Кібератаки, фішинг, дезінформація: правозахисники зафіксували масштабне зростання загроз у цифровому просторі України
Правозахисники ГО “Платформи прав людини” зафіксували масштабне зростання кібератак, фішингових схем і скоординованих дезінформаційних кампаній у цифровому просторі України.
Про це йдеться у звіті ГО “Платформа прав людини” про стан цифрових прав в Україні за грудень 2025-го — лютий 2026 року.
Фото з мережіКібератаки на медіа, банки та армію
“З початку повномасштабного вторгнення департамент кібербезпеки СБУ нейтралізував понад 14 тисяч масштабних кібератак та кіберінцидентів на ресурси центральних органів влади та критичної інфраструктури України, — йдеться у звіті. — Лише у 2025 році кіберфахівці відбили понад 3 тисячі ворожих нападів”.
Переважна більшість атак була спрямована на знищення цифрових сервісів або дестабілізацію роботи підприємств енергетичної, транспортної та оборонної галузей. Протягом моніторингового періоду зафіксовано DDoS-атаки на низку медіаресурсів: “5 канал” зазнав масованого нападу через потужну бот-мережу з потоком до 200 тисяч запитів на хвилину з Азії, Європи та США; онлайн-медіа “ЖАР.INFO” перебувало під безперервною атакою три доби; сайт “Наші гроші” атакували після публікації розслідування.
Окремо задокументовані атаки на фінансовий сектор. Хакери здійснили supply chain-атаку на інтернет-магазин Національного банку України — під загрозою опинились імена, телефони, адреси доставки та електронні пошти клієнтів. НБУ запевнив, що платіжні дані не скомпрометовані. В АБанку відбулося незаконне списання коштів з рахунків клієнтів — банк назвав це принципово новою, раніше невідомою атакою і повернув усі кошти постраждалим. Ще в одному випадку зловмисники встановили шкідливе програмне забезпечення на комп’ютер підприємства і викрали 1,5 мільйона гривень, проте правоохоронці встигли заблокувати активи.
Особливою небезпекою відзначаються атаки проти військових. Хакери писали бійцям Сил оборони у месенджери, представляючись благодійними фондами, і надсилали запаролені архіви з нібито документами. Насправді всередині ховалось шкідливе програмне забезпечення PLUGGYAPE, яке надавало зловмисникам повний доступ до пристрою.
Фішинг: від “Зимової допомоги” до фейкового “Укренерго”
Масштабною залишається проблема фішингу — шахрайства через підроблені сайти та повідомлення. Зафіксовано десятки схем, спрямованих на різні аудиторії.
Шахраї активно імітували державні сервіси: створювали копії сайтів для оформлення “Зимової допомоги”, розробляли фішингові сторінки під Головний сервісний центр МВС, де пропонували “швидке дистанційне” виготовлення водійських посвідчень. Від імені НАБУ розсилали запрошення на “допит”, від Міністерства енергетики — листи з вкладеними вірусами.
Особливо витончену схему зафіксовано з імітацією “Укренерго”: листи надходили з фейкової адреси, але в рядку копії містили справжні офіційні адреси компанії для підвищення довіри. Замість “графіку відключень” у вкладенні ховалась програма, здатна викрадати паролі та банківські дані й надавати сторонній доступ до пристрою.
Громадян обманювали й через месенджери: обіцяли 2200 гривень компенсації від Ощадбанку та “Укренерго”, пропонували промокод на 10 літрів пального за підписку на Telegram-канал. Перехід за посиланнями призводив до захоплення акаунту — і протягом доби жертва втрачала над ним контроль. Схожі схеми використовували поштові оператори-“двійники”: фейкові “Укрпошта” і “Нова пошта” просили “підтвердити адресу доставки”. Літніх людей лякали скасуванням пенсії, якщо ті не “підтвердять вік” через підозріле посилання. Тих, хто шукав роботу, заманювали на “реєстрацію” і залишали без заощаджень.
Набула поширення й фішингова кампанія у Telegram з емоційним тиском: користувачів просили проголосувати за “дитину в благодійному конкурсі”, а посилання вело на підмінену форму авторизації. Окремо задокументовано тактику з прихованими шкідливими посиланнями всередині Telegram-тегів (@username).
Дезінформація з ШІ та скоординовані інформаційні атаки
Медійники у десяти регіонах виявили та спростували 875 російських фейків і 3736 маніпуляцій лише за серпень — грудень 2025 року. Дезінформація поширювалась з метою дискредитації Президента України, ЗСУ, ТЦК, НАБУ, НГУ, волонтерів, Євросоюзу та його політиків, а також для залякування, нав’язування мовних наративів і перекручення історії.
Штучний інтелект став основним інструментом дезінформаційних кампаній. Видання Texty.org.ua виявило близько півсотні проросійських відеороликів у TikTok із “масовими протестами в Україні”, згенерованих за допомогою ШІ, — вони набрали понад 6 мільйонів переглядів. Facebook заполонили акаунти з псевдовійськовими, які скаржилися на “катастрофічні втрати” і закликали до повалення влади — кампанія мігрувала з TikTok після того, як та платформа почала маркувати ШІ-контент. Родичів українських захисників залякували підробленими ШІ-зображеннями нібито “полонених”, вимагаючи гроші за “викуп”.
Поширювались і класичні фейки: нібито Зеленський має іноземні паспорти й готується втекти; нібито Олена Зеленська організовувала передачу дітей-сиріт “у рабство”; нібито Польща, Франція та Німеччина зобов’язались повернути в Україну 40 тисяч призовників. Для останнього фейку використали реальні кадри зустрічі Коаліції охочих у Парижі, на які наклали вигаданий текст.
Центр протидії дезінформації зафіксував характерну закономірність: підроблені “матеріали західних ЗМІ” незмінно вперше з’являються в російських Telegram-каналах, а вже потім розтиражовуються мережею пропагандистських ресурсів.
Окремої уваги заслуговує ситуація з небезпекою для журналістів у цифровому просторі. Дослідження ГО “Жінки в медіа” показало, що кожна п’ятнадцята журналістка зі 119 опитаних стикалася з онлайн-атаками, створеними за допомогою ШІ, ще 16% спостерігали такі атаки щодо колег. 70% таких інцидентів відбувалися на Facebook. Серед задокументованих випадків — створення deepfake-відео з головною редакторкою “Бабеля” Катериною Коберник та публічне поширення дискредитуючих матеріалів проти журналістів.
Загрози персональним даним і системні ризики
Звіт також фіксує численні випадки порушення права на приватність. У відкритому доступі опинилась незахищена база даних обсягом 96 ГБ із логінами та паролями: Gmail — 48 мільйонів записів, Facebook — 17 мільйонів, Instagram — 6,5 мільйона. Злам Instagram розкрив дані 17,5 мільйона акаунтів. Проти Meta подано позов у Сан-Франциско з твердженням, що компанія здатна читати й зберігати зміст приватних повідомлень WhatsApp, попри заяви про наскрізне шифрування.
На національному рівні ІнАУ офіційно заявила про загрозу безпеці через постанову Кабміну №75, яка передбачає централізований збір даних про всі електронні комунікаційні мережі. На думку асоціації, акумуляція такої інформації в одному місці суттєво підвищує ризики її витоку — через людський фактор або цілеспрямовану кібератаку. ІнАУ закликала терміново відкликати відповідний лист Національного центру управління та переглянути постанову.
Судова практика та тиск на свободу слова
Розділ про судову практику фіксує тривожну тенденцію у справах про захист права на використання імені. Суди дедалі впевненіше визнають абсолютним право підозрюваного на нерозкриття імені до набрання вироком законної сили — навіть за наявності суспільного інтересу. Верховний суд та апеляційні інстанції скасовували рішення нижчих судів, які намагалися збалансувати це право зі свободою слова та принципом гласності.
Автори звіту наголошують, що такий підхід суперечить стандартам Європейського суду з прав людини, за якими право на приватність і право на свободу вираження є рівноправними та мають балансуватись у кожному конкретному випадку. “Подальший розвиток судової практики у цьому напрямі чинитиме значний тиск на свободу слова в Україні”, — попереджають дослідники.
Водночас зафіксовано і позитивні зрушення: Верховний Суд нагадав нижчим інстанціям про необхідність застосовувати стандарти ЄСПЛ у справах щодо гіперпосилань та відповідальності за поширення інформації, а деякі суди демонструють якісніший аналіз фактичних обставин і чіткіше розмежовують факти та оціночні судження.
Нагадаємо, упродовж 2025 року в Україні ширилася хвиля незаконного збору інформації через фішингові посилання. Також були випадки, коли персональну інформацію незаконно поширювали чи використовували з незаконною метою.
Також ZMINA писала, що на 2026 рік одним із пріоритетів уряду є повна гармонізація національного законодавства щодо персональних даних та цифрових послуг із законодавством ЄС.
За оцінкою експертів, в Україні немає механізму та законів, які допомогли б ефективно захистити персональні дані. Зокрема, на це звертав увагу програмний директор Української Гельсінської спілки з прав людини Максим Щербатюк.
У тіньовому звіті, підготовленому Коаліцією громадських організацій до звіту Єврокомісії щодо України у 2024 році, зазначається, що законодавство про захист персональних даних не модернізовано та не узгоджено з базовими нормативними актами ЄС. Закон “Про захист персональних даних” був ухвалений 2010 року, і його можна вважати застарілим: документ не охоплює значної частини актуальних наразі питань захисту персональних даних, зокрема захисту даних у мережі, у процесі диджиталізації державних та комерційних послуг, питання кібербезпеки, високих технологій.
