Preskoči na glavno vsebino

Kako se zaščititi pred phishing napadi

Phishing je #1 vzrok kraje računov. Kako deluje sodobni phishing, rdeče zastavice in obrambe, ki napade dejansko ustavijo.

Zadnja posodobitev: 14. april 2026

Povzetek

  • Phishing je #1 vzrok prevzema računov — napadalci vas pretentajo, da vpišete poverilnice na lažnem spletnem mestu.
  • Sodobni phishing kompleti klonirajo prijavne strani do popolnega piksla in v realnem času posredujejo vaše 2FA kode.
  • Strojni varnostni ključi (YubiKey, FIDO2) so edina obramba, ki je po zasnovi odporna na phishing.
  • Upravljalniki gesel vas ščitijo tako, da zavrnejo samodejno izpolnjevanje na napačni domeni.
  • Pred vnosom poverilnic preverite točno domeno in se nikoli ne prijavljajte prek povezave v e-pošti.

Kaj je phishing?

Phishing je napad socialnega inženiringa, pri katerem napadalec ustvari prepričljivo kopijo zakonitega spletnega mesta — pogosto do popolnega piksla — in žrtev pretenta v vnos poverilnic. V trenutku, ko žrtev pošlje obrazec, napadalec zajame uporabniško ime, geslo in kateri koli drugi faktor, nato pa jih v nekaj sekundah uporabi za prevzem pravega računa.

Beseda izhaja iz metafore "ribolova" za žrtve z vabo (ponavadi e-pošta). Črkovanje se je spremenilo, da poudari, da napadalci pogosto uporabljajo phone (telefonske) številke (SMS phishing ali "smishing") in profesionalno videzno infrastrukturo.

Zakaj je phishing še vedno grožnja #1

Večina obsežnih vdorov v račune danes ne vključuje hekerstva, razbijanja gesel ali obhajanja šifriranja. Vključuje človeka, ki vnese geslo na lažnem spletnem mestu. Phishing je:

  • Poceni — napadalec lahko pošlje milijone e-poštnih sporočil za ceno VPS-a in ponarejene domene
  • Težko filtrirati — sodobni kompleti rotirajo domene, uporabljajo zakonito gostovanje in se v realnem času prilagajajo filtrom
  • Učinkovit — celo varnostno ozaveščeni uporabniki nasednejo dobro pripravljenim ciljnim poskusom (spear phishing)
  • Razširljiv — en sam uspešen phishing pogosto omogoči dostop do desetin povezanih storitev prek ponovne uporabe gesel

Poročilo o preiskavah kršitev podatkov Verizon iz leta 2024 je ugotovilo, da je bil phishing začetni vektor dostopa v več kot 36 % vseh kršitev — več kot kateri koli drug posamezni vzrok.

Kako deluje sodobni phishing

Phishing se je razvil daleč onkraj e-poštnih sporočil "nigerijskega princa" iz 2000-ih let. Sodobni phishing napad običajno vključuje:

1. Prepričljiva vaba

Ponavadi e-pošta, sporočilo ali klepetalno sporočilo, ki ustvarja nujnost ("Vaš račun bo suspendiran"), avtoriteto ("Microsoftova varnostna ekipa") ali radovednost ("Nekdo vas je označil na fotografiji"). Spear-phishing gre še dlje z osebnimi podrobnostmi, pridobljenimi z LinkedIn-a, zbirk vdrtih podatkov ali predhodne korespondence.

2. Lažno spletno mesto do popolnega piksla

Napadalci uporabljajo že pripravljene phishing komplete, ki klonirajo HTML, CSS in JavaScript ciljnega spletnega mesta. Mnogi kompleti se prodajajo kot storitev (phishing-as-a-service), z delujočimi nadzornimi ploščami in podporo za stranke.

3. Posrednik v realnem času za 2FA

Nevarni del: sodobni kompleti ne zajamejo samo vašega gesla. Delujejo kot posrednik man-in-the-middle, ki vse, kar vtipkate — vključno z vašo TOTP kodo — posreduje na pravo spletno mesto v nekaj sekundah in s tem obide večino 2FA. Ta tehnika se imenuje adversary-in-the-middle (AiTM) in se uporablja v orodjih, kot sta Evilginx2 in Modlishka.

4. Kraja žetona seje

Ko se avtenticirate prek posrednika, napadalec zajame vaš piškotek seje in ga lahko uporabi za ostajanje prijavljenega, tudi ko spremenite geslo. Zato odziv na phishing vedno vključuje preklic aktivnih sej in ne samo rotacijo gesla.

Kaj dejansko ustavi phishing

Strojni varnostni ključi (FIDO2 / WebAuthn)

To je edina kategorija obrambe, ki je odporna na phishing po zasnovi. Ko se prijavite s ključem FIDO2, vaš ključ kriptografsko preveri točno domeno spletnega mesta, ki zahteva avtentikacijo. Lažno spletno mesto — ne glede na to, kako vizualno popolno je — ima drugačno domeno, zato ključ zavrne odziv. Kriptografski rokovanje preprosto ne bo zaključeno.

Google je leta 2017 slavnostno ukazal YubiKey za vseh 85.000+ zaposlenih in poročal o nič uspešnih phishing napadih na račune podjetja v naslednjih letih.

Prehodni ključi (Passkeys)

Prehodni ključi so za potrošnike prijazna evolucija FIDO2. Uporabljajo isto kriptografijo, vezano na domeno, in so vgrajeni v iOS, Android, macOS in Windows. Če spletno mesto, ki ga uporabljate, podpira prehodne ključe, njihova omogočitev naredi ta račun odporen na phishing.

Upravljalniki gesel

Upravljalnik gesel je vaša druga obrambna linija, ker samodejno izpolnjuje poverilnice samo na točni domeni, kjer so bile shranjene. Če pristanete na paypaI.com (velika I) namesto paypal.com, vaš upravljalnik tiho zavrne izpolnitev obrazca. Ta zavrnitev je glasno opozorilo, da je nekaj narobe.

Filtriranje e-pošte in DNS

Ponudniki e-pošte uporabljajo DMARC, SPF in DKIM za zaznavanje ponarejenih naslovov pošiljateljev. Večina sodobnih ponudnikov ujame očitne poskuse, vendar ciljni napadi še vedno prodrejo skozi. Omogočite gumbe "prijavi phishing" v svojem e-poštnem odjemalcu, da pomagate izboljšati filtre.

Rdeče zastavice, na katere morate biti pozorni

Ko prejmete sporočilo, ki vas prosi, da se prijavite, potrdite ali ukrepate nujno:

  • Nujnost in grožnje — "Vaš račun bo zaprt v 24 urah"
  • Splošni pozdravi — "Spoštovana stranka" namesto vašega imena
  • Podobne domenepaypaI.com, app1e.com, secure-microsoft-login.net
  • Nepričakovane priloge — zlasti datoteke .zip, .html ali .pdf, ki vas prosijo, da se prijavite za ogled
  • Slovnične ali oblikovne napake — velika podjetja lektorirajo svoja e-poštna sporočila
  • Neujemanje povezav — premaknite miško nad povezavo in preverite, ali se destinacija ujema z besedilom

Če se karkoli zdi sumljivo, zaprite e-pošto. Ročno se pomaknite na spletno mesto. Če obstaja resnična težava, jo boste videli, ko se prijavite prek svojega normalnega delovnega toka.

Kaj storiti, če ste nasedli

Ukrepajte hitro — hitrost je pomembna, ker napadalci začnejo uporabljati poverilnice v minutah.

  1. Takoj spremenite geslo na drugi napravi (na primer na telefonu, če ste nasedli na prenosnem računalniku)
  2. Preklicite vse aktivne seje v nastavitvah računa — s tem izženete vse, ki trenutno uporabljajo ukradene žetone seje
  3. Omogočite 2FA, če je še niste imeli, in po možnosti uporabite strojni ključ ali prehodni ključ
  4. Preverite nepooblaščeno dejavnost — poslana e-poštna sporočila, nedavne prijave, spremembe zaračunavanja, nova pravila posredovanja
  5. Obvestite prizadeto institucijo, če gre za finančni ali delovni račun
  6. Preverite druge račune, ki so uporabljali isto geslo — tudi če ste prepričani, da gesel ne ponavljate, preverite

Zaključek

Phishing uspeva, ker obhaja tehnologijo in cilja na ljudi. Najboljše obrambe mešajo tri plasti: upravljalniki gesel (zavrnejo samodejno izpolnjevanje na napačnih domenah), 2FA, odporna na phishing (strojni ključi ali prehodni ključi, vezani na pravo domeno), in zdrava skeptičnost (nikoli se ne prijavljajte prek e-poštne povezave).

Na svojem najpomembnejšem računu — e-pošti — najprej omogočite vse tri. Od tam naprej postane vaše celotno digitalno življenje bistveno varnejše.

Kako se zaščititi pred phishingom

Praktičen, urejen kontrolni seznam za utrjevanje vaših računov proti phishing napadom.

  1. Uporabite upravljalnik gesel:Namestite ugleden upravljalnik gesel (1Password, Bitwarden, Proton Pass) in mu dovolite samodejno izpolnjevanje poverilnic. Zavrnil bo samodejno izpolnjevanje na podobnih domenah in vam tako nudil vgrajen detektor phishinga.
  2. Omogočite 2FA, odporno na phishing:Dodajte FIDO2 strojni ključ (YubiKey, Google Titan) ali prehodni ključ (passkey) na svoje najpomembnejše račune — najprej e-pošto, nato bančništvo, shranjevanje v oblaku in upravljalnik gesel. To so edine metode 2FA, ki dejansko ustavijo sodobni phishing.
  3. Nikoli se ne prijavljajte prek e-poštnih povezav:Ko prejmete e-pošto, ki vas poziva k prijavi, zaprite e-pošto in se ročno pomaknite na spletno mesto prek zaznamka ali z vnosom URL-ja. Povezava v e-pošti je lahko popoln klon; zaznamek v vašem brskalniku ni.
  4. Preverite točno domeno pred vnosom:Preden vnesete katero koli geslo, si oglejte celoten URL v naslovni vrstici. Poiščite https, pravilno črkovanje in nobenih dodatnih poddomen, kot je paypal.com.secure-login.net.
  5. Prijavite in nadaljujte:Prijavite poskus phishinga svojemu ponudniku e-pošte (večina ima gumb "Prijavi phishing"). Nato nadaljujte s svojim dnevom — phishing je nevaren samo, če nasednete, in ozaveščenost je večina bitke.

Pogosto zastavljena vprašanja