Preskoči na glavni sadržaj

Kako se zaštititi od phishing napada

Phishing je uzrok br. 1 krađe računa. Kako funkcionira moderni phishing, znakovi upozorenja i obrane koje zaista zaustavljaju napade.

Zadnje ažurirano: 14. travnja 2026.

Sažetak

  • Phishing je uzrok br. 1 preuzimanja računa — napadači vas navare da unesete podatke za prijavu na lažnoj stranici.
  • Moderni phishing kompleti kloniraju stranice za prijavu do savršenstva i posreduju vaše 2FA kodove u stvarnom vremenu.
  • Hardverski sigurnosni ključevi (YubiKey, FIDO2) jedina su obrana koja je konstruktivno zaštićena od phishinga.
  • Upravitelji lozinkama štite vas tako što odbijaju automatsko popunjavanje na pogrešnoj domeni.
  • Provjerite točnu domenu prije unosa podataka za prijavu i nikada se ne prijavljujte putem veze iz e-pošte.

Što je phishing?

Phishing je napad društvenog inženjeringa u kojemu napadač izrađuje uvjerljivu kopiju legitimne web-stranice — često do savršenog piksela — i navodi žrtvu da tamo unese vjerodajnice. Čim žrtva pošalje obrazac, napadač preuzima korisničko ime, lozinku i eventualni drugi faktor, a zatim ih koristi za preuzimanje pravog računa u roku od nekoliko sekundi.

Naziv dolazi od metafore "pecanja" (fishing) žrtava mamcem (obično e-poštom). Pravopis je promijenjen kako bi se naglasilo da napadači često koriste phone brojeve (SMS phishing, ili "smishing") i profesionalnu infrastrukturu.

Zašto je phishing i dalje prijetnja br. 1

Većina velikih proboja računa danas ne uključuje hakiranje, razbijanje lozinki ili zaobilaženje enkripcije. Uključuje čovjeka koji upisuje lozinku na lažnoj stranici. Phishing je:

  • Jeftin — napadač može poslati milijune e-poruka za cijenu VPS-a i lažirane domene
  • Teško ga je filtrirati — moderni kompleti rotiraju domene, koriste legitimni hosting i prilagođavaju se filtrima u stvarnom vremenu
  • Učinkovit — čak i sigurnosno svjesni korisnici nasjedaju na dobro izrađene ciljane pokušaje (spear phishing)
  • Skalabilan — jedan uspješan phishing često pruža pristup desecima povezanih usluga putem ponovne upotrebe lozinki

Istraživanje Verizon Data Breach Investigations Report za 2024. utvrdilo je da je phishing bio početni vektor pristupa u više od 36% svih proboja — više nego bilo koji drugi pojedinačni uzrok.

Kako funkcionira moderni phishing

Phishing se znatno razvio od e-poruka "nigerijskog princa" iz 2000-ih. Moderni phishing napad obično uključuje:

1. Uvjerljiv mamac

Obično e-poruka, SMS ili poruka u chatu koja stvara hitnost ("Vaš račun bit će suspendiran"), autoritet ("Microsoftov sigurnosni tim") ili znatiželju ("Netko vas je označio na fotografiji"). Spear-phishing ide korak dalje s osobnim detaljima preuzetim s LinkedIna, baza podataka s procurelim informacijama ili prethodnih prepiska.

2. Lažna stranica savršena do piksela

Napadači koriste gotove phishing komplete koji kloniraju HTML, CSS i JavaScript ciljne stranice. Mnogi kompleti prodaju se kao usluga (phishing-as-a-service), s funkcionalnim nadzornim pločama i korisničkom podrškom.

3. Posrednik u stvarnom vremenu za 2FA

Opasni dio: moderni kompleti ne hvataju samo vašu lozinku. Djeluju kao posrednik čovjeka u sredini (man-in-the-middle proxy) koji prosljeđuje sve što tipkate — uključujući vaš TOTP kod — pravoj stranici u roku od nekoliko sekundi, zaobilazeći većinu 2FA. Ova tehnika naziva se adversary-in-the-middle (AiTM) i koristi se u alatima poput Evilginx2 i Modlishka.

4. Krađa tokena sesije

Kad se autentificirate putem posrednika, napadač preuzima vaš kolačić sesije i može ga koristiti za ostajanje prijavljenim čak i nakon promjene lozinke. Zbog toga odgovor na phishing uvijek uključuje opoziv aktivnih sesija, a ne samo rotaciju lozinke.

Što zaista zaustavlja phishing

Hardverski sigurnosni ključevi (FIDO2 / WebAuthn)

Ovo je jedina kategorija obrane koja je konstruktivno zaštićena od phishinga. Kada se prijavljujete s FIDO2 ključem, vaš ključ kriptografski provjerava točnu domenu stranice koja zahtijeva autentifikaciju. Lažna stranica — bez obzira koliko vizualno bila savršena — ima drugu domenu, pa ključ odbija odgovoriti. Kriptografsko rukovanje jednostavno se ne dovršava.

Google je poznato uveo obavezu korištenja YubiKey ključeva za svih 85.000+ zaposlenika 2017. i od tada prijavljuje nula uspješnih phishing napada na račune tvrtke.

Pristupni ključevi (Passkeys)

Pristupni ključevi su potrošačka evolucija FIDO2. Koriste istu kriptografiju vezanu uz domenu i ugrađeni su u iOS, Android, macOS i Windows. Ako stranica koju koristite podržava pristupne ključeve, njihovim omogućavanjem taj račun postaje zaštićen od phishinga.

Upravitelji lozinkama

Upravitelj lozinkama vaša je druga linija obrane jer automatski popunjava vjerodajnice samo na točnoj domeni na kojoj su bile pohranjene. Ako dospijete na paypaI.com (veliko I) umjesto paypal.com, vaš upravitelj tiho odbija popuniti obrazac. To odbijanje glasno upozorava da nešto nije u redu.

Filtriranje e-pošte i DNS-a

Davatelji e-pošte koriste DMARC, SPF i DKIM za otkrivanje lažiranih adresa pošiljatelja. Većina modernih davatelja hvata očite pokušaje, ali ciljani napadi i dalje prolaze. Omogućite gumbe "prijavi phishing" u svom klijentu e-pošte kako biste pomogli poboljšanju filtara.

Znakovi upozorenja na koje treba paziti

Kada primite poruku koja vas traži da se prijavite, potvrdite ili hitno djelujete:

  • Hitnost i prijetnje — "Vaš račun bit će zatvoren za 24 sata"
  • Generički pozdravi — "Poštovani korisniče" umjesto vašeg imena
  • Domene sličnog izgledapaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekivani privici — posebno .zip, .html ili .pdf datoteke koje traže prijavu za pregled
  • Gramatičke ili oblikovne pogreške — velike tvrtke lektoriraju svoje e-poruke
  • Nepodudaranje veza — zadržite pokazivač miša iznad veze i provjerite odgovara li odredište tekstu

Ako vam bilo što izgleda sumnjivo, zatvorite e-poštu. Ručno otvorite stranicu. Ako postoji pravi problem, vidjet ćete ga kad se prijavite uobičajenim putem.

Što učiniti ako ste nasjednuli

Djelujte brzo — brzina je važna jer napadači počinju koristiti vjerodajnice u roku od nekoliko minuta.

  1. Odmah promijenite lozinku na drugom uređaju (npr. telefonu, ako ste nasjednuli na laptopu)
  2. Opozovite sve aktivne sesije u postavkama računa — to izbacuje sve koji trenutno koriste ukradene tokene sesije
  3. Omogućite 2FA ako već nije bila uključena, i po mogućnosti koristite hardverski ključ ili pristupni ključ
  4. Provjerite neovlaštenu aktivnost — poslane e-poruke, nedavne prijave, promjene naplate, nova pravila prosljeđivanja
  5. Obavijestite zahvaćenu instituciju ako se radi o financijskom ili poslovnom računu
  6. Provjerite ostale račune koji su koristili istu lozinku — čak i ako ste sigurni da ne ponavljate lozinke, provjerite

Zaključak

Phishing napreduje jer zaobilazi tehnologiju i cilja ljude. Najbolje obrane kombiniraju tri sloja: upravitelji lozinkama (odbijaju automatsko popunjavanje na pogrešnim domenama), 2FA otporan na phishing (hardverski ključevi ili pristupni ključevi koji se vežu uz pravu domenu) i zdravi skepticizam (nikada se ne prijavljujte putem veze iz e-pošte).

Omogućite sva tri na svom najvažnijem računu — e-pošti — najprije. Od tamo, ostatak vašeg digitalnog života postaje znatno sigurniji.

Kako se zaštititi od phishinga

Praktičan, uredan popis koraka za jačanje vaših računa protiv phishing napada.

  1. Koristite upravitelj lozinkama:Instalirajte pouzdani upravitelj lozinkama (1Password, Bitwarden, Proton Pass) i prepustite mu automatsko popunjavanje vjerodajnica. Odbijat će popunjavanje na domenama sličnog izgleda, pružajući vam ugrađeni detektor phishinga.
  2. Omogućite 2FA otporan na phishing:Dodajte FIDO2 hardverski ključ (YubiKey, Google Titan) ili pristupni ključ (passkey) na svoje najvažnije račune — najprije e-poštu, zatim bankarstvo, pohranu u oblaku i upravitelj lozinkama. To su jedine 2FA metode koje zaista zaustavljaju moderni phishing.
  3. Nikada se ne prijavljujte putem veza iz e-pošte:Kada primite e-poštu u kojoj se od vas traži prijava, zatvorite e-poštu i ručno otvorite stranicu putem oznake (bookmarks) ili upisivanjem URL-a. Veza u e-pošti može biti savršen klon; oznaka u vašem pregledniku nije.
  4. Provjerite točnu domenu prije unosa:Prije unosa bilo koje lozinke pogledajte puni URL u adresnoj traci. Provjerite https, ispravno pisanje i nepostojanje dodatnih podomena poput paypal.com.secure-login.net.
  5. Prijavite i nastavite dalje:Prijavite phishing pokušaj svom davatelju e-pošte (većina ima gumb "Prijavi phishing"). Zatim nastavite s danom — phishing je opasan samo ako mu nasjednete, a svjesnost je pola bitke.

Često postavljena pitanja