Голос вашого керівника — діпфейк: як шахраї за допомогою ШІ спустошують рахунки українських компаній у 2026 році (Новини компаній)

Уявіть ситуацію: у понеділок зранку фінансовий директор отримує дзвінок нібито від CEO. На екрані відображається його ім’я, а голос звучить переконливо знайомо. Лунає прохання терміново переказати значну суму для конфіденційної угоди. Переказ виконують, але згодом з’ясовується, що керівник не телефонував. Це був діпфейк.

У 2026 році подібні ситуації стали реальністю для українського бізнесу. Зловмисники націлюються вже не лише на корпоративні рахунки, а й на родини керівників.

Статистика, озвучена Forbes, має жахнути кожного генерального директора: 85% організацій у 2025 році стикнулися щонайменше з однією атакою з використанням діпфейків. І кількість інцидентів лише зростає. Для клонування голосу сьогодні достатньо трьох-п’яти секунд аудіо.

Цитуючи Deloitte («Делойт» — одна з найбільших у світі мереж аудиторських та консалтингових компаній, що працює у понад 150 країнах, зокрема в Україні), до 2027 року обсяг шахрайства із застосуванням штучного інтелекту може сягнути 40 мільярдів доларів.

У своїй практиці я все частіше стикаюся з подібними кейсами. І скажу прямо: проблема тільки набирає обертів. Я виявив, що багато керівників навіть не уявляють, наскільки вони насправді вразливі. Далі буде чіткий розбір, як працює ця схема і як захистити компанію.

Технологія на службі у злочинців: що таке голосові діпфейки?

Голосовий діпфейк — це синтетично відтворене мовлення людини. Його формують за допомогою алгоритмів штучного інтелекту. Програмі дають кілька секунд або хвилин запису голосу, а вона «вивчає» тембр, ритм, манеру говорити, паузи. Далі система може озвучити будь-який текст так, ніби це говорить конкретна людина.

Раніше для цього потрібні були години записів і дорогі технології. У 2026 році достатньо кількох уривків з інтерв’ю, виступу на конференції або відео в LinkedIn. Іноді вистачає навіть запису з попереднього телефонного дзвінка.

Я вважаю, що головна небезпека не в самій технології, а в її доступності. Сервіси з генерації голосу стали дешевими, інтуїтивними та масовими. Відрізнити підробку «на слух» майже неможливо. Особливо якщо дзвінок супроводжується терміновістю і людина в паніці благає про негайну допомогу.

Тематичні дослідження демонструють тривожну картину: рівень розпізнавання високоякісних діпфейків людиною становить лише близько 24,5%. Навіть досвідчені фахівці з безпеки не здатні стабільно й надійно відрізнити підроблений голос від справжнього.

На мою думку, людський слух просто не пристосований до такого рівня імітації. Без спеціальної підготовки або технічних інструментів різниця між реальним голосом і клонованим майже не відчувається.

Анатомія атаки: покрокова схема крадіжки корпоративних грошей

Подібні атаки мають чітко структурований сценарій. Його етапи майже не змінюються від однієї компанії до іншої, і я неодноразово спостерігав цю схему в реальних кейсах.

Крок 1: Розвідка (OSINT)

OSINT (Open Source Intelligence) — це розвідка з відкритих джерел. І вона працює лякаюче просто. Злочинці оперують лише тим, що вже лежить у загальному доступі.

Вивчається структура компанії. Хто CEO, хто CFO, хто підписує платежі. Аналізуються соцмережі, пресрелізи, YouTube-виступи, подкасти. Паралельно шукають зразки голосу керівника.

Часто додатково використовуються фішингові листи, щоб отримати внутрішню інформацію: шаблони підписів, стиль комунікації, навіть графік відряджень. Усе це формує повну картину.

З мого досвіду аудиту інцидентів видно, що етап розвідки може тривати тижнями. А компанія навіть не підозрює, що її вже «вивчають».

Крок 2: Створення клону

Далі запускається процес клонування голосу керівника. Спеціальні ШІ-моделі аналізують запис і будують цифровий профіль голосу. Це математична модель, яка відтворює звучання майже ідеально.

У 2024–2025 роках ще можна було почути штучність. У 2026 цього вже немає. Інтонації, паузи, навіть характерні акценти або покашлювання копіюються, і розрізнити реальний голос від клону майже неможливо.

Якість синтезу настільки висока, що сподіватися на власний слух небезпечно. Дрібні технічні огріхи трапляються дедалі рідше, і розраховувати на те, що співробітник «щось запідозрить», — стратегічна помилка.

Крок 3: Психологічний тиск

Це ключовий момент. Без нього атака не спрацює. Зловмисники телефонують співробітнику з доступом до фінансів. Найчастіше це CFO або головний бухгалтер. Далі створюється атмосфера терміновості:

• «Угода під NDA, ніхто не має знати».
• «Рішення треба прийняти зараз».
• «Не можна підключати інших».

Вони підсилюють ефект паніки, часто включаючи особисті деталі: згадують про проєкти, попередні розмови або навіть родинні обставини. Тут працює соціальна інженерія. Це спосіб маніпуляції людьми, коли замість зламу систем зловмисники «тиснуть» на людську слабкість і довіру.

Я переконаний, що саме психологія, а не технологія, є головною зброєю в цій схемі. Поєднання авторитету керівника та стресу часто призводить до того, що підлеглі втрачають здатність до критичного мислення.

Крок 4: Переказ коштів

Співробітник, впевнений, що виконує наказ керівника, переказує кошти на рахунки шахраїв. З мого досвіду, навіть очевидні сигнали підозри або внутрішнє відчуття неправильності ситуації часто ігноруються через страх порушити «термінові» інструкції.

Зазвичай це рахунки в інших юрисдикціях або через ланцюг компаній-прокладок. Після переказу кошти швидко «розчиняються». Повернути їх майже неможливо. Банківські розслідування тривають місяцями. Результат рідко позитивний.

Масштаб проблеми в Україні: від поодиноких випадків до системної загрози

Маючи великий досвід роботи в протидії соціальній інженерії, можу сказати наступне. Якщо у 2024–2025 роках це виглядало як експерименти, то у 2026-му такі атаки стали системними:

• IT-компанія з Києва. Клон голосу засновника. Спроба переказу 250 тисяч євро на «партнерський рахунок». Зупинили в останню хвилину через випадкову перевірку.
• Агрохолдинг з центральної України. Фінансовий директор отримує дзвінок «від власника» під час посівної. Сума — 1,2 млн доларів. Гроші втрачені.
• Ритейл-мережа. Імітація голосу регіонального директора для зміни реквізитів постачальника. Класична схема, але з новим інструментом.

Це приклади з моєї практики, які я описую без назв, але з реальними цифрами. Подібних кейсів стає більше.

Атаки сучасного кіберпростору настільки складні, що базові фреймворки вже не рятують бізнес. Необхідно реалізовувати комплексну стратегію захисту. Саме тому багато компаній звертаються до зовнішніх експертів, щоб розробити індивідуальну модель безпеки та грамотно впровадити її в усі бізнес-процеси.

Після глибокого аналізу інцидентів я бачу чітку тенденцію: без системного підходу компанія залишається вразливою. Це вже не питання «чи станеться», а «коли».

Як не стати жертвою: практичні кроки для захисту бізнесу

Голосові діпфейки неможливо просто викреслити з реальності — технологія вже тут. Проте ризики можна суттєво мінімізувати. Надійний захист тримається не лише на інструментах, а й на дисципліні команди. Пропоную практичний список дій, які допоможуть захистити бізнес.

1. Впровадження «стоп-слова»

Секретна фраза для усної верифікації. Якщо керівник телефонує з терміновим фінансовим запитом, співробітник має право запитати контрольне слово. Це проста і дуже ефективна практика. Діпфейк не знатиме секретної фрази.

2. Правило подвійної верифікації

Будь-який позаплановий платіж має підтверджуватися через інший канал зв’язку. Наприклад:

• відеодзвінок у захищеному месенджері;
• повідомлення в корпоративній системі;
• письмове підтвердження через внутрішній портал.

Ключове — незалежний канал. Якщо був дзвінок, підтвердження має бути не через той самий номер.

3. Навчання персоналу

Соціальна інженерія працює там, де немає знань. Регулярні тренінги для фінансового відділу мають включати:

• розбір реальних сценаріїв;
• моделювання стресових ситуацій;
• пояснення принципів роботи діпфейків.

Я проводжу такі сесії й бачу, як змінюється реакція людей після навчання. Обізнаність знижує ризик у рази.

4. Аудит публічної інформації

Необхідно перевірити, які записи голосу керівників доступні у відкритому доступі. Можливо, варто:

• обмежити публікацію повних виступів;
• зменшити обсяг відкритих відеоматеріалів;
• контролювати записи внутрішніх подій.

Повністю сховатися неможливо, але зменшити «сировину» для шахраїв реально.

5. Чіткий фінансовий регламент

Жодна усна вказівка не повинна бути підставою для великого переказу. Навіть якщо голос звучить абсолютно переконливо. Регламент має бути сильнішим за авторитет. Спершу документ, потім транзакція. З мого професійного досвіду можу сказати, що компанії з жорсткими процедурами майже не стають жертвами таких схем.

Висновок

Діпфейк-шахрайство — це не тимчасова хвиля. Це новий вектор кіберзагроз. І він буде лише розвиватися разом із технологіями штучного інтелекту.

Я вважаю, що головний захист — це поєднання технологічних рішень і людської пильності. Антивірус не розпізнає підроблений голос у телефонній розмові. Але правильно вибудувана культура безпеки зупинить атаку.

Ігнорування проблеми сьогодні означає фінансові втрати завтра. Без системного підходу бізнес залишається відкритим для маніпуляцій.

Рішення прості: запровадження стоп-слова, подвійної перевірки, регулярного навчання персоналу та чітких регламентів. Це нескладні кроки, які здатні врятувати мільйони гривень.

Про автора

Ярослав Гордійчук понад п’ять років працює у сфері кібербезпеки. Освіту здобув на факультеті «Кібербезпека» Економіко‑гуманітарного університету у Варшаві. Його професійний шлях почався у Центрі управління безпекою, де щодня доводилося мати справу з реальними атаками. Від банального фішингу до складних цільових інцидентів.

Сьогодні Ярослав — незалежний консультант, який допомагає українському бізнесу захищати фінанси та дані. Він спеціалізується на протидії соціальній інженерії та ризикам, пов’язаним зі штучним інтелектом. Автор численних публікацій і спікер галузевих конференцій, Ярослав прагне зробити складні речі зрозумілими й корисними для бізнесу.