Preskoči na glavni sadržaj

Kako se zaštititi od phishing napada

Phishing ostaje #1 način krađe naloga. Naučite kako funkcioniše moderni phishing, signale upozorenja koje treba pratiti, i praktične odbrane koje stvarno zaustavljaju napade.

2026-04-14

TL;DR

  • Phishing je #1 uzrok preuzimanja naloga — napadači vas varaju da date pristupne podatke na lažnoj stranici.
  • Moderni phishing kompleti kloniraju stranice za prijavljivanje savršeno do piksela i prosljeđuju vaše 2FA kodove u realnom vremenu.
  • Hardverski sigurnosni ključevi (YubiKey, FIDO2) su jedina odbrana koja je dizajnirana da bude otporna na phishing.
  • Menadžeri lozinki vas štite tako što odbijaju da automatski popune polja na pogrešnom domenu.
  • Provjerite tačan domen prije kucanja pristupnih podataka i nikad se ne prijavljivajte putem linka iz emaila.

Šta je phishing?

Phishing je napad društvenog inženjeringa gdje napadač kreira uvjerljivu kopiju legitimne web stranice — često savršenu do piksela — i vara žrtvu da unese pristupne podatke tamo. Čim žrtva pošalje formu, napadač zaroblava korisničko ime, lozinku, i bilo koji drugi faktor, zatim ih koristi za preuzimanje stvarnog naloga za sekunde.

Riječ potiče od metafore "pecanja" žrtava sa mamcem (obično email). Spelovanje se promijenilo da naglaši da napadači često koriste phone brojeve (SMS phishing, ili "smishing") i profesionalno izgledajuću infrastrukturu.

Zašto je phishing još uvijek #1 prijetnja

Većina velikih proboja naloga danas ne uključuje hakiranje, razbijanje lozinki, ili zaobilaženje enkripcije. Uključuju čovjeka koji kuca lozinku na lažnoj stranici. Phishing je:

  • Jeftin — napadač može poslati milione emailova za cijenu VPS-a i lažnog domena
  • Težak za filtriranje — moderni kompleti rotiraju domene, koriste legitimni hosting, i prilagođavaju se filterima u realnom vremenu
  • Efikasan — čak i sigurnosno svjesni korisnici nasjedaju na dobro osmišljene ciljane pokušaje (spear phishing)
  • Skalabilan — jedan uspješan phish često daje pristup desetinama povezanih servisa kroz ponovnu upotrebu lozinki

Verizon Data Breach Investigations Report iz 2024. godine je našao da je phishing bio početni vektor pristupa u preko 36% svih proboja — više od bilo kog drugog pojedinačnog uzroka.

Kako funkcioniše moderni phishing

Phishing se razvio daleko past "nigerijski princ" emailove iz 2000-ih. Moderni phishing napad obično uključuje:

1. Uvjerljiv mamac

Obično email, poruka, ili chat poruka koja kreira hitnost ("Vaš nalog će biti suspendovan"), autoritet ("Microsoft sigurnosni tim"), ili radoznalost ("Neko vas je označio na fotografiji"). Spear-phishing ide dalje sa ličnim detaljima uzimanih sa LinkedIn-a, baze proboja, ili prethodne korespondencije.

2. Savršena lažna stranica do piksela

Napadači koriste gotove phishing kompleti koji kloniraju HTML, CSS, i JavaScript ciljne stranice. Mnogi kompleti se prodaju kao servis (phishing-as-a-service), sa radnim dashboard-ima i korisničkom podrškom.

3. Proxy u realnom vremenu za 2FA

Opasni dio: moderni kompleti ne samo zarobljavaju vašu lozinku. Oni djeluju kao man-in-the-middle proxy koji prosljeđuje sve što ukucate — uključujući vaš TOTP kod — na stvarnu stranicu za sekunde, zaobilažeći većinu 2FA. Ova tehnika se zove adversary-in-the-middle (AiTM) i koristi se u altatima poput Evilginx2 i Modlishka.

4. Krađa session token-a

Jednom kad se autentificirate kroz proxy, napadač zarobljavakuje vaš session cookie i može ga koristiti da ostane prijavljen čak i nakon što promijenite lozinku. Zato phishing odgovor uvijek uključuje opoziv aktivnih sesija, ne samo rotaciju lozinke.

Šta stvarno zaustavlja phishing

Hardverski sigurnosni ključevi (FIDO2 / WebAuthn)

Ovo je jedina kategorija odbrane koja je phishing-otporna po dizajnu. Kad se prijavite sa FIDO2 ključem, vaš ključ kriptografski provjerava tačan domen stranice koja traži autentifikaciju. Lažna stranica — bez obzira koliko vizualno savršena — ima drugačiji domen, pa ključ odbija da odgovori. Kriptografski handshake se jednostavno ne završava.

Google je poznato naložio YubiKey-jeve za svih 85,000+ zaposlenih u 2017. i prijavio nula uspješnih phishing napada na kompanijske naloge u godinama nakon.

Passkey-jevi

Passkey-jevi su potrošački-prijateljska evolucija FIDO2. Oni koriste istu domain-vezanu kriptografiju i ugrađeni su u iOS, Android, macOS, i Windows. Ako stranica koju koristite podržava passkey-jeve, aktiviranje jednog čini taj nalog otpornim na phishing.

Menadžeri lozinki

Menadžer lozinki je vaša druga linija odbrane jer automatski popunjava pristupne podatke samo na tačnom domenu gdje su sačuvani. Ako dođete na paypaI.com (veliko I) umjesto paypal.com, vaš menadžer tiho odbija da popuni formu. To odbijanje je glasno upozorenje da nešto nije u redu.

Email i DNS filtriranje

Email provajderi koriste DMARC, SPF, i DKIM da detektuju lažne pošaljatelje. Većina modernih provajdera hvata očigledne pokušaje, ali ciljani napadi još uvijek prokliznu. Aktivirajte dugmad "prijavi phishing" u vašem mail klijentu da pomognete filterima da se poboljšaju.

Signali upozorenja koje treba pratiti

Kad primite poruku koja traži da se prijavite, verifikujete, ili hitno djelujete:

  • Hitnost i prijetnje — "Vaš nalog će biti zatvoren za 24 sata"
  • Generička pozdrava — "Poštovani kupče" umjesto vašeg imena
  • Slični domenipaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekivani prilozi — posebno .zip, .html, ili .pdf fajlovi koji traže da se prijavite da ih vidite
  • Gramatičke ili formatiranje greške — velike kompanije čitaju svoje emailove
  • Link ne odgovara — postavite kursor preko linka i provjerite da li destinacija odgovara tekstu

Ako bilo šta djeluje čudno, zatvorite email. Idite na stranicu ručno. Ako postoji stvarni problem, vidićete ga kad se prijavite kroz vaš normalni tok rada.

Šta uraditi ako ste nasjedali

Djelujte brzo — brzina je bitna jer napadači počinju koristiti pristupne podatke za minute.

  1. Promijenite lozinku odmah na drugom uređaju (vaš telefon, na primjer, ako ste nasjedali na laptop-u)
  2. Opozvite sve aktivne sesije u postavkama naloga — ovo izbacuje bilo koga ko trenutno koristi ukradene session token-e
  3. Aktivirajte 2FA ako već nije bilo uključeno, i koristite hardverski ključ ili passkey ako je moguće
  4. Provjerite za neodobrenu aktivnost — poslane emailove, nedavne prijave, promjene naplate, nova pravila preusmjeravanja
  5. Obavijestite pogođenu instituciju ako je finansijski ili radni nalog
  6. Provjerite druge naloge koji su koristili istu lozinku — čak i ako ste sigurni da ne ponavljate lozinke, provjerite

Zaključak

Phishing cvjeta jer zaobilazi tehnologiju i cilja ljude. Najbolje odbrane miješaju tri sloja: menadžere lozinki (odbijaju da automatski popune na pogrešnim domenima), phishing-otporni 2FA (hardverski ključevi ili passkey-jevi koji se vezuju za stvarni domen), i zdravu skepsu (nikad se ne prijavite sa email linka).

Aktivirajte sva tri na vašem najvažnijem nalogu — vašem emailu — prvo. Od tamo, ostatak vašeg digitalnog života postaje značajno sigurniji.

Kako se zaštititi od phishing-a

Praktična, poredana lista provjera za učvršćivanje vaših naloga protiv phishing napada.

  1. Koristite menadžer lozinki:Instalirajte renomirani menadžer lozinki (1Password, Bitwarden, Proton Pass) i dozvolite mu da automatski popunjava pristupne podatke. On će odbiti da automatski popuni na sličnim domenima, dajući vam ugrađeni detektor phishing-a.
  2. Aktivirajte phishing-otporni 2FA:Dodajte FIDO2 hardverski ključ (YubiKey, Google Titan) ili passkey na vaše najvažnije naloge — email prvo, zatim bankarstvo, cloud skladište, i menadžer lozinki. Ovo su jedini 2FA metodi koji stvarno zaustavljaju moderni phishing.
  3. Nikad se ne prijavljivajte putem email linkova:Kad dobijete email koji traži da se prijavite, zatvorite email i idite na stranicu ručno preko bookmark-a ili kucanjem URL-a. Link u emailu možda je savršena kopija; bookmark u vašem pretraživaču nije.
  4. Provjerite tačan domen prije kucanja:Prije unosa bilo koje lozinke, pogledajte puni URL u adresnoj traci. Tražite https, ispravno spelovanje, i nema dodatnih poddomena poput paypal.com.secure-login.net.
  5. Prijavite i nastavite dalje:Prijavite phishing pokušaj vašem email providera (većina ima dugme "Prijavi phishing"). Zatim nastavite sa danom — phishing je opasan samo ako nasjete na to, a svjesnost je većina borbe.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email