Preskoči na glavni sadržaj

Kako se zaštititi od phishing napada

Phishing ostaje broj 1 način krađe računa. Saznajte kako funkcionira moderan phishing, crvene zastavice na koje treba paziti i praktične obrane koje stvarno zaustavljaju napade.

2026-04-14

TL;DR

  • Phishing je broj 1 uzrok preuzimanja računa — napadači vas prevare da date vjerodajnice na lažnoj stranici.
  • Moderni phishing kompleti kloniraju stranice za prijavu piksel-savršeno i prosljeđuju vaše 2FA kodove u stvarnom vremenu.
  • Hardverski sigurnosni ključevi (YubiKey, FIDO2) su jedina obrana koja je dizajnirana da bude otporna na phishing.
  • Upravitelji lozinki vas štite tako što odbijaju automatsko upisivanje na pogrešnoj domeni.
  • Provjerite točnu domenu prije upisivanja vjerodajnica i nikad se ne prijavite putem veze iz e-maila.

Što je phishing?

Phishing je napad socijalnog inženjerstva gdje napadač stvara uvjerljivu kopiju legitimne web stranice — često piksel-savršenu — i prevari žrtvu da tamo unese vjerodajnice. Čim žrtva pošalje obrazac, napadač zarobi korisničko ime, lozinku i bilo koji drugi faktor, zatim ih koristi za preuzimanje pravog računa u sekundama.

Riječ dolazi od metafore "ribolova" za žrtvama s mamcem (obično e-mail). Pisanje se promijenilo da naglasi da napadači često koriste phone brojeve (SMS phishing ili "smishing") i infrastrukturu profesionalnog izgleda.

Zašto je phishing još uvijek prijetnja broj 1

Većina velikih kršenja sigurnosti računa danas ne uključuje hakiranje, krekiranje lozinki ili zaobilaženje šifriranja. Uključuje čovjeka koji upisuje lozinku u lažnu stranicu. Phishing je:

  • Jeftin — napadač može poslati milijune e-mailova za cijenu VPS-a i lažne domene
  • Težak za filtriranje — moderni kompleti rotiraju domene, koriste legitimni hosting i prilagođavaju se filterima u stvarnom vremenu
  • Učinkovit — čak i korisnici svjesni sigurnosti nasjedaju na dobro izrađene ciljane pokušaje (spear phishing)
  • Skalabilan — jedan uspješan phish često daje pristup desetcima povezanih usluga kroz ponovnu uporabu lozinki

Verizon Data Breach Investigations Report iz 2024. otkrio je da je phishing bio početni vektor pristupa u preko 36% svih kršenja — više od bilo kojeg drugog pojedinog uzroka.

Kako funkcionira moderan phishing

Phishing je evoluirao daleko od "nigerijskih prinčeva" e-mailova iz 2000-ih. Moderan phishing napad obično uključuje:

1. Uvjerljiv mamac

Obično e-mail, tekstna ili chat poruka koja stvara hitnost ("Vaš račun će biti suspendiran"), autoritet ("Microsoft sigurnosni tim") ili znatiželju ("Netko vas je označio na fotografiji"). Spear-phishing ide dalje s osobnim detaljima izvučenima s LinkedIna, baza kršenja ili prethodne korespondencije.

2. Piksel-savršenu lažnu stranicu

Napadači koriste gotove phishing kompleti koji kloniraju HTML, CSS i JavaScript ciljne stranice. Mnogi kompleti se prodaju kao usluga (phishing-kao-usluga), s radnim kontrolnim pločama i korisničkom podrškom.

3. Proxy u stvarnom vremenu za 2FA

Opasni dio: moderni kompleti ne samo zarobljuju vašu lozinku. Djeluju kao proxy čovjek-u-sredini koji prosljeđuje sve što tipkate — uključujući vaš TOTP kod — na pravu stranicu u sekundama, zaobilazeći većinu 2FA. Ova tehnika se zove adversary-in-the-middle (AiTM) i koristi se u alatima poput Evilginx2 i Modlishka.

4. Krađa tokena sesije

Nakon što se autentificirate kroz proxy, napadač zarobi vaš session cookie i može ga koristiti da ostane prijavljen čak i nakon što promijenite lozinku. Zato phishing odgovor uvijek uključuje opoziv aktivnih sesija, ne samo rotaciju lozinke.

Što stvarno zaustavlja phishing

Hardverski sigurnosni ključevi (FIDO2 / WebAuthn)

To je jedina kategorija obrane koja je dizajnirana da bude otporna na phishing. Kada se prijavljujete s FIDO2 ključem, vaš ključ kriptografski verificira točnu domenu stranice koja traži autentifikaciju. Lažna stranica — bez obzira kako vizualno savršena — ima drugačiju domenu, pa ključ odbija odgovoriti. Kriptografski rukovanje jednostavno se ne završava.

Google je poznato obavljao YubiKeys za svih 85.000+ zaposlenika u 2017. i prijavilo nula uspješnih phishing napada na tvrtke račune u godinama od tada.

Passkey-ovi

Passkey-ovi su evolucija FIDO2-a prikladna potrošačima. Koriste istu kriptografiju vezanu za domenu i ugrađeni su u iOS, Android, macOS i Windows. Ako stranica koju koristite podržava passkey-ove, omogućivanje jednog čini taj račun otpornim na phishing.

Upravitelji lozinki

Upravitelja lozinki je vaša druga linija obrane jer automatski upisuje vjerodajnice samo na točnoj domeni gdje su spremljene. Ako dođete na paypaI.com (veliko I) umjesto paypal.com, vaš upravitelja šutke odbija upisati obrazac. To odbijanje je glasan upozorenje da nešto nije u redu.

Filtriranje e-maila i DNS-a

Davatelji e-maila koriste DMARC, SPF i DKIM za otkrivanje lažnih adresa pošiljatelja. Većina modernih davatelja hvata očigledne pokušaje, ali ciljani napadi još uvijek proklize. Omogućite gumbove "prijavi phishing" u vašem mail klijentu da pomognete filterima poboljšati se.

Crvene zastavice na koje paziti

Kada dobijete poruku koja traži da se prijavite, verificirate ili djelujete hitno:

  • Hitnost i prijetnje — "Vaš račun će biti zatvoren za 24 sata"
  • Općeniti pozdrav — "Dragi korisniče" umjesto vašeg imena
  • Domene sličnog izgledapaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekivani prilozi — osobito .zip, .html ili .pdf datoteke koje traže da se prijavite za pregled
  • Gramatičke ili formatske greške — velike tvrtke lektoriraju svoje e-mailove
  • Neslaganje veza — postavite pokazivač miša iznad veze i provjerite odgovara li destinacija tekstu

Ako bilo što djeluje čudno, zatvorite e-mail. Idite na stranicu ručno. Ako postoji pravi problem, vidjet ćete ga kada se prijavite kroz svoj normalan tijek rada.

Što učiniti ako ste nasjedali na jedan

Djelujte brzo — brzina je važna jer napadači počinju koristiti vjerodajnice u minutama.

  1. Odmah promijenite lozinku na drugom uređaju (vašem telefonu, na primjer, ako ste nasjedali na laptopu)
  2. Opozvite sve aktivne sesije u postavkama računa — ovo izbacuje sve koji trenutno koriste ukradene tokene sesije
  3. Omogućite 2FA ako već nije uključen, i koristite hardverski ključ ili passkey ako je moguće
  4. Provjerite neovlaštenu aktivnost — poslane e-mailove, nedavne prijave, promjene naplate, nova pravila preusmjeravanja
  5. Obavijestite zahvaćenu instituciju ako je financijski ili radni račun
  6. Provjerite druge račune koji su koristili istu lozinku — čak i ako ste sigurni da ne ponovno koristite lozinke, provjerite

Zaključak

Phishing napreduje jer zaobilazi tehnologiju i cilja ljude. Najbolje obrane miješaju tri sloja: upravitelje lozinki (odbijaju automatsko upisivanje na pogrešnim domenama), 2FA otpornu na phishing (hardverski ključevi ili passkey-ovi koji se vezuju za pravu domenu) i zdravu skepsu (nikad se ne prijavljujte putem veze iz e-maila).

Omogućite sve tri na vašem najvažnijem računu — vašem e-mailu — prvo. Odatle, ostatak vašeg digitalnog života postaje značajno sigurniji.

Kako se zaštititi od phishing-a

Praktična, uredna lista provjera za ojačavanje vaših računa protiv phishing napada.

  1. Koristite upravitelja lozinki:Instalirajte renomirani upravitelja lozinki (1Password, Bitwarden, Proton Pass) i neka automatski upisuje vjerodajnice. Odbijat će automatsko upisivanje na domenama sličnog izgleda, dajući vam ugrađeni detektor phishing-a.
  2. Omogućite 2FA otpornu na phishing:Dodajte FIDO2 hardverski ključ (YubiKey, Google Titan) ili passkey na vaše najvažnije račune — prvo e-mail, zatim bankarstvo, cloud pohrana i upravitelja lozinki. To su jedine 2FA metode koje stvarno zaustavljaju moderan phishing.
  3. Nikad se ne prijavite putem veza iz e-maila:Kada dobijete e-mail koji traži da se prijavite, zatvorite e-mail i idite na stranicu ručno putem zabilješke ili upisivanjem URL-a. Veza u e-mailu može biti savršena kopija; zabilješka u vašem pregledniku nije.
  4. Provjerite točnu domenu prije upisivanja:Prije upisivanja bilo koje lozinke, pogledajte puni URL u adresnoj traci. Potražite https, ispravno pisanje i nema dodatnih poddomena poput paypal.com.secure-login.net.
  5. Prijavite i idite dalje:Prijavite phishing pokušaj vašem davatelju e-maila (većina ima gumb "Prijavi phishing"). Zatim nastavite s danom — phishing je opasan samo ako nasjednete na njega, a svjesnost je većina borbe.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email