СМС про посилку від шахраїв: як працює схема і як захиститися

ОКОлена Кравченко · Оновлено 13 червня 2026 · 13 хв читання ·оцініть статтю

Розбираємо, як шахраї розсилають фейкові СМС про посилки нібито від Нової пошти та Укрпошти, як відрізнити підробку за 10 секунд і що робити, якщо ви вже ввели дані картки.

СМС про посилку від шахраїв: як працює схема і як захиститися — Ілюстрація: редакція refsmarket

Зміст

Як працює схема з фейковим СМС про посилку?
Які повідомлення найчастіше розсилають шахраї?
Як відрізнити фейкове СМС від справжнього?
Чому ця схема спрацьовує навіть на досвідчених покупцях?
До чого тут мито і чому 'доплата за розмитнення' - брехня?
Що робити, коли отримали підозріле СМС про посилку?
Що робити, якщо вже ввели дані картки на фейковому сайті?
Як захистити картку від подібних схем наперед?
Куди повідомляти про шахрайські СМС в Україні?
Головне: як не стати жертвою СМС-шахраїв з 'посилкою'?
Часті запитання
Джерела

СМС про посилку шахраї розсилають масово і за однією схемою: вам приходить повідомлення нібито від Нової пошти, Укрпошти чи міжнародного перевізника з текстом про те, що посилка затримана, не доставлена або потребує доплати, і з коротким посиланням. Пряма відповідь: справжні служби доставки ніколи не просять у СМС ввести повні дані картки, CVV-код чи код з банківського повідомлення. Якщо в СМС є лінк на оплату 'мита', 'доставки' чи 'зберігання' - це майже напевно фішинг. Не переходьте за посиланням, перевірте статус відправлення вручну в офіційному застосунку перевізника і видаліть повідомлення.

Коротка відповідь

Фейкове СМС про посилку - це фішинг: посилання веде на сайт-клон пошти, де у вас виманюють дані картки або код з СМС банку. Жоден перевізник не просить CVV чи повний номер картки для 'розмитнення' або 'доплати за доставку'. Перевіряйте статус посилки лише в офіційному застосунку чи на офіційному сайті, набравши адресу вручну. Якщо дані вже ввели - негайно блокуйте картку через банк.

Ця схема особливо добре працює на покупцях, які реально чекають замовлення з інтернет-магазину чи закордонного маркетплейсу. Людина бачить слово 'посилка' - і клікає на автоматі. Тому перший рівень захисту - правильно організувати самі покупки: ми детально розбирали, коли безпечніше платити при отриманні, у матеріалі про накладений платіж проти передоплати. Що менше передоплат на сумнівних сайтах, то менше у шахраїв приводів 'зловити' вас на очікуванні.

Як працює схема з фейковим СМС про посилку?

Механіка проста і відпрацьована роками. Шахраї масово розсилають СМС, повідомлення у Viber, Telegram або email від імені відомого перевізника. У тексті - тригер терміновості: 'посилку буде повернено відправнику', 'не вдалося доставити', 'необхідно сплатити мито' або 'підтвердіть адресу протягом 24 годин'. Поруч - скорочене посилання, за яким відкривається сайт, що візуально копіює сторінку Нової пошти, Укрпошти, Meest чи міжнародної служби.

На фейковій сторінці вас просять 'оплатити' дрібну суму - умовні 5-30 гривень за 'переадресацію' чи 'зберігання'. Сума спеціально маленька, щоб не викликати підозри. Але форма оплати передає шахраям повний номер картки, термін дії та CVV. Далі можливі два сценарії: з картки одразу списують усе, що можуть, або дані продають і використовують пізніше. У просунутих варіантах сайт ще й просить ввести код з СМС банку - тобто ви власноруч підтверджуєте шахрайську операцію або прив'язку вашої картки до чужого гаманця Apple Pay чи Google Pay.

Окрема гілка схеми працює проти продавців на OLX та інших дошках оголошень: 'покупець' каже, що вже оформив доставку, і надсилає лінк 'для отримання оплати'. Це той самий фішинг, тільки під виглядом отримання грошей - детальніше ми розбирали це у статті про шахрайство при продажі на OLX.

Головна небезпека - код з СМС банку

Дані картки - це пів біди. Якщо ви ввели на фейковому сайті ще й код підтвердження з СМС вашого банку, ви фактично власноруч авторизували платіж або прив'язку картки до чужого пристрою. Банки розглядають такі випадки як операції, підтверджені клієнтом, і повернути гроші значно складніше.

Які повідомлення найчастіше розсилають шахраї?

Формулювання змінюються, але набір сценаріїв стабільний. Ось найпоширеніші варіанти, які фіксує кіберполіція та самі перевізники у своїх попередженнях:

'Ваша посилка затримана на митниці, сплатіть мито за посиланням' - тиск на тих, хто замовляє з-за кордону.
'Не вдалося доставити відправлення, підтвердіть адресу' - лінк веде на форму з полями для даних картки.
'Посилку буде повернено відправнику через несплату зберігання' - створює паніку і дедлайн.
'Вам надійшов переказ/оплата за товар, отримайте кошти' - варіант для продавців на дошках оголошень.
'Виграш/подарунок від Нової пошти до свята, заберіть приз' - сезонні розсилки під Чорну п'ятницю та Новий рік.
Повідомлення у Viber з логотипом перевізника від неверифікованого акаунта - підробити ім'я відправника там найпростіше.

Спільна риса всіх варіантів - вас квапляться і ведуть на сторонній сайт платити або 'підтверджувати' дані. Справжній перевізник у СМС максимум повідомить номер ТТН і відділення, а всі розрахунки проводить у відділенні, в офіційному застосунку або через накладений платіж.

Як відрізнити фейкове СМС від справжнього?

У редакційній перевірці ми порівняли реальні сповіщення Нової пошти та Укрпошти зі зразками фішингових розсилок, які публікує кіберполіція. Відмінності видно за кілька секунд, якщо знати, куди дивитися:

Ознака	Справжнє СМС перевізника	Фейкове СМС шахраїв
Посилання	Немає або веде на основний домен (novaposhta.ua, ukrposhta.ua)	Скорочений лінк (bit.ly тощо) або домен-клон типу novaposhta-pay.site
Зміст	Номер ТТН, відділення, сума накладеного платежу	Вимога оплатити 'мито', 'зберігання', 'переадресацію' онлайн
Дані картки	Ніколи не запитує	Просить повний номер, термін дії, CVV, іноді код з СМС банку
Тон	Нейтральний, інформативний	Терміновість: 'протягом 24 годин', 'буде повернено', 'останнє попередження'
Номер ТТН	Збігається з вашим реальним відправленням у застосунку	Відсутній або не знаходиться в офіційному трекінгу
Мова і текст	Грамотна українська, стандартні шаблони	Помилки, суржик, дивні формулювання, латиниця замість кирилиці

Найнадійніший тест - домен. Шахраї реєструють адреси, схожі на справжні: зайвий дефіс, інша доменна зона (.site, .top, .info замість .ua), переставлені літери. Як системно перевіряти адресу сайту, сертифікат і вік домену, ми покроково показували у статті про ознаки фішингового сайту.

Правило 10 секунд

Отримали СМС про посилку - не тисніть на лінк. Відкрийте офіційний застосунок перевізника або сайт, набравши адресу вручну, і перевірте статус за номером ТТН. Якщо відправлення з такими 'проблемами' там немає - повідомлення фейкове. Ця перевірка займає менше часу, ніж блокування картки потім.

Чому ця схема спрацьовує навіть на досвідчених покупцях?

По-перше, статистична ймовірність: українці щомісяця відправляють і отримують десятки мільйонів посилок, тож масова розсилка майже гарантовано влучає в людину, яка реально щось чекає. По-друге, фішинг залишається наймасовішим видом онлайн-шахрайства в Україні - за даними кіберполіції України, 2025, саме фішингові посилання та підроблені сайти платіжних сервісів і перевізників становлять основу шахрайських схем у сфері онлайн-покупок. По-третє, технічно підміна імені відправника СМС (alpha-name spoofing) дозволяє шахрайському повідомленню потрапити в той самий ланцюжок, де лежать справжні СМС від перевізника.

Додає вразливості і витік персональних даних: якщо шахраї знають ваше ім'я, телефон і навіть факт нещодавнього замовлення, повідомлення виглядає переконливо персоналізованим. Звідки беруться такі бази і як мінімізувати свій слід, читайте у матеріалі про захист персональних даних при покупках.

До чого тут мито і чому 'доплата за розмитнення' - брехня?

Сценарій з 'митом' експлуатує реальні правила, які мало хто знає напам'ять. В Україні у 2026 році посилки з-за кордону вартістю до 150 євро для особистого користування не оподатковуються. Якщо вартість перевищує 150 євро, з суми перевищення сплачується 10% мита та 20% ПДВ. Ключовий момент: ці платежі ніколи не збирають через випадкові лінки з СМС.

Якщо ваша посилка справді підлягає оподаткуванню, ви дізнаєтеся про це через офіційні канали перевізника або брокера: сповіщення в особистому кабінеті, офіційний застосунок, рахунок з реквізитами. Оплата проходить у відділенні або через офіційний кабінет - і завжди з документами. Будь-яке СМС 'сплатіть мито 27 грн за лінком' - шахрайство за визначенням, бо реальні митні платежі рахуються від вартості товару понад поріг, а не фіксованою дрібною сумою.

Замовили дорогий товар з-за кордону?

Якщо вартість понад 150 євро - так, доплата буде, але офіційно: 10% мита + 20% ПДВ із суми перевищення порогу. Деталі оформлення уточнюйте на офіційних сайтах перевізника та Державної митної служби - правила і процедури можуть уточнюватися, а шахраї якраз і користуються плутаниною.

Що робити, коли отримали підозріле СМС про посилку?

Не переходьте за посиланням і нічого не завантажуйте. Навіть просто відкритий фішинговий сайт може спробувати підсунути шкідливий APK-файл на Android.
Перевірте статус відправлення вручну: відкрийте офіційний застосунок Нової пошти, Укрпошти чи іншого перевізника або введіть адресу сайту самостійно в браузері.
Звірте номер ТТН. Якщо в повідомленні його немає або трекінг не знаходить такого відправлення - це фейк.
Якщо сумніваєтеся - зателефонуйте на офіційну гарячу лінію перевізника з номера, вказаного на офіційному сайті, а не з СМС.
Заблокуйте і поскаржтеся: відмітьте повідомлення як спам, у Viber - заблокуйте відправника і натисніть 'Поскаржитися'.
Надішліть скриншот і посилання до кіберполіції через форму на ticket.cyberpolice.gov.ua - так фішинговий домен швидше заблокують.
Видаліть повідомлення, щоб випадково не повернутися до нього пізніше.

Що робити, якщо вже ввели дані картки на фейковому сайті?

Рахунок іде на хвилини, тому дійте у жорсткій послідовності. Перше і головне - заблокуйте картку: через мобільний застосунок банку (найшвидше) або за телефоном гарячої лінії, вказаним на звороті картки. Друге - якщо гроші вже списали, одразу повідомте банк про шахрайську операцію і письмово оскаржте її: процедуру повернення через платіжну систему ми розписали у покроковій інструкції про чарджбек.

Третє - змініть паролі до банківських застосунків і пошти, якщо вводили їх на підозрілому сайті, та перевірте, чи не з'явилися у вашому банкінгу нові прив'язані пристрої або токени Apple Pay/Google Pay. Четверте - подайте заяву до кіберполіції та до поліції за фактом шахрайства: без офіційного звернення банку складніше обґрунтувати повернення коштів. Що робити в перші години після несанкціонованого списання, ми детально розбирали у статті списали гроші з картки - що робити.

Важливий нюанс: якщо ви самі ввели код підтвердження з СМС банку, операція вважається авторизованою, і банк може відмовити у поверненні. Це не привід здаватися - подавайте скаргу в банк письмово, далі до НБУ як регулятора, і фіксуйте все: скриншоти СМС, адресу фішингового сайту, час операцій.

Як захистити картку від подібних схем наперед?

Повністю прибрати фішингові розсилки зі свого життя неможливо, але можна зробити так, щоб навіть успішний фішинг коштував вам мінімум. Базовий набір виглядає так:

Заведіть окрему картку для онлайн-оплат з нульовим залишком - гроші переказуйте на неї безпосередньо перед покупкою. Як це організувати, читайте в гайді про безпечну картку для покупок.
Для разових оплат на незнайомих сайтах використовуйте віртуальну картку - її можна видалити одразу після платежу.
Увімкніть ліміти на інтернет-операції та СМС-сповіщення про кожну транзакцію в застосунку банку.
Ніколи нікому не називайте CVV і коди з банківських СМС - ні 'службі безпеки банку', ні 'оператору пошти'.
Оновлюйте застосунки банку та перевізників лише з офіційних магазинів App Store і Google Play.

Окремо нагадаємо: 3-D Secure (код підтвердження при онлайн-оплаті) захищає лише тоді, коли ви розумієте, що саме підтверджуєте. Уважно читайте текст банківського СМС перед введенням коду - там вказані сума та отримувач.

Куди повідомляти про шахрайські СМС в Україні?

Скарга - це не формальність: за зверненнями громадян кіберполіція та реєстратори блокують фішингові домени, і розсилка перестає працювати для тисяч інших людей. Основні канали:

Кіберполіція України - онлайн-форма зворотного зв'язку на офіційному сайті cyberpolice.gov.ua (можна додати скриншоти і посилання).
Перевізник, від імені якого розсилають фейк: у Нової пошти та Укрпошти є офіційні канали для повідомлень про шахрайство - контакти шукайте на їхніх сайтах.
Ваш банк - якщо фішинг стосувався платіжних даних, навіть без списання коштів.
Національний банк України - якщо банк відмовляється розглядати скаргу про несанкціоновану операцію.
Месенджери: у Viber і Telegram блокуйте відправника та використовуйте вбудовану кнопку скарги на спам.

Перевіряйте сайт до оплати, а не після

Зробіть звичкою 30-секундну перевірку будь-якого сайту, куди вводите картку: домен, сертифікат, вік реєстрації, відгуки. Повний алгоритм - у нашій інструкції, як перевірити сайт на шахрайство, він однаково працює і для магазинів, і для фейкових сторінок 'пошти'.

Головне: як не стати жертвою СМС-шахраїв з 'посилкою'?

Фейкові СМС про посилку - це конвеєрний фішинг, який тримається на двох речах: ефекті очікування замовлення і штучній терміновості. Зламати схему просто: ніколи не переходьте за лінками з повідомлень про доставку, перевіряйте статус лише в офіційному застосунку, не вводьте дані картки для 'доплат' і пам'ятайте, що реальні митні платежі (10% мита + 20% ПДВ з суми понад 150 євро) ніколи не збирають через випадкові посилання. Тримайте для онлайн-покупок окрему або віртуальну картку з мінімальним балансом - і навіть успішна фішингова атака обернеться для шахраїв нулем. А якщо помилка вже сталася - блокуйте картку, запускайте чарджбек і пишіть заяву до кіберполіції: швидкість реакції тут вирішує все.

Не переходьте за посиланням із SMS про посилку - відкрийте застосунок самі.
Звіртеся з номером накладної у власному кабінеті служби доставки.
Перевірте адресу сайту - шахраї підробляють домени відомих служб.
Ніколи не вводьте дані картки для "оплати доставки" чи "мита".
Насторожіться через помилки в тексті і вимогу терміново заплатити.
Зателефонуйте на офіційну гарячу лінію служби, якщо є сумніви.
Видаліть підозріле SMS і за потреби повідомте про фішинг.

Відмічайте виконані пункти - прогрес зберігається у браузері.

Часті запитання

Прийшло СМС від Нової пошти з посиланням на оплату - це шахраї?

Майже напевно так. Нова пошта не надсилає СМС з лінками на оплату 'мита', 'зберігання' чи 'переадресації'. Перевірте статус посилки в офіційному застосунку за номером ТТН - якщо там усе гаразд, повідомлення фейкове.

Що буде, якщо просто перейти за посиланням, але нічого не вводити?

Найчастіше нічого критичного, але ризик є: сайт може спробувати завантажити шкідливий файл (особливо APK на Android) або зафіксувати, що ваш номер активний, для подальших розсилок. Закрийте сторінку, нічого не встановлюйте і перевірте телефон антивірусом.

Я ввів дані картки на фейковому сайті пошти - що робити негайно?

Негайно заблокуйте картку в застосунку банку або за телефоном гарячої лінії. Потім повідомте банк про компрометацію, перевипустіть картку, перевірте прив'язані пристрої у банкінгу і подайте заяву до кіберполіції.

Чи поверне банк гроші, якщо я сам ввів код з СМС?

Не гарантовано: введений код означає, що операцію авторизували ви. Але оскаржувати варто завжди - подайте письмову заяву в банк, ініціюйте чарджбек, додайте докази фішингу (скриншоти, адресу сайту), а при відмові скаржтеся до НБУ.

Як шахраї дізнаються, що я чекаю посилку?

Здебільшого ніяк - розсилка йде масово на тисячі номерів, і частина одержувачів випадково реально чекає замовлення. Іноді дані витікають з баз магазинів чи сервісів, тому варто мінімізувати, кому ви залишаєте телефон та ім'я.

Чи треба платити мито за посилку до 150 євро?

Ні. У 2026 році посилки для особистого користування вартістю до 150 євро не оподатковуються. Мито 10% і ПДВ 20% нараховуються лише на суму перевищення порогу, і сплачуються через офіційні канали, а не за лінками з СМС.

Справжня пошта може попросити доплатити за доставку через СМС?

Ні. Усі доплати перевізники проводять у відділенні, при отриманні або через офіційний застосунок чи особистий кабінет. СМС з вимогою оплатити щось за стороннім посиланням - ознака шахрайства.

Куди скаржитися на фішингове СМС про посилку?

До кіберполіції через онлайн-форму на cyberpolice.gov.ua, до перевізника, від імені якого розсилають фейк, та до свого банку, якщо йшлося про платіжні дані. У месенджерах блокуйте відправника і відмічайте як спам.

Як відрізнити справжній сайт Нової пошти від клона?

Дивіться на домен: офіційний - novaposhta.ua, без дефісів, зайвих слів і дивних доменних зон типу .site чи .top. Набирайте адресу вручну або заходьте через офіційний застосунок, а не за лінком з повідомлення.

Чи безпечно перевіряти ТТН на офіційному сайті після фейкового СМС?

Так, якщо ви самі відкрили офіційний застосунок або ввели адресу сайту вручну в браузері. Небезпечний лише перехід за посиланням з самого повідомлення - воно веде на підроблену сторінку.

Джерела

Кіберполіція України - попередження про фішингові схеми
Нова пошта - офіційні застереження щодо шахрайства
Національний банк України - платіжна безпека та шахрайство
Укрпошта - офіційний сайт і трекінг відправлень

ОК

Автор

Олена Кравченко

Редакторка напрямку «Споживчі гайди»

10 років пише про електронну комерцію та захист прав споживачів. Тестувала десятки маркетплейсів і служб доставки, консультувала редакції з питань безпечних онлайн-покупок.

Усі статті автора