AI шахрайство стало одним із найбільших ризиків для бізнесу: дипфейк-дзвінки від “директора”, фішинг-листи, написані без єдиної помилки, та підроблені голоси у відеоконференціях щодня обходяться компаніям у мільйони доларів. Цей туторіал допоможе вам налаштувати багаторівневий захист за 2-3 години — навіть якщо у вас малий бізнес без окремого IT-відділу. Для старту вам знадобиться доступ до корпоративної пошти, месенджера команди та 20-30 хвилин часу кожного з ключових співробітників.
🛠️ Що знадобиться
- Hiya Deepfake Voice Detector — безкоштовний додаток для iOS/Android, який у реальному часі аналізує вхідні дзвінки на ознаки AI-генерації голосу
- Google Workspace або Microsoft 365 — платформи з вбудованими фільтрами AI-фішингу та верифікацією відправника (від $6/міс на користувача)
- Reality Defender або Sensity AI — веб-сервіс для перевірки зображень, відео та аудіо на дипфейки; є безкоштовний тариф з лімітом 10 перевірок на день
- Bitwarden або 1Password Teams — менеджер паролів з функцією двофакторної автентифікації для всієї команди (від $3/міс на користувача)
- Slack або Microsoft Teams — корпоративний месенджер для впровадження кодових слів верифікації між співробітниками
📋 Покрокова інструкція
Крок 1: Аудит поточних вразливостей — знайди слабкі місця
Перш ніж щось захищати, потрібно зрозуміти, де саме ви вразливі. Зайдіть на сайт haveibeenpwned.com і перевірте всі корпоративні email-адреси — якщо вони фігурують у витоках, ваші дані вже можуть бути в базах шахраїв. Далі відкрийте LinkedIn та подивіться, яка інформація про ваших ключових співробітників є у відкритому доступі: посада, контакти, голос у публічних відео — усе це є сировиною для AI-атак. Запишіть у таблицю всі знайдені ризики та пріоритезуйте їх за рівнем загрози — це стане вашим планом дій на наступні кроки.
Крок 2: Налаштування захисту корпоративної пошти від AI-фішингу
Увійдіть до адмін-панелі Google Workspace: відкрийте admin.google.com → Apps → Google Workspace → Gmail → Safety. У розділі “Spoofing and authentication” активуйте всі три перемикачі: “Protect against domain spoofing”, “Protect against inbound emails spoofing your domain” та “Protect against any unauthenticated emails”. Далі перейдіть у розділ “Enhanced pre-delivery message scanning” і увімкніть його — це дозволить Google аналізувати посилання навіть у зашифрованих листах. Для Microsoft 365 шлях аналогічний: Security → Policies → Anti-phishing → увімкніть “Enable mailbox intelligence” та виставте рівень агресивності фільтру на “Aggressive”. Після налаштування надішліть тестовий фішинг-лист через сервіс phishtank.org, щоб перевірити, чи фільтр його блокує.
Крок 3: Впровадження системи кодових слів для верифікації
Це найпростіший, але надзвичайно ефективний захист від дипфейк-дзвінків. Зберіть команду (онлайн або офлайн) і для кожної пари “керівник — підлеглий” придумайте унікальне кодове слово верифікації — наприклад, щось нейтральне на кшталт назви міста або предмету. Запишіть їх у захищений документ у Bitwarden або 1Password і нікому не повідомляйте за межами компанії. Встановіть правило: будь-який запит на переказ коштів, надання доступів або зміну реквізитів — незалежно від того, хто дзвонить і як переконливо звучить — підтверджується тільки після того, як ініціатор назве кодове слово у текстовому повідомленні в корпоративному Slack. Поясніть команді: якщо хтось тисне і каже “нема часу на верифікацію” — це майже напевно шахрай.
Крок 4: Встановлення інструментів для виявлення дипфейків
Зайдіть на сайт realitydefender.com → натисніть “Try for Free” → зареєструйтесь через корпоративну пошту. Після входу ви побачите дашборд з кнопкою “Upload File” — сюди можна завантажувати підозрілі відео, аудіозаписи або зображення для перевірки. Для перевірки у реальному часі під час відеодзвінків встановіть розширення Reality Defender для Chrome: відкрийте Chrome Web Store → знайдіть “Reality Defender” → натисніть “Add to Chrome”. Після встановлення іконка з’явиться у правому верхньому куті браузера — під час відеодзвінку у Google Meet або Zoom натисніть на неї, і сервіс почне аналізувати відео в реальному часі, показуючи відсоток імовірності дипфейку. На смартфони ключових співробітників встановіть Hiya: App Store або Google Play → “Hiya” → увімкніть у налаштуваннях телефону як “Phone app” за замовчуванням.
Крок 5: Навчання команди та регулярні тести на стійкість
Технічні інструменти не врятують, якщо співробітники не знають правил. Проведіть 30-хвилинний воркшоп: покажіть реальні приклади AI-фішингу (їх є безліч на сайті awarenessteam.com у розділі Examples) і змоделюйте ситуацію — зателефонуйте самі, імітуючи “директора”, та подивіться, хто з команди попросить кодове слово, а хто виконає запит без перевірки. Далі підпишіться на безкоштовний сервіс KnowBe4 Free або GoPhish — вони щомісяця надсилатимуть симульовані фішинг-листи вашим співробітникам і показуватимуть статистику, хто клікнув. Наприкінці виробіть і задокументуйте чіткий протокол: що робити, якщо атака все ж відбулася — кому дзвонити, які системи відключати, як повідомляти партнерів і клієнтів. Збережіть цей документ у хмарі та роздрукуйте фізично — під час кризи інтернет може бути недоступний.
⚠️ Типові помилки та як їх уникнути
- Верифікація через той самий канал, яким прийшов запит — якщо вам написали у WhatsApp з проханням переказати гроші, не перевіряйте там само: напишіть або зателефонуйте на відомий вам заздалегідь номер через інший канал, бо акаунт може бути зламаний
- Ігнорування внутрішніх загроз — налаштуйте у Google Workspace або Microsoft 365 логування всіх дій із фінансовими документами та доступами; перевіряйте логи раз на тиждень, адже AI-інструменти іноді використовують самі ж співробітники для маніпуляцій
- Одноразове навчання команди — AI-методи шахрайства оновлюються щомісяця, тому навчання має бути регулярним: заплануйте у календарі короткий 15-хвилинний брифінг раз на квартал із новими прикладами атак
- Відсутність ліміту на фінансові операції без підтвердження — у банківському застосунку або системі обліку встановіть правило: будь-який переказ понад суму, яку ви визначите самостійно, вимагає підтвердження від двох осіб із різних пристроїв
💡 Поради для кращого результату
По-перше, попросіть бухгалтера та HR-менеджера закрити або обмежити свої профілі в LinkedIn — саме вони найчастіше стають мішенями, бо мають доступ до грошей і персональних даних. По-друге, налаштуйте у своєму банку SMS-сповіщення на кожну транзакцію і окремий “тихий” номер телефону для фінансових операцій, який не публікується ніде публічно — це різко знижує ризик SIM-swap атак. По-третє, якщо ви отримали підозрілий відеозапис від партнера чи клієнта, поставте йому запитання про подію, яку знаєте лише ви двоє — AI-модель не зможе відповісти. По-четверте, зберігайте окремий офлайн-список контактів ключових партнерів і постачальників: якщо шахрай зламає їхню пошту й напише вам від їхнього імені, у вас буде можливість зателефонувати на реальний номер і перевірити.
❓ Часті запитання (FAQ)
1. Чи можна визначити дипфейк на слух під час дзвінка?
Іноді — так: звертайте увагу на незначні затримки перед відповідями, механічні паузи та відсутність природних звуків дихання. Але сучасні моделі стають дедалі реалістичнішими, тому покладатися лише на слух не варто — завжди використовуйте кодове слово та технічні інструменти.
2. Що робити, якщо атака вже відбулася і гроші переказані?
Негайно зателефонуйте до банку на гарячу лінію та вимагайте заморозити транзакцію — у більшості випадків є вікно 24-72 години для відкликання переказу. Паралельно подайте заяву до кіберполіції України через сайт cyberpolice.gov.ua та збережіть усі докази: скріншоти, записи дзвінків, листи.
3. Чи підходять ці інструменти для малого бізнесу з 3-5 людьми?
Абсолютно так — більшість описаних рішень мають безкоштовні тарифи, а система кодових слів не коштує нічого. Для мікробізнесу найважливіше — навчання та чіткі протоколи, а не дорогі технічні рішення.
4. Як шахраї отримують голос або обличчя нашого керівника для дипфейку?
Найчастіше беруть публічні відео з YouTube, TikTok, записи вебінарів або інтерв’ю — іноді достатньо 30 секунд аудіо. Тому варто обмежити кількість публічних виступів у відкритому доступі або принаймні видалити старі відео, якість яких дозволяє легке клонування.
5. Чи є юридична відповідальність за AI шахрайство в Україні?
Так — використання дипфейків для шахрайства підпадає під статтю 190 ККУ (шахрайство) та статтю 361 (несанкціоноване втручання в роботу комп’ютерних систем), із покаранням до 8 років позбавлення волі. Фіксуйте всі докази та не соромтесь звертатися до кіберполіції навіть у разі невдалої спроби атаки.
🏁 Підсумок
Після виконання всіх кроків ви отримаєте багаторівневий захист: технічні фільтри на рівні пошти та відеодзвінків, людський протокол верифікації через кодові слова та навчену команду, яка знає, як діяти у кризовій ситуації. Це не робить вас на 100% невразливими, але різко підвищує вартість атаки для шахраїв — і більшість із них просто перейде до легших цілей.
Почніть прямо зараз із найпростішого: проведіть сьогодні ж 10-хвилинну розмову з командою та домовтеся про кодові слова — це нічого не коштує і захищає від найпоширенішого сценарію атаки. Завтра займіться налаштуванням пошти, а наприкінці тижня встановіть інструменти для виявлення дипфейків. Послідовність і регулярність — ваша найкраща зброя.
РОЗСИЛКА
📬 Щотижневий AI-дайджест
Найкращі статті про ШІ та автоматизацію — без спаму, лише суть
Без спаму · Відписатись будь-коли