Preskoči na glavni sadržaj

Kako da se zaštitite od phishing napada

Phishing ostaje broj 1 način krađe naloga. Naučite kako funkcioniše savremeni phishing, na koja upozorenja treba obratiti pažnju i praktične odbrane koje stvarno zaustavljaju napade.

2026-04-14

TL;DR

  • Phishing je broj 1 uzrok preuzimanja naloga — napadači vas varaju da unesete podatke za prijavu na lažnu stranicu.
  • Savremeni phishing alati kloniraju stranice za prijavu piksel-savršeno i prosleđuju vaše 2FA kodove u realnom vremenu.
  • Hardverski bezbednosni ključevi (YubiKey, FIDO2) su jedina odbrana koja je anti-phishing po dizajnu.
  • Menadžeri lozinki vas štite tako što odbijaju da automatski unesu podatke na pogrešnom domenu.
  • Proverite tačan domen pre kucanja podataka za prijavu, i nikada se ne prijavite preko veze iz emaila.

Šta je phishing?

Phishing je napad socijalnog inženjeringa gde napadač pravi ubedljivu kopiju legitimne veb stranice — često piksel-savršenu — i prevari žrtvu da unese podatke za pristup tamo. U trenutku kada žrtva potvrdi formu, napadač zaroblјava korisničko ime, lozinku i bilo koji drugi faktor, zatim ih koristi da preuzme pravi nalog za sekunde.

Reč potiče od metafore "pecanja" žrtava sa mamcem (obično email). Pisanje se promenilo da naglasi da napadači često koriste telefone brojeve (SMS phishing, ili "smishing") i profesionalno izgljedaju infrastrukturu.

Zašto je phishing i dalje pretnja broj 1

Većina velikih prekršaja naloga danas ne uključuje hakovanje, probijanje lozinki ili zaobilaženje šifrovanja. Uključuju čoveka koji kuca lozinku na lažnu stranicu. Phishing je:

  • Jeftin — napadač može da pošalje milione emailova za cenu VPS-a i lažnog domena
  • Težak za filtriranje — savremeni alati rotiraju domene, koriste legitimno hosting i prilagođavaju se filterima u realnom vremenu
  • Efikasan — čak i bezbednosno svesni korisnici nasedaju na dobro osmišljene ciljane pokušaje (spear phishing)
  • Skalabilan — jedan uspešan phishing često daje pristup desetinama povezanih servisa kroz ponovo korišćenje lozinki

Verizon Data Breach Investigations Report za 2024. je našao da je phishing bio početni vektor pristupa u preko 36% svih prekršaja — više nego bilo koji drugi uzrok.

Kako funkcioniše savremeni phishing

Phishing je evoluirao daleko preko "nigerijski princ" emailova iz 2000-ih. Savremeni phishing napad obično uključuje:

1. Ubedljiv mamac

Obično email, poruka ili chat poruka koja stvara hitnost ("Vaš nalog će biti suspendovan"), autoritet ("Microsoft bezbednosni tim"), ili radoznalost ("Neko vas je označio na fotografiji"). Spear-phishing ide dalje sa ličnim detaljima povučenim sa LinkedIn-a, baza prekršaja ili prethodne prepiske.

2. Piksel-savršena lažna stranica

Napadači koriste gotove phishing alate koji kloniraju HTML, CSS i JavaScript ciljne stranice. Mnogi alati se prodaju kao servis (phishing-kao-servis), sa radnim kontrolnim panelima i korisničkom podrškom.

3. Proksi u realnom vremenu za 2FA

Opasan deo: savremeni alati ne zarobljavaju samo vašu lozinku. Oni deluju kao man-in-the-middle proksi koji prosleđuje sve što kucate — uključujući vaš TOTP kod — na pravu stranicu za sekunde, zaobilazeći većinu 2FA. Ova tehnika se zove adversary-in-the-middle (AiTM) i koristi se u alatima kao što su Evilginx2 i Modlishka.

4. Krađa token-a sesije

Kada se autentifikujete preko proksija, napadač zaroblјava vaš cookie sesije i može ga koristiti da ostane ulogovan čak i nakon što promenite lozinku. Zato phishing odgovor uvek uključuje opoziv aktivnih sesija, ne samo rotaciju lozinke.

Šta stvarno zaustavljаје phishing

Hardverski bezbednosni ključevi (FIDO2 / WebAuthn)

Ovo je jedina kategorija odbrane koja je otporna na phishing po dizajnu. Kada se prijavite sa FIDO2 ključem, vaš ključ kriptografski verifikuje tačan domen stranice koja traži autentifikaciju. Lažna stranica — bez obzira koliko vizuelno savršena — ima drugačiji domen, pa ključ odbija da odgovori. Kriptografski rukovanje se jednostavno ne završava.

Google je notoрno nametnuo YubiKey-jeve za svih 85.000+ zaposlenih u 2017. i priјavio nula uspešnih phishing napada na kompanijske naloge u godinama nakon toga.

Passkey-jevi

Passkey-jevi su potrošačka evolucija FIDO2. Koriste istu kriptografiju vezanu za domen i ugrađeni su u iOS, Android, macOS i Windows. Ako stranica koju koristite podržava passkey-jeve, omogućavanje jednog čini taj nalog otpornim na phishing.

Menadžeri lozinki

Menadžer lozinki je vaša druga linija odbrane jer automatski unosi podatke za pristup samo na tačnom domenu gde su sačuvani. Ako dođete na paypaI.com (veliko I) umesto paypal.com, vaš menadžer tiho odbija da popuni formu. To odbijanje je glasno upozorenje da nešto nije u redu.

Email i DNS filtriranje

Email provajderi koriste DMARC, SPF i DKIM da detektuju lažne adrese pošaljalaca. Većina savremenih provajdera hvata očigledne pokušaje, ali ciljani napadi i dalje prođu. Uključite dugmad "prijavi phishing" u vašem email klijentu da pomognete filterima da se poboljšaju.

Znaci upozorenja koje treba gledati

Kada dobijete poruku koja traži da se prijavite, verifikujete ili delovaste hitno:

  • Hitnost i pretnje — "Vaš nalog će biti zatvoren za 24 sata"
  • Generički pozdravi — "Poštovani korisniče" umesto vašeg imena
  • Slični domenipaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekivani prilozi — posebno .zip, .html ili .pdf datoteke koje traže da se prijavite da ih vidite
  • Gramatičke ili formatske greške — velike kompanije proveravaju svoje emailove
  • Neusklađenost veze — zadržite miš preko veze i proverite da li destinacija odgovara tekstu

Ako bilo šta izgleda čudno, zatvorite email. Idite na stranicu ručno. Ako postoji pravi problem, videćete ga kada se prijavite kroz vaš normalan tok rada.

Šta da radite ako ste nasledili na jedan

Delujте brzo — brzina је bitna jer napadači počinju da koriste podatke za pristup za minute.

  1. Promenite lozinku odmah na drugom uređaju (vaš telefon, na primer, ako ste naseli na laptop-u)
  2. Opozvite sve aktivne sesije u podešavanjima naloga — ovo izbacuje sve koji trenutno koriste ukradene token-e sesije
  3. Uključite 2FA ako već nije uključen, i koristite hardverski ključ ili passkey ako је moguće
  4. Proverite neovlašćenu aktivnost — poslane emailove, nedavne prijave, izmene naplate, nova pravila prosleđivanja
  5. Obavestite zahvaćenu instituciju ako je finansijski ili radni nalog
  6. Proverite druge naloge koji su koristili istu lozinku — čak i ako ste sigurni da ne koristite iste lozinke, proverite

Zaključak

Phishing napreduje jer zaobilazi tehnologiju i cilja ljude. Najbolje odbrane mešaju tri sloja: menadžeri lozinki (odbijaju da automatski unesu na pogrešnim domenima), 2FA otporan na phishing (hardverski ključevi ili passkey-jevi koji se vezuju za pravi domen), i zdravu sumњu (nikada se ne prijavite sa veze iz emaila).

Uključite sва tri na vašem najvažnijem nalogu — vašem emailu — prvo. Odatle, ostatak vašeg digitalnog života postaje značajno bezbedniji.

Kako da se zaštitite od phishing-a

Praktična, uređena lista za jačanje vaših naloga protiv phishing napada.

  1. Koristite menadžer lozinki:Instalirajte renomirani menadžer lozinki (1Password, Bitwarden, Proton Pass) i dozvolite mu da automatski unosi podatke za pristup. On će odbiti da unese podatke na lažne domene, dajući vam ugrađeni detektor phishing-a.
  2. Uključite 2FA otporan na phishing:Dodajte FIDO2 hardverski ključ (YubiKey, Google Titan) ili passkey na vaše najvažnije naloge — email prvo, zatim bankarstvo, cloud skladište i menadžer lozinki. Ovo su jedini 2FA metodi koji stvarno zaustavljaju savremeni phishing.
  3. Nikada se ne prijavite sa veza iz emaila:Kada dobijete email koji traži da se prijavite, zatvorite email i idite na stranicu ručno preko bookmark-a ili kucanja URL-a. Veza u emailu može biti savršen klon; bookmark u vašem pretraživaču nije.
  4. Proverite tačan domen pre kucanja:Pre unošenja bilo koje lozinke, pogledajte punu URL adresu u adresnoj traci. Tražite https, ispravno pisanje, i nema dodatnih poddomena kao paypal.com.secure-login.net.
  5. Prijavite i nastavite dalje:Prijavite phishing pokušaj vašem email provajderu (većina ima dugme "Prijavite phishing"). Zatim nastavite sa vašim danom — phishing je opasan samo ako nasednete na njega, i svest je veći deo bitke.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email