Preskoči na glavni sadržaj

Kako se zaštititi od phishing napada

Phishing je najčešći način krađe računa. Kako funkcioniše moderni phishing, upozoravajući znaci i odbrane koje zaista zaustavljaju napade.

Zadnje ažurirano: 14. april 2026.

Ukratko

  • Phishing je najčešći uzrok preuzimanja računa — napadači vas prevare da unesete pristupne podatke na lažnoj stranici.
  • Moderni phishing kompleti kloniraju stranice za prijavu savršeno po pikselima i prosljeđuju vaše 2FA kodove u realnom vremenu.
  • Hardverski sigurnosni ključevi (YubiKey, FIDO2) jedina su odbrana koja je po dizajnu zaštićena od phishinga.
  • Menadžeri lozinki štite vas time što odbijaju automatsko popunjavanje na pogrešnoj domeni.
  • Provjerite tačnu domenu prije unosa pristupnih podataka i nikada se ne prijavljujte putem linka iz e-maila.

Šta je phishing?

Phishing je napad socijalnog inženjeringa u kojemu napadač kreira uvjerljivu kopiju legitimne web stranice — često savršenu do posljednjeg piksela — i prevari žrtvu da tamo unese pristupne podatke. Čim žrtva pošalje obrazac, napadač preuzima korisničko ime, lozinku i eventualni drugi faktor, a zatim ih koristi za preuzimanje pravog računa za nekoliko sekundi.

Naziv dolazi od metafore "ribarenja" za žrtvama pomoću mamca (obično e-mail). Pisanje je izmijenjeno kako bi se naglasilo da napadači često koriste phone brojeve (SMS phishing, ili "smishing") i profesionalnu infrastrukturu.

Zašto je phishing i dalje prijetnja broj 1

Većina današnjih opsežnih proboja računa ne uključuje hakovanje, probijanje lozinki ili zaobilaženje enkripcije. Uključuje osobu koja upisuje lozinku na lažnoj stranici. Phishing je:

  • Jeftin — napadač može poslati milione e-mailova uz trošak jednog VPS servera i lažne domene
  • Teško filtrirati — moderni kompleti rotiraju domene, koriste legitimni hosting i prilagođavaju se filterima u realnom vremenu
  • Efikasan — čak i sigurnosno svjesni korisnici nasjedaju na dobro osmišljene ciljane pokušaje (spear phishing)
  • Skalabilan — jedan uspješan phishing napad često pruža pristup desetinama povezanih servisa putem ponovnog korišćenja lozinki

Verizonov izvještaj o istragama povreda podataka za 2024. godinu utvrdio je da je phishing bio inicijalni vektor pristupa u više od 36% svih proboja — više nego bilo koji drugi pojedinačni uzrok.

Kako funkcioniše moderni phishing

Phishing je evoluirao daleko izvan e-mailova "nigerijskog princa" iz 2000-ih. Moderni phishing napad obično uključuje:

1. Uvjerljivi mamac

Obično e-mail, poruka ili chat poruka koja stvara hitnost ("Vaš račun će biti suspendovan"), autoritet ("Microsoft sigurnosni tim") ili znatiželju ("Neko vas je označio na fotografiji"). Spear-phishing ide korak dalje s ličnim detaljima preuzetim s LinkedIna, baza podataka s procurelim informacijama ili prethodne prepiske.

2. Savršena lažna stranica

Napadači koriste gotove phishing komplete koji kloniraju HTML, CSS i JavaScript ciljne stranice. Mnogi kompleti prodaju se kao usluga (phishing-as-a-service), s funkcionalnim nadzornim pločama i korisničkom podrškom.

3. Proxy u realnom vremenu za 2FA

Opasni dio: moderni kompleti ne hvataju samo vašu lozinku. Djeluju kao proxy napadača posrednika koji prosljeđuje sve što unesete — uključujući vaš TOTP kod — na pravu stranicu za nekoliko sekundi, zaobilazeći većinu 2FA. Ova tehnika se naziva adversary-in-the-middle (AiTM) i koristi se u alatima poput Evilginx2 i Modlishka.

4. Krađa token sesije

Jednom kada se autentifikujete putem posrednika, napadač preuzima vaš kolačić sesije i može ga koristiti za ostajanje prijavljenim čak i nakon što promijenite lozinku. Zbog toga odgovor na phishing uvijek uključuje opozivanje aktivnih sesija, a ne samo rotaciju lozinke.

Šta zaista zaustavlja phishing

Hardverski sigurnosni ključevi (FIDO2 / WebAuthn)

Ovo je jedina kategorija odbrane koja je po dizajnu zaštićena od phishinga. Kada se prijavite s FIDO2 ključem, vaš ključ kriptografski verifikuje tačnu domenu stranice koja zahtijeva autentifikaciju. Lažna stranica — bez obzira koliko vizualno savršena bila — ima drugu domenu, pa ključ odbija da odgovori. Kriptografsko rukovanje jednostavno se ne dovršava.

Google je proslavljeno uveo obavezu korišćenja YubiKey-a za svih 85.000+ zaposlenika 2017. godine i prijavio nula uspješnih phishing napada na korporativne račune u godinama koje su uslijedile.

Passkeys

Passkeys su verzija FIDO2 prilagođena potrošačima. Koriste istu kriptografiju vezanu za domenu i ugrađene su u iOS, Android, macOS i Windows. Ako stranica koju koristite podržava passkeys, njihovim omogućavanjem taj račun postaje zaštićen od phishinga.

Menadžeri lozinki

Menadžer lozinki vaša je druga linija odbrane jer vrši automatsko popunjavanje pristupnih podataka samo na tačnoj domeni na kojoj su pohranjeni. Ako završite na paypaI.com (veliko I) umjesto paypal.com, vaš menadžer tiho odbija popuniti obrazac. To odbijanje jasna je upozorenja da nešto nije u redu.

Filtriranje e-maila i DNS-a

Pružatelji e-mail usluga koriste DMARC, SPF i DKIM za otkrivanje lažiranih adresa pošiljalaca. Većina modernih pružatelja hvata očite pokušaje, ali ciljani napadi i dalje prolaze. Omogućite dugmad za "prijavu phishinga" u svom mail klijentu kako biste pomogli poboljšanju filtera.

Upozoravajući znaci na koje treba paziti

Kada primite poruku u kojoj se od vas traži da se prijavite, verificirate ili hitno postupite:

  • Hitnost i prijetnje — "Vaš račun će biti zatvoren za 24 sata"
  • Generički pozdravi — "Poštovani korisniče" umjesto vašeg imena
  • Slične domenepaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekivani privici — posebno .zip, .html ili .pdf datoteke koje od vas traže da se prijavite kako biste ih pregledali
  • Gramatičke ili oblikovne greške — velika poduzeća lektoriše svoje e-mailove
  • Neslaganje linka — zadržite kursor iznad linka i provjerite odgovara li odredište tekstu

Ako vam se bilo šta čini sumnjivim, zatvorite e-mail. Otvorite stranicu ručno. Ako postoji pravi problem, vidjet ćete ga kada se prijavite putem svog uobičajenog načina rada.

Šta učiniti ako ste nasjedali

Postupite brzo — brzina je važna jer napadači počinju koristiti pristupne podatke u roku od nekoliko minuta.

  1. Odmah promijenite lozinku na drugom uređaju (na primjer, telefonu, ako ste nasjednuli putem laptopa)
  2. Opozovite sve aktivne sesije u postavkama računa — ovo izbacuje sve koji trenutno koriste ukradene tokene sesije
  3. Omogućite 2FA ako već nije bila aktivna, i koristite hardverski ključ ili passkey ako je moguće
  4. Provjerite neovlaštene aktivnosti — poslane e-mailove, nedavne prijave, promjene naplate, nova pravila prosljeđivanja
  5. Obavijestite pogođenu instituciju ako se radi o finansijskom ili poslovnom računu
  6. Provjerite druge račune koji su koristili istu lozinku — čak i ako ste sigurni da ne koristite iste lozinke, svejedno provjerite

Zaključak

Phishing napreduje jer zaobilazi tehnologiju i cilja ljude. Najbolje odbrane kombinuju tri sloja: menadžeri lozinki (odbijaju automatsko popunjavanje na pogrešnim domenama), 2FA otporna na phishing (hardverski ključevi ili passkeys koji se vežu za pravu domenu) i zdravi skepticizam (nikada se ne prijavljujte putem linka iz e-maila).

Prvo omogućite sva tri na svom najvažnijem računu — e-mailu. Od tada, ostatak vašeg digitalnog života postaje znatno sigurniji.

Kako se zaštititi od phishinga

Praktična, uređena lista provjere za ojačavanje vaših računa protiv phishing napada.

  1. Koristite menadžer lozinki:Instalirajte pouzdanog menadžera lozinki (1Password, Bitwarden, Proton Pass) i dozvolite mu automatsko popunjavanje pristupnih podataka. Odbijat će automatsko popunjavanje na domenama koje izgledaju slično, pružajući vam ugrađeni detektor phishinga.
  2. Omogućite 2FA otpornu na phishing:Dodajte FIDO2 hardverski ključ (YubiKey, Google Titan) ili passkey na vaše najvažnije račune — najprije e-mail, zatim bankarstvo, pohranu u oblaku i menadžer lozinki. Ovo su jedine metode 2FA koje zaista zaustavljaju moderni phishing.
  3. Nikada se ne prijavljujte putem linkova iz e-maila:Kada primite e-mail u kojem se od vas traži da se prijavite, zatvorite e-mail i ručno otvorite stranicu putem oznake (bookmarks) ili unosom URL-a. Link u e-mailu može biti savršena kopija; oznaka u vašem pregledaču nije.
  4. Provjerite tačnu domenu prije unosa:Prije unosa bilo koje lozinke, pogledajte puni URL u adresnoj traci. Provjerite HTTPS, ispravno pravopisanje i da nema dodatnih poddomena kao što je paypal.com.secure-login.net.
  5. Prijavite i nastavite dalje:Prijavite pokušaj phishinga svom pružatelju e-mail usluge (većina ima dugme "Prijavi phishing"). Zatim nastavite sa svojim danom — phishing je opasan samo ako nasjednete na njega, a svijest je veći dio borbe.

Često Postavljana Pitanja