фахівці фіксують і значно простіші Presentation Attacks. У таких випадках перед камерою смартфона або комп’ютера просто демонструють заздалегідь підготовлене високоякісне відео чи анімоване зображення, відтворене на іншому екрані. Шахраї діють відкрито й експериментують, ба навіть іноді залишають на відео водяні знаки (watermarks) комерційних ШІ-платформ.

Тренд: від Crime-as-a-Service до Fraud-as-a-Feature
Сьогодні експерти дедалі частіше говорять про новий етап еволюції кіберзлочинності — перехід від створення спеціалізованого хакерського інструментарію до моделі Fraud-as-a-Feature. Зловмисникам більше не потрібні глибокі технічні знання. Вони використовують легальні комерційні AI-сервіси, створені для розваг, покращення якості відео чи анонімізації. Достатньо базових навичок користувача, щоб адаптувати доступні інструменти штучного інтелекту для проходження банківського Liveness-контролю.
Розумієте тепер, чому Anthropic так повільно випускає (або взагалі не випускає) нові великі мовні моделі, такі як Mythos або Fable 5 на відкритий ринок? Тому що вони здатні не лише знайти вразливість у вашому софті, а і без проблем написати експлойт для злочинця. І йому навіть не треба тепер бути для цього хакером. Fraud-as-a-Feature в дії.
Адаптація під андерайтинг
Спочатку зловмисники робили ставку переважно на повністю автоматизовані сценарії, розраховані на схвалення заявки без участі людини-“контролера”. Проте після того, як банки посилили механізми контролю, зловмисники почали впевнено виходити на пряме спілкування з живими андерайтерами під час дистанційної перевірки клієнтів. Використовуючи фінансовий номер телефону жертви, її персональні дані, цифрові документи та інформацію про кредитну історію, зловмисники переконливо видають себе за справжнього клієнта під час телефонних та відеодзвінків, намагаючись пройти перевірку та отримати схвалення на відкриття рахунку та оформлення кредиту.
Реальний кейс: 56 000 гривень кредиту в Польщі
Згідно з матеріалами судової справи Новобузького райсуду Миколаївської області, злочинцю вдалося витратити доволі велику суму з рахунку жертви, перереєструвавши на себе її фінансовий номер. Українці за кордоном – лакомий шматочок для шахраїв, тому що їхні права під час перебування за кордоном, в якомусь сенсі, обмежені. Зараз пояснемо, чому.
Схема «угону фінансового номера»: як шахраї оформлюють кредити на українців за кордоном
Жертва злочину з квітня 2022 року постійно проживає в Польщі. У березні 2026 року вона несподівано виявила, що її фінансовий номер телефону оператора «Київстар» перестав працювати.
Як з’ясувалося згодом, номер телефону потерпілої був деактивований мобільним оператором через тривалу відсутність активності, а згодом повторно виданий іншому абоненту. Отримавши контроль над фінансовим номером, зловмисники змогли проходити автентифікацію в її банківських сервісах, перехоплюючи одноразові коди підтвердження (OTP).
Лише за кілька годин 25 березня 2026 року зловмисники змогли:
- повністю використати кредитний ліміт у банку на 36 421,35 гривень;
- оформити новий кредитний ліміт на 20 000 гривень через Kasta+;
- подати заявки на отримання мікрокредитів у «ШвидкоГроші» та Moneyveo
Жінка одразу звернулася до банку із вимогою заблокувати рахунки, визнати операції шахрайськими та розпочати процедуру оскарження транзакцій. У банку пояснили: питання про анулювання незаконно оформленої заборгованості можна розглядати лише після відкриття кримінального провадження. Для цього потерпіла мала надати офіційний витяг з Єдиного реєстру досудових розслідувань (ЄРДР), який підтверджує реєстрацію кримінального правопорушення.
І тут є один важливий нюанс. Подання онлайн-заяви до Кіберполіції саме по собі не є достатнім для внесення відомостей до ЄРДР. Потерпілому необхідно додатково особисто звернутися до територіального підрозділу поліції та власноруч підписати заяву про вчинення кримінального правопорушення. Лише після цього така заява набуває юридичної сили та може стати підставою для внесення відомостей до Єдиного реєстру досудових розслідувань (ЄРДР) і відкриття кримінального провадження.
В майбутньому, планується запровадження можливості підпису заяви про вчинення правопорушення через Дію.Підпис та подання звернення через банк із використанням ЕЦП/КЕП. Однак наразі ці механізми ще не запроваджені. Тому відсутність такої можливості не є наслідком дій чи бездіяльності банків або Національної поліції.
Тому постраждалій довелося звернутися до адвоката, який представляв її інтереси в українському суді, який прийняв рішення на її користь в першій інстанції, зобов’язавши правоохоронців внести відомості про кримінальне правопорушення до Єдиного реєстру досудових розслідувань (ЄРДР). Що відбулося далі, наразі невідомо.
Поширена схема
Описана історія — далеко не поодинокий випадок. І потерпілих – багато. Так, наприкінці минулого року слідчі поліції викрили організовану групу, яка за допомогою штучного інтелекту оформлювала кредити на українців.
Оборудку організувала 33-річна жінка, яка під час повномасштабного вторгнення також виїхала до Польщі (таке прикре співпадіння).
Жінка разом зі своїми спільниками, використовуючи персональні дані користувачів онлайн-банкінгу — фінансові номери мобільних телефонів та коди авторизації, здійснювала несанкціоновані входи до мобільних застосунків українських банків, а далі — у «Дію» через систему авторизації BankID.
Зрештою зловмисники уклали договори та відкрили рахунки від імені щонайменше 286 громадян, оформивши на них кредити на суму понад 4 000 000 гривень.
Показовий кейс із розслідування: цікавим, зокрема, в цій схемі є спосіб, у який зловмисники обходили систему відеоверифікації. Нейромережа змінювала лише риси обличчя, роблячи його схожим на обличчя жертви (технологія Face Matching), тоді як інші елементи зовнішності залишалися без змін. Під час моніторингу співробітники банку звернули увагу, що характерне татуювання на її шиї залишилося незмінним, хоча обличчя змінювалося під риси жертв шахрайства за допомогою штучного інтелекту. Ця деталь стала одним із доказів використання технології підміни обличчя.
Ба більше, під час інших спроб шахраї використовували обличчя свого спільника-чоловіка — штучний інтелект «морфив» (переробляв) його зовнішність під обличчя потрібних їм жінок.


NFC: сильний бар’єр, але не панацея
У відповідь на загрозу дипфейків Дія запровадила обов’язковий етап авторизації з нового або недовіреного пристрою — оновлений процес активації «Дія.Підпис» із використанням NFC-технології. Для активації необхідно зчитати біометричний документ (ID-картку або закордонний паспорт) через NFC, пройти фотоперевірку та встановити код.
Запровадження NFC-перевірки суттєво ускладнило роботу шахраїв. Проте вони швидко адаптували свої схеми, зробивши ставку на соціальну інженерію: замість пошуку технічних способів обходу захисту вони почали переконувати жертв самостійно виконувати необхідні дії.
Атака на людину, а не на залізо: Замість технічного обходу NFC зловмисники телефоном переконують жертву самостійно прикласти документ до телефону та пройти фотоперевірку під їхню диктовку. Захист спрацьовує коректно, але — на користь шахрая.
Концептуальний відкат: Вимога прикладати пластиковий паспорт суперечить ідеї чисто цифрової ідентифікації як повноцінної заміни фізичним документам. Система змушена повертатися до матеріального носія.
Ускладнення клієнтського досвіду: Наявність документа «тут і зараз» створює додатковий бар’єр, знижує конверсію для банків, а саме зчитування чіпа через NFC часто викликає технічні труднощі у користувачів.
Хто винен: зміна парадигми відповідальності
Цей тип шахрайства (Stolen Identity — викрадення особистості) принципово відрізняється від класичних схем. У випадку традиційної соціальної інженерії жертва, як правило, сама виконує дії, яких домагаються шахраї: піддається психологічному тиску, повідомляє конфіденційні дані або добровільно переказує кошти.
У кейсах з DeepFake та атаками на Liveness Detection клієнт взагалі не бере участі в процесі (до моменту впровадження NFC-авторизації). Він не здійснює ніяких операцій, не спілкується із зловмисниками і навіть не здогадується, що його цифрова копія просто зараз бере кредит.
Водночас у багатьох випадках передумови для такого шахрайства виникають через те, що користувач не відв’язав свої банківські акаунти від фінансового номера телефону, який був перевипущений. Саме це дозволяє зловмисникам отримати доступ до банківських сервісів і використати цифрову особу жертви.
Людина стає жертвою стрімкого цифрового розвитку, а не власної дурості. Створюючи зручні цифрові екосистеми, держава та фінсектор сформували комфортний простір для обслуговування клієнтів. Проте цей простір стає однаково зручним як для громадян, так і для шахраїв, дозволяючи останнім масштабувати атаки без контакту з жертвою. Основним кластером “поранених “у цій схемі стають українці за кордоном, які перестали користуватися своїми українськими SIM-картами, попередньо не відв’язавши їх від своїх банківських акаунтів.
Чек-лист безпеки від ЄМА: як захиститися?
1. Перестали користуватися номером? Відв’яжіть його від усього!
Обов’язково змініть фінансовий номер у банках та державних реєстрах, якщо ви:
- переїхали за кордон і не підтримуєте українську SIM-карту в активному стані;
- плануєте змінити номер;
- втратили SIM-карту і не збираєтеся її відновлювати
Щойно ваш старий номер надійде у повторний продаж, він перетвориться на універсальний ключ до вашого минулого цифрового життя.
2. Ніколи не проходьте ідентифікацію «під диктовку»
Якщо під час телефонної розмови (особливо якщо співрозмовник представився банком, поліцією чи техпідтримкою) вас просять:
- відкрити застосунок «Дія», увімкнути демонстрацію;
- сканувати паспорт чи ID-картку через NFC;
- активувати «Дія.Підпис» або підписати документ;
- Негайно кидайте слухавку. Жодна реальна установа не інструктуватиме вас щодо біометричних перевірок у телефонному режимі.
3. Жодних сторонніх застосунків
Банки ніколи не просять клієнтів встановлювати сторонні програми для «захисту рахунку» чи «сканування вірусів». Будь-яке подібне прохання — це спроба отримати віддалений доступ (на кшталт AnyDesk) до вашого смартфона.
4. Превентивні лайфхаки
Щоб уберегти себе від неприємних сюрпризів, увімкніть сповіщення в застосунку «Дія» про події в кредитній історії: Меню → Повідомлення → Увімкнути сповіщення.
Якщо в «Дії» раптом з’явилось сповіщення про запит вашої кредитної історії від організації, до якої ви не подавали заявку на кредит, негайно зателефонуйте до неї й повідомте про можливу спробу шахрайського оформлення кредиту на ваше ім’я.
Захистіть себе від шахраїв за допомогою функції FREEZE на сайті УБКІ. Вона «заморожує» вашу кредитну історію, через що банки та мікрофінансові організації (МФО) не можуть отримати до неї доступ під час розгляду кредитної заявки. У результаті оформити новий кредит на ваше ім’я без попереднього зняття такого обмеження стає неможливо.
Це платна послуга, яку варто ввімкнути, якщо ви:
- загубили паспорт або ID-картку — щоб зловмисники не змогли оформити онлайн-кредит на ваше ім’я;
- надовго виїжджаєте за кордон і не плануєте найближчим часом оформлювати кредити чи купувати товари в розстрочку;
- виявили, що на ваше ім’я вже намагаються оформити або оформили шахрайські кредити — щоб заблокувати спроби отримання нових
Увімкнути можна тут: https://www.ubki.ua/statuskontrol-ua
другие материалы