Preskoči na glavni sadržaj

Kako da se zaštitite od phishing napada

Phishing je glavni način na koji se nalozi kradu. Kako funkcioniše moderni phishing, znakovi upozorenja i odbrana koja zaista zaustavlja napade.

Poslednje ažuriranje: 14. април 2026.

Ukratko

  • Phishing je glavni uzrok preuzimanja naloga — napadači vas prevare da unesete akreditive na lažnom sajtu.
  • Moderni phishing kompleti kloniraju stranice za prijavu piksel po piksel i posreduju vaše 2FA kodove u realnom vremenu.
  • Hardverski sigurnosni ključevi (YubiKey, FIDO2) jedina su odbrana koja je po dizajnu otporna na phishing.
  • Menadžeri lozinki štite vas tako što odbijaju da automatski popune podatke na pogrešnom domenu.
  • Pre unosa akreditiva proverite tačan domen i nikada se ne prijavljujte putem linka iz e-pošte.

Šta je phishing?

Phishing je napad socijalnog inženjeringa u kome napadač pravi uverljivu kopiju legitimnog veb-sajta — često piksel po piksel savršenu — i prevari žrtvu da tamo unese akreditive. Čim žrtva pošalje obrazac, napadač zadobija korisničko ime, lozinku i eventualni drugi faktor, a zatim ih za nekoliko sekundi koristi za preuzimanje pravog naloga.

Reč potiče od metafore "pecanja" žrtava mamcem (obično e-poštom). Pravopis je izmenjen kako bi se naglasilo da napadači često koriste phone (SMS phishing, ili "smishing") i profesionalnu infrastrukturu.

Zašto je phishing i dalje pretnja broj jedan

Većina današnjih masovnih provala u naloge ne uključuje hakovanje, probijanje lozinki niti zaobilaženje enkripcije. Uključuje čoveka koji upisuje lozinku na lažnom sajtu. Phishing je:

  • Jeftin — napadač može da pošalje milione e-poruka za cenu VPS-a i lažnog domena
  • Teško filtrirati — moderni kompleti rotiraju domene, koriste legitimni hosting i prilagođavaju se filterima u realnom vremenu
  • Efikasan — čak i korisnici koji vode računa o bezbednosti nasedaju na dobro osmišljene ciljane napade (spear phishing)
  • Skalabilan — jedan uspešan phishing napad često daje pristup desetinama povezanih servisa kroz ponovnu upotrebu lozinki

Izveštaj o istrazi provala podataka kompanije Verizon za 2024. godinu utvrdio je da je phishing bio početni vektor napada u više od 36% svih provala — više nego bilo koji drugi pojedinačni uzrok.

Kako funkcioniše moderni phishing

Phishing se razvio daleko od e-poruka "nigerijskog princa" iz 2000-ih. Moderni phishing napad tipično uključuje:

1. Uverljiv mamac

Obično e-poruka, SMS ili poruka u četu koja stvara hitnost ("Vaš nalog će biti suspendovan"), autoritet ("Microsoftov tim za bezbednost") ili radoznalost ("Neko vas je označio na fotografiji"). Spear-phishing ide korak dalje uz lične detalje preuzete sa LinkedIn-a, arhiva provala ili prethodne prepiske.

2. Lažni sajt savršen piksel po piksel

Napadači koriste gotove phishing komplete koji kloniraju HTML, CSS i JavaScript ciljnog sajta. Mnogi kompleti prodaju se kao usluga (phishing-as-a-service), sa funkcionalnim kontrolnim tablama i korisničkom podrškom.

3. Posrednik u realnom vremenu za 2FA

Opasni deo: moderni kompleti ne zadobijaju samo vašu lozinku. Deluju kao posrednik čoveka u sredini koji sve što ukucate — uključujući vaš TOTP kod — prosleđuje na pravi sajt za nekoliko sekundi, zaobilazeći većinu 2FA metoda. Ova tehnika se naziva adversary-in-the-middle (AiTM) i koristi se u alatima poput Evilginx2 i Modlishka.

4. Krađa tokena sesije

Kada se autentifikujete putem posrednika, napadač zadobija vaš kolačić sesije i može ga koristiti da ostane prijavljen čak i nakon što promenite lozinku. Zbog toga odgovor na phishing uvek uključuje opozivanje aktivnih sesija, a ne samo rotaciju lozinki.

Šta zaista zaustavlja phishing

Hardverski sigurnosni ključevi (FIDO2 / WebAuthn)

Ovo je jedina kategorija odbrane koja je otporna na phishing po dizajnu. Kada se prijavite FIDO2 ključem, vaš ključ kriptografski verifikuje tačan domen sajta koji zahteva autentifikaciju. Lažni sajt — bez obzira na to koliko je vizuelno savršen — ima drugačiji domen, pa ključ odbija da odgovori. Kriptografsko rukovanje jednostavno ne može da se dovrši.

Google je čuveno uveo obaveznu upotrebu YubiKey-eva za svih 85.000+ zaposlenih 2017. godine i od tada nije zabeležio nijedan uspešan phishing napad na naloge kompanije.

Passkey-evi

Passkey-evi su korisnički prijatna evolucija FIDO2. Koriste istu kriptografiju vezanu za domen i ugrađeni su u iOS, Android, macOS i Windows. Ako sajt koji koristite podržava passkey-eve, njihovim uključivanjem taj nalog postaje otporan na phishing.

Menadžeri lozinki

Menadžer lozinki je vaša druga linija odbrane jer automatski popunjava akreditive samo na tačnom domenu gde su sačuvani. Ako dospete na paypaI.com (veliko slovo I) umesto paypal.com, vaš menadžer će tiho odbiti da popuni obrazac. To odbijanje je glasno upozorenje da nešto nije u redu.

Filtriranje e-pošte i DNS-a

Provajderi e-pošte koriste DMARC, SPF i DKIM za otkrivanje lažiranih adresa pošiljaoca. Većina modernih provajdera hvata očigledne pokušaje, ali ciljani napadi i dalje prolaze. Uključite dugme "prijavi phishing" u svom klijentu za poštu kako biste pomogli u poboljšanju filtera.

Znakovi upozorenja na koje treba obratiti pažnju

Kada primite poruku koja vas traži da se prijavite, verifikujete ili hitno postupite:

  • Hitnost i pretnje — "Vaš nalog će biti ugašen za 24 sata"
  • Generički pozdravi — "Dragi kupče" umesto vašeg imena
  • Domeni koji liče na pravepaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekivani prilozi — posebno .zip, .html ili .pdf datoteke koje od vas traže da se prijavite kako biste ih videli
  • Gramatičke ili stilske greške — velike kompanije lektorišu svoju e-poštu
  • Neslaganje linkova — zadržite kursor iznad linka i proverite da li odredište odgovara tekstu

Ako vam nešto deluje sumnjivo, zatvorite e-poštu. Ručno navigirajte do sajta. Ako postoji pravi problem, videćete ga kada se prijavite na uobičajeni način.

Šta da uradite ako ste naseli na phishing

Delujte brzo — brzina je važna jer napadači počinju da koriste akreditive za nekoliko minuta.

  1. Odmah promenite lozinku na drugom uređaju (na primer, telefonu, ako ste naseli na laptopu)
  2. Opozovite sve aktivne sesije u podešavanjima naloga — ovo izbacuje sve koji trenutno koriste ukradene tokene sesije
  3. Uključite 2FA ako već nije uključena, i koristite hardverski ključ ili passkey ako je moguće
  4. Proverite neovlašćenu aktivnost — poslate e-poruke, nedavne prijave, promene naplate, nova pravila prosleđivanja
  5. Obavestite pogođenu instituciju ako je u pitanju finansijski ili poslovni nalog
  6. Proverite druge naloge koji su koristili istu lozinku — čak i ako ste sigurni da ne ponavljate lozinke, proverite

Zaključak

Phishing napreduje jer zaobilazi tehnologiju i cilja ljude. Najbolja odbrana kombinuje tri sloja: menadžeri lozinki (odbijaju automatsko popunjavanje na pogrešnim domenima), 2FA otporna na phishing (hardverski ključevi ili passkey-evi koji su vezani za pravi domen) i zdrava skepsa (nikada se ne prijavljujte putem linka iz e-pošte).

Primenite sva tri na svom najvažnijem nalogu — e-pošti — kao prvom koraku. Od toga, ostatak vašeg digitalnog života postaje znatno bezbedniji.

Kako da se zaštitite od phishinga

Praktična, uređena lista koraka za zaštitu naloga od phishing napada.

  1. Koristite menadžer lozinki:Instalirajte pouzdani menadžer lozinki (1Password, Bitwarden, Proton Pass) i dozvolite mu da automatski popunjava akreditive. On će odbiti automatsko popunjavanje na sajtovima koji liče na prave, čime postaje ugrađeni detektor phishinga.
  2. Uključite 2FA otpornu na phishing:Dodajte FIDO2 hardverski ključ (YubiKey, Google Titan) ili passkey na svoje najvažnije naloge — najpre e-poštu, zatim bankarstvo, skladište u oblaku i menadžer lozinki. To su jedine 2FA metode koje zaista zaustavljaju moderni phishing.
  3. Nikada se ne prijavljujte putem linkova iz e-pošte:Kada dobijete e-poštu u kojoj se od vas traži da se prijavite, zatvorite e-poštu i ručno navigirajte do sajta putem obeleživača ili upisivanjem URL-a. Link u e-pošti može biti savršena kopija; obeleživač u vašem pretraživaču nije.
  4. Proverite tačan domen pre unosa:Pre unosa bilo koje lozinke, pogledajte puni URL u adresnoj traci. Potražite https, ispravno pisanje i izostanak dodatnih poddomena poput paypal.com.secure-login.net.
  5. Prijavite i nastavite dalje:Prijavite pokušaj phishinga svom provajderu e-pošte (većina ima dugme "Prijavi phishing"). Zatim nastavite sa svojim danom — phishing je opasan samo ako nasednete na njega, a svest o pretnji čini većinu bitke.

Često postavljana pitanja