Фішинговий лист від податкової: як розпізнати підроблене повідомлення ДПС і не заразити комп’ютер

Короткий опис: Фішинговий лист від податкової може виглядати як справжнє повідомлення ДПС, але насправді вести на шахрайський сайт або завантажувати небезпечний файл. Нижче — практична інструкція, як перевірити лист, знайти підозрілий домен, не відкрити шкідливе вкладення та правильно діяти, якщо ви вже натиснули на посилання.

Підроблені листи від імені податкової служби — одна з найнебезпечніших схем для бухгалтерів, ФОП, керівників компаній і звичайних користувачів. Шахраї добре розуміють, що слова «ДПС», «акт перевірки», «розбіжності у звітності», «адміністративний арешт активів» або «терміново до 20:00» змушують людину нервувати. Саме на цьому і будується атака.

Зовні такий лист може виглядати переконливо: у шапці написано «Державна податкова служба», є номер документа, дата, нібито PDF-файл, кнопка для завантаження документів і офіційний тон. Але якщо уважно подивитися на технічні деталі, стає зрозуміло: це не лист від ДПС, а фішингова розсилка.

Головна небезпека в тому, що користувач може натиснути на кнопку, завантажити файл, ввести логін і пароль на підробленому сайті або відкрити документ із шкідливим кодом. У результаті зловмисники можуть отримати доступ до пошти, бухгалтерських сервісів, банківських кабінетів, електронних ключів, CRM, 1С, BAS або файлів компанії.

Коли виникає проблема або навіщо це потрібно

Проблема виникає тоді, коли на електронну пошту приходить повідомлення, яке виглядає як офіційний лист від ДПС України. У ньому можуть писати про порушення, перевірку, борг, розбіжності у звітності, необхідність надати пояснення або терміново завантажити акт.

Найчастіше такі листи отримують:

бухгалтери, які щодня працюють зі звітністю, податками, ПДВ, зарплатою, ФОП та ТОВ;
підприємці, які мають електронну пошту у відкритому доступі на сайті або в реєстрах;
керівники компаній, які можуть зреагувати на загрозу штрафів або блокування активів;
офісні працівники, які не завжди перевіряють технічні заголовки листа;
користувачі, які звикли відкривати PDF-документи без додаткової перевірки.

Шахрайські листи часто створюють відчуття терміновості. Наприклад, у тексті може бути написано, що ознайомитися з документами потрібно до кінця дня. Це класичний психологічний прийом: людині не дають часу подумати, перевірити домен, зайти в офіційний кабінет або порадитися з адміністратором.

Офіційна комунікація з податковою не повинна змушувати вас завантажувати документи зі сторонніх сайтів. Якщо повідомлення справді важливе, його потрібно перевіряти через офіційний Електронний кабінет платника податків, а не через кнопку в листі.

Найшвидший спосіб

Найшвидший спосіб перевірити фішинговий лист від податкової — не читати тільки красивий текст у тілі листа, а подивитися на три речі: реальну адресу відправника, домен посилання та наявність повідомлення в офіційному кабінеті платника.

Що перевірити	Нормальна ситуація	Ознака фішингу
Адреса відправника	Лист має бути пов’язаний з офіційним доменом державного органу	У полі відправника видно сторонній домен, дивну пошту або замасковану адресу
Посилання в кнопці	Веде на офіційний ресурс або кабінет платника	Веде на невідомий сайт, рекламний домен, скорочене посилання або підозрілий PHP-файл
Звернення в листі	Є конкретні дані платника, номер документа, реквізити, офіційна структура	Написано загально: «Шановний платнику податків» без ПІБ, ЄДРПОУ або ІПН
Термін виконання	Строки відповідають процедурі та не виглядають як паніка	Пишуть «терміново», «до 20:00», «сьогодні», «інакше арешт активів»
Вкладення	Документи доступні через офіційний кабінет	Пропонують завантажити PDF, ZIP, DOC або Excel зі стороннього сайту

Якщо хоча б один із цих пунктів виглядає підозріло, не відкривайте файл і не натискайте кнопку. Краще зайдіть до офіційного кабінету вручну через браузер, ввівши адресу самостійно, а не переходячи з листа.

Покрокова інструкція

Не натискайте на кнопку в листі. Навіть якщо вона називається «Завантажити документи», «Переглянути акт», «Ознайомитися з повідомленням» або «Відкрити кабінет», не переходьте одразу. Шахраї часто роблять кнопку в офіційних кольорах, додають емблеми, номер документа та красивий HTML-дизайн. Це не підтверджує справжність листа.
Перевірте реальну адресу відправника. У поштовій програмі або вебпошті відкрийте деталі відправника. Не дивіться тільки на назву, бо вона легко підробляється. Напис «ДПС України» або «Податкова служба» може бути звичайним текстом у полі From. Дивіться саме домен після символу @. Якщо там сторонній домен, дивна комбінація букв або сайт, який не має відношення до державних сервісів, лист потрібно вважати підозрілим.
Наведіть курсор на посилання, але не натискайте. У більшості поштових клієнтів при наведенні курсора знизу показується реальна адреса. Якщо кнопка нібито веде до податкової, але фактично відкриває інший домен, це майже напевно фішинг. Особливо небезпечні посилання з довгими параметрами, PHP-файлами, незрозумілими символами або рекламними доменами.
Перевірте лист через офіційний Електронний кабінет платника. Відкрийте браузер і самостійно перейдіть на офіційний сайт ДПС або в Електронний кабінет. Не використовуйте посилання з листа. Якщо в кабінеті немає такого повідомлення, акту перевірки або вимоги, значить електронний лист не можна вважати офіційним документом.
Оцініть текст листа. Фішингові повідомлення часто використовують загальні фрази без конкретики. Наприклад: «за вашим ідентифікаційним кодом зафіксовано розбіжності», але сам код не вказаний. Або пишуть про «адміністративний арешт активів», але без реквізитів документа, посадової особи, підстави та повної юридичної інформації. Такий стиль більше схожий на залякування, ніж на офіційну комунікацію.
Не відкривайте вкладення без перевірки. Назва файлу може виглядати переконливо: «Акт_перевірки.pdf», «Повідомлення_ДПС.pdf», «Документи_до_перевірки.zip». Але всередині може бути шкідливий файл, скрипт, архів із паролем або документ, який змушує користувача ввімкнути макроси. Якщо файл справді від податкової, його краще завантажити з офіційного кабінету.
Перевірте заголовки листа, якщо маєте технічний доступ. У заголовках можна побачити SPF, DKIM, DMARC, реальний сервер відправлення та домени, які брали участь у доставці. Якщо візуально лист маскується під податкову, але технічні заголовки показують сторонні домени, це серйозний сигнал. Така перевірка особливо корисна для системних адміністраторів і власників корпоративної пошти.
Позначте лист як спам або фішинг. Якщо поштовий сервіс має кнопку «Поскаржитися на фішинг», використайте її. Це допоможе поштовому провайдеру швидше блокувати подібні розсилки. Для корпоративної пошти бажано також передати приклад листа адміністратору, щоб він додав домен або IP-адресу до фільтрів.
Повідомте працівників або клієнтів. Якщо лист прийшов бухгалтеру, керівнику або на загальну пошту компанії, є ризик, що подібну розсилку отримали й інші співробітники. Краще коротко попередити команду: не відкривати листи з подібною темою, не натискати кнопки та не завантажувати документи.

Корисні поради

Перевіряйте не назву відправника, а технічну адресу. У полі «Від кого» шахрай може написати будь-що: «ДПС», «Податкова», «Електронний кабінет», «Служба підтримки». Це лише текст. Реальне значення має домен пошти та сервер, з якого прийшов лист. Якщо домен виглядає стороннім або не пов’язаний з офіційною установою, краще не ризикувати.
Не довіряйте листу тільки через те, що SPF або DKIM показують pass. Це маловідомий, але важливий нюанс. SPF і DKIM можуть бути успішними для шахрайського домену. Тобто лист справді міг бути надісланий із дозволеного сервера, але для підробленого домену, який не має відношення до ДПС. Тому pass у технічних заголовках не означає, що лист офіційний.
Зберігайте правило: усі важливі документи перевіряти тільки через офіційний кабінет. Це найкраща звичка для бухгалтера або підприємця. Якщо в листі написано про перевірку, акт, штраф, заборгованість або розбіжності, не переходьте за посиланням. Відкрийте офіційний кабінет вручну і перевірте інформацію там.
Обережно ставтеся до листів із терміновими дедлайнами. Фрази «до 20:00 сьогодні», «негайно», «останнє попередження», «уникнути блокування», «термінове повідомлення» часто використовуються саме в шахрайських розсилках. Офіційні процедури рідко виглядають як ультиматум на кілька годин у звичайному електронному листі.
Не відкривайте документи з архівів, якщо вони прийшли без попередження. ZIP, RAR, 7Z, ISO, HTML-файли та документи з макросами — часті інструменти фішингових атак. Навіть PDF варто перевіряти обережно, бо інколи він містить посилання на фішингову сторінку або використовується як проміжний етап атаки.
Використовуйте окремий браузерний профіль для роботи з податковими сервісами. Це практичний лайфхак для бухгалтерів. Окремий профіль Chrome, Edge або Firefox збережe робочі закладки, сертифікати, доступи до кабінетів і не буде змішуватися з особистими сайтами, рекламою та випадковими посиланнями. Так менше шансів випадково ввести пароль не там.
Увімкніть двофакторну автентифікацію всюди, де це можливо. Пошта, хостинг, CRM, банкінг, облікові записи Google або Microsoft мають бути захищені додатковим підтвердженням входу. Якщо шахраї отримають пароль, двофакторна автентифікація може зупинити несанкціонований доступ.
Навчіть співробітників перевіряти посилання перед натисканням. Одна помилка секретаря, бухгалтера або менеджера може створити проблему для всієї компанії. Коротка інструкція на одну сторінку з прикладами фішингових листів іноді захищає краще, ніж дорогий антивірус без правильної поведінки користувачів.

Поширені помилки

Найпоширеніша помилка — довіряти зовнішньому вигляду листа. Користувач бачить синю шапку, офіційний текст, номер документа, фразу «Державна податкова служба» і вважає, що лист справжній. Але HTML-шаблон можна зробити за кілька хвилин. Для шахраїв це звичайна технічна робота.

Друга типова помилка — натискати кнопку, бо «це ж просто PDF». Насправді кнопка може вести не на PDF, а на проміжну сторінку, де користувача попросять ввести пароль, завантажити архів або відкрити файл. Іноді посилання спочатку виглядає безпечно, але після переходу робить редирект на інший ресурс.

Третя помилка — пересилати підозрілий лист колегам із текстом «подивіться, що це». Якщо пересилати лист у повному вигляді, інша людина також може випадково натиснути посилання. Краще зробити скріншот або переслати адміністратору як вкладення для аналізу, якщо в компанії є така процедура.

Четверта помилка — відкривати вкладення на основному робочому комп’ютері, де збережені ключі, паролі, доступи до банку, бухгалтерські бази та документи клієнтів. Якщо вже потрібно перевірити файл, це має робити технічний спеціаліст у безпечному середовищі, а не бухгалтер на основному ПК.

П’ята помилка — ігнорувати ситуацію після кліку. Якщо користувач уже перейшов за посиланням або завантажив файл, не можна просто закрити вікно і забути. Потрібно перевірити систему, змінити паролі, переглянути активні сесії в пошті та переконатися, що не було підозрілих входів.

Що робити, якщо ви вже натиснули на посилання

Якщо ви просто відкрили сторінку, але нічого не завантажували і не вводили дані, ризик нижчий, але перевірку все одно краще зробити. Закрийте сторінку, очистіть історію завантажень, перевірте, чи не з’явилися нові файли у папці «Завантаження», і запустіть перевірку антивірусом.

Якщо ви завантажили файл, але не відкривали його, видаліть файл і очистіть кошик. Потім перевірте комп’ютер захисним ПЗ. Не пересилайте цей файл іншим людям без потреби.

Якщо файл було відкрито, потрібно діяти серйозніше:

Від’єднайте комп’ютер від інтернету, якщо після відкриття з’явилися підозрілі вікна, помилки, нові процеси або різке навантаження на систему.
Запустіть повну перевірку антивірусом або Microsoft Defender.
Перевірте папку автозавантаження, планувальник завдань Windows і список встановлених програм.
Змініть паролі до пошти, банківських сервісів, CRM, хостингу та інших важливих акаунтів з іншого чистого пристрою.
Перевірте активні сесії в Google, Microsoft, поштовому сервісі та вийдіть із невідомих пристроїв.
Якщо на комп’ютері зберігалися електронні ключі, повідомте відповідальну особу або бухгалтера і перевірте, чи не було несанкціонованих дій.

Як перевірити лист технічно

Для звичайного користувача достатньо перевірити адресу відправника та посилання. Але системний адміністратор або технічний спеціаліст може подивитися глибше — у заголовки листа. Саме там видно реальний маршрут повідомлення, сервери, IP-адреси та результати автентифікації.

У заголовках варто звернути увагу на такі поля:

Поле	Що означає	На що звертати увагу
Return-Path	Адреса, куди повертаються помилки доставки	Якщо домен не збігається з очікуваним, це підозріло
Received	Маршрут проходження листа через сервери	Можна побачити, з якого сервера фактично прийшов лист
SPF	Перевірка дозволеного сервера для домену	Pass не гарантує, що домен справжній, якщо сам домен шахрайський
DKIM	Криптографічний підпис домену	Важливо, який саме домен підписав лист
DMARC	Політика перевірки відповідності доменів	Відсутність або слабка політика може бути додатковим сигналом
Message-ID	Унікальний ідентифікатор листа	Часто містить домен реального сервера відправки

Практичний нюанс: якщо в листі візуально написано один домен, а в технічних заголовках фігурують зовсім інші домени, не потрібно шукати виправдання. Це вже достатній привід вважати повідомлення небезпечним.

Як захистити бухгалтерію та офіс від таких листів

Для компанії важливо не лише видалити один конкретний лист, а й зменшити шанс повторення ситуації. Фішинг часто приходить хвилями: сьогодні лист отримав один бухгалтер, завтра — інший працівник, післязавтра — загальна пошта компанії.

Налаштуйте поштові фільтри. Додайте підозрілі домени, IP-адреси та характерні теми листів у спам-фільтр. Якщо використовується корпоративна пошта, краще налаштовувати правила централізовано.
Забороніть виконувані вкладення. У багатьох компаніях немає реальної потреби отримувати EXE, JS, VBS, SCR, ISO або архіви з невідомих джерел. Такі файли краще блокувати на рівні пошти.
Обмежте права користувачів. Бухгалтер або менеджер не повинен працювати під обліковим записом адміністратора Windows. Якщо шкідливий файл запуститься з обмеженими правами, шкода може бути меншою.
Робіть резервні копії. Якщо атака завершиться шифруванням файлів, саме резервна копія може врятувати компанію. Копії повинні зберігатися окремо, а не просто на тому ж комп’ютері або в тій самій мережевій папці.
Проводьте короткі інструктажі. Достатньо раз на кілька місяців показати працівникам реальні приклади фішингових листів. Люди краще запам’ятовують конкретні ситуації, ніж абстрактні правила кібербезпеки.

Часті запитання

Як зрозуміти, що лист від податкової несправжній?

Перевірте домен відправника, посилання в кнопках, наявність конкретних реквізитів і повідомлення в офіційному Електронному кабінеті платника. Якщо лист веде на сторонній сайт, використовує термінові погрози або не містить ваших конкретних даних, це дуже схоже на фішинг.

Чи може шахрайський лист мати гарний дизайн і логотип ДПС?

Так. Логотип, кольори, таблиці, кнопки та офіційні формулювання легко скопіювати. Дизайн не є доказом справжності. Перевіряти потрібно технічні деталі: адресу відправника, домен посилання, заголовки листа та наявність документа в офіційному кабінеті.

Чи безпечно відкривати PDF із листа від податкової?

Не завжди. PDF може бути просто приманкою, містити небезпечне посилання або бути частиною багатокрокової атаки. Якщо документ справді стосується податкової, безпечніше зайти в Електронний кабінет платника вручну і перевірити його там.

Що робити, якщо я натиснув кнопку «Завантажити документи»?

Закрийте сайт, нічого не вводьте і перевірте папку завантажень. Якщо файл завантажився — не відкривайте його. Запустіть перевірку антивірусом. Якщо ви вводили пароль або відкривали файл, змініть паролі з іншого пристрою та перевірте активні сесії у своїх акаунтах.

Чому шахраї пишуть про арешт активів або штрафи?

Такі фрази потрібні для психологічного тиску. Людина боїться проблем із податковою і швидше натискає на кнопку. Це типовий прийом соціальної інженерії: створити страх, обмежити час на роздуми і змусити виконати потрібну дію.

Чи достатньо того, що поштовий сервіс показав SPF або DKIM pass?

Ні. SPF і DKIM можуть підтверджувати справжність відправлення для домену шахраїв, а не для офіційного домену податкової. Тому потрібно дивитися, який саме домен пройшов перевірку, а не тільки слово pass.

Як бухгалтеру безпечно працювати з листами від державних органів?

Найкраща практика — не відкривати документи з листів напряму, а перевіряти всі важливі повідомлення через офіційні кабінети. Також бажано мати окремий браузерний профіль для податкових сервісів, увімкнену двофакторну автентифікацію та актуальний антивірусний захист.

Чи потрібно повідомляти адміністратора про підозрілий лист?

Так, особливо якщо це робоча пошта. Адміністратор може перевірити заголовки листа, заблокувати домен, оновити правила фільтрації та попередити інших співробітників. Це допомагає зупинити розсилку до того, як хтось відкриє небезпечне посилання.

Чи може фішинговий лист заразити комп’ютер без відкриття файлу?

У більшості випадків простого перегляду листа недостатньо для зараження, якщо поштовий клієнт і браузер оновлені. Основний ризик виникає після переходу за посиланням, завантаження файлу, відкриття вкладення або введення логіна і пароля на підробленому сайті.

Як перевірити, чи немає реального повідомлення від ДПС?

Відкрийте офіційний Електронний кабінет платника податків вручну через браузер і перевірте розділ повідомлень. Якщо в кабінеті немає документа, який згадується в листі, не варто довіряти електронному повідомленню зі сторонніми посиланнями.