Brzi pregled: Phishing ukratko
| Aspekt | Detalji |
|---|---|
| Što je phishing | Prijevara putem lažnih poruka za krađu podataka |
| Učestalost | 3,4 milijarde phishing emailova dnevno |
| Uspješnost | 90% napada počinje phishingom |
| Prosječna šteta | 4,9 milijuna USD po incidentu |
| Vrijeme otkrivanja | Prosječno 207 dana |
| Ključna obrana | Educirani zaposlenici + tehnička zaštita |
Izvršni sažetak
Phishing je najčešći vektor kibernetičkih napada—i najučinkovitiji. Unatoč naprednim tehničkim zaštitama, napadači i dalje uspijevaju jer ciljaju najslabiju kariku: ljudski faktor.
Zašto je ovo važno? Phishing napadi postaju sve sofisticiraniji. AI omogućuje personalizirane napade bez gramatičkih grešaka. Deepfake tehnologija stvara uvjerljive glasovne i video poruke. Jedina učinkovita obrana je educiran zaposlenik koji zna prepoznati znakove opasnosti.
Zapamtite: STOP. THINK. CHECK. Nikad ne reagirajte na hitne zahtjeve bez provjere. Legitimni pošiljatelji mogu pričekati 5 minuta dok provjerite autentičnost.
Ovaj vodič namijenjen je svim zaposlenicima—od recepcije do direktora. Svi smo potencijalne mete.
Što je phishing i zašto je tako učinkovit
Definicija phishinga
Phishing je tehnika socijalnog inženjeringa gdje napadač šalje lažne poruke koje izgledaju kao da dolaze od pouzdanog izvora, s ciljem da žrtva:
- Otkrije osjetljive podatke (lozinke, brojeve kartica)
- Klikne na zlonamjernu poveznicu
- Preuzme zaraženu datoteku
- Izvrši financijsku transakciju
┌─────────────────────────────────────────────────────────────┐
│ KAKO PHISHING RADI │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1. NAPADAČ │
│ └─ Kreira lažnu poruku koja izgleda legitimno │
│ │
│ 2. ISPORUKA │
│ └─ Šalje email, SMS, ili nazove žrtvu │
│ │
│ 3. MAMAC │
│ └─ Koristi hitnost, strah ili pohlepu │
│ └─ "Vaš račun je blokiran!" │
│ └─ "Osvojili ste nagradu!" │
│ │
│ 4. AKCIJA ŽRTVE │
│ └─ Žrtva klikne link / unese podatke / otvori privitak │
│ │
│ 5. KOMPROMITACIJA │
│ └─ Napadač dobiva pristup, podatke ili novac │
│ │
└─────────────────────────────────────────────────────────────┘
Zašto phishing funkcionira
| Ljudska osobina | Kako je napadači iskorištavaju |
|---|---|
| Povjerenje | Imitiraju poznate brandove i osobe |
| Strah | "Vaš račun će biti zatvoren!" |
| Hitnost | "Morate reagirati u 24 sata!" |
| Znatiželja | "Pogledajte tko vas je pretraživao" |
| Pohlepa | "Osvojili ste 10.000 €!" |
| Pomoć | "Pomozite kolegi u nevolji" |
| Autoritet | "Direktor traži hitno..." |
Statistike koje upozoravaju
Ključne statistike:
- 3,4 milijarde phishing emailova šalje se svaki dan
- 90% uspješnih napada počinje phishingom
- 36% korisnika klikne na phishing link
- 4,9 milijuna USD prosječna šteta po incidentu
- 12 minuta prosječno vrijeme od isporuke do klika
Vrste phishing napada
1. Email phishing (masovni)
Masovno slanje generičkih phishing emailova tisućama primatelja.
| Karakteristike | Detalji |
|---|---|
| Cilj | Što više žrtava |
| Personalizacija | Niska ili nikakva |
| Sofisticiranost | Niska do srednja |
| Primjer | "Poštovani korisniče, vaš račun je blokiran" |
2. Spear phishing (ciljani)
Ciljani napad na specifičnu osobu s personaliziranim sadržajem.
| Karakteristike | Detalji |
|---|---|
| Cilj | Specifična osoba ili grupa |
| Personalizacija | Visoka (ime, tvrtka, funkcija) |
| Sofisticiranost | Visoka |
| Primjer | "Marko, u privitku je izvještaj o projektu X koji ste tražili" |
3. Whaling (lov na "velike ribe")
Ciljanje visokog menadžmenta (CEO, CFO, direktori).
| Karakteristike | Detalji |
|---|---|
| Cilj | C-level menadžment |
| Personalizacija | Vrlo visoka |
| Sofisticiranost | Vrlo visoka |
| Primjer | Lažni email od "odvjetnika" o akviziciji |
4. Business Email Compromise (BEC)
Napadač kompromitira ili imitira poslovni email za financijsku prijevaru.
| Karakteristike | Detalji |
|---|---|
| Cilj | Financijske transakcije |
| Tehnika | Kompromitiran ili lažiran email direktora |
| Šteta | Prosječno 130.000 USD po napadu |
| Primjer | "Hitno izvrši transfer na novi račun dobavljača" |
5. Smishing (SMS phishing)
Phishing putem SMS poruka.
| Karakteristike | Detalji |
|---|---|
| Kanal | SMS, WhatsApp, Viber |
| Prednost za napadača | Teže filtriranje, manje sumnje |
| Primjer | "Banka: Sumnjiva aktivnost. Kliknite ovdje za provjeru" |
6. Vishing (Voice phishing)
Phishing putem telefonskog poziva.
| Karakteristike | Detalji |
|---|---|
| Kanal | Telefonski poziv |
| Tehnika | Predstavljanje kao banka, IT podrška, policija |
| Primjer | "Zovemo iz Microsoft podrške, vaše računalo ima virus" |
7. Clone phishing
Kopiranje legitimnog emaila s izmijenjenom poveznicom ili privitkom.
| Karakteristike | Detalji |
|---|---|
| Tehnika | Kloniranje stvarnog emaila, zamjena linka |
| Opasnost | Vrlo uvjerljivo jer je sadržaj poznat |
| Primjer | Kopija stvarne obavijesti banke s lažnim linkom |
Anatomija phishing emaila
Vizualni primjer s označenim crvenim zastavicama
┌─────────────────────────────────────────────────────────────┐
│ Od: security@paypa1.com │
│ ↑ │
│ 🚩 LAŽNA DOMENA: "paypa1" umjesto "paypal" │
│ │
│ Predmet: [URGENT] Your account has been limited │
│ ↑ │
│ 🚩 HITNOST: Riječi kao "URGENT", "IMMEDIATELY" │
├─────────────────────────────────────────────────────────────┤
│ │
│ Dear Valued Customer, │
│ ↑ │
│ 🚩 GENERIČKI POZDRAV: Ne koristi vaše ime │
│ │
│ We have noticed suspicous activity on your account. │
│ ↑ │
│ 🚩 PRAVOPISNA GREŠKA: "suspicous" │
│ │
│ Your account will be permanently limited unless you │
│ verify your information within 24 hours. │
│ ↑ │
│ 🚩 PRIJETNJA I ROK │
│ │
│ Click here to verify: www.paypal-secure-verify.com/login │
│ ↑ │
│ 🚩 SUMNJIVA DOMENA: nije paypal.com │
│ │
│ Thank you, │
│ PayPal Security Team │
│ │
│ [Verify Now] ← 🚩 SUMNJIVI GUMB: Stvarna destinacija? │
│ │
└─────────────────────────────────────────────────────────────┘
10 crvenih zastavica phishing emaila
| # | Zastavica | Kako provjeriti |
|---|---|---|
| 1 | Sumnjiva adresa pošiljatelja | Provjerite domenu (iza @) |
| 2 | Generički pozdrav | "Dear Customer" umjesto vašeg imena |
| 3 | Gramatičke greške | Profesionalne tvrtke ne griješe |
| 4 | Hitnost i pritisak | "Odmah", "24 sata", "Hitno" |
| 5 | Prijetnje | "Račun će biti zatvoren" |
| 6 | Sumnjive poveznice | Držite miš iznad (bez klika!) |
| 7 | Neočekivani privici | Posebno .exe, .zip, .doc s makroima |
| 8 | Zahtjev za podacima | Lozinke, PIN, OIB, broj kartice |
| 9 | Previše dobro da bi bilo istinito | "Osvojili ste!" |
| 10 | Nepodudarnost | Link kaže jedno, URL drugo |
Kako prepoznati phishing
Provjera emaila: 5 koraka
┌─────────────────────────────────────────────────────────────┐
│ 5 KORAKA ZA PROVJERU EMAILA │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1️⃣ PROVJERITE POŠILJATELJA │
│ └─ Kliknite na ime pošiljatelja │
│ └─ Pogledajte stvarnu email adresu │
│ └─ Je li domena ispravna? (paypal.com vs paypa1.com) │
│ │
│ 2️⃣ PROVJERITE POVEZNICE (BEZ KLIKA!) │
│ └─ Držite miš iznad linka │
│ └─ Pogledajte URL u donjem lijevom kutu preglednika │
│ └─ Podudara li se s očekivanom adresom? │
│ │
│ 3️⃣ PROVJERITE SADRŽAJ │
│ └─ Ima li gramatičkih grešaka? │
│ └─ Je li ton hitan i prijeteći? │
│ └─ Traži li osjetljive podatke? │
│ │
│ 4️⃣ PROVJERITE KONTEKST │
│ └─ Očekujete li ovaj email? │
│ └─ Ima li smisla da vam ova osoba/tvrtka piše? │
│ └─ Možete li verificirati drugim kanalom? │
│ │
│ 5️⃣ KADA U SUMNJI - PRIJAVITE │
│ └─ Ne klikajte, ne odgovarajte │
│ └─ Proslijedite IT sigurnosti │
│ └─ Bolje lažna uzbuna nego propušten napad │
│ │
└─────────────────────────────────────────────────────────────┘
Provjera SMS-a (smishing)
- Ne klikajte na linkove u SMS-ovima od nepoznatih brojeva
- Banka vas neće tražiti podatke putem SMS-a
- Ako sumnjate, nazovite banku na službeni broj (ne iz SMS-a!)
- Provjerite broj pošiljatelja
Provjera telefonskog poziva (vishing)
- Microsoft vas neće nazvati da vam kaže da imate virus
- Banka neće tražiti PIN ili lozinku telefonom
- Ako sumnjate, poklopite i nazovite službeni broj
- Ne dajte pristup računalu nepoznatim pozivateljima
Primjeri stvarnih phishing napada
Primjer 1: Lažni Microsoft 365 login
Scenarij: Email koji kaže da vam istječe lozinka za Office 365.
Od: admin@microsoft-365-support.com 🚩
Predmet: Your password expires in 24 hours
Your Microsoft 365 password will expire soon.
Click here to keep your current password: [Update Password]
Link vodi na: microsoft-365.fake-login.com 🚩
Cilj: Krađa Office 365 kredencijala
Primjer 2: CEO Fraud (BEC napad)
Scenarij: Email koji izgleda kao da dolazi od direktora.
Od: ivan.horvat@tvrtka.com (zapravo: ivan.horvat@tvrtka-hr.com) 🚩
Predmet: Hitno - povjerljivo
Marija,
Trebam da hitno izvršiš transfer od 45.000 € na račun novog
dobavljača. Detalji u privitku. Ovo je povjerljivo - ne
obavještavaj nikoga dok se ne završi.
Na sastanku sam cijeli dan, ne mogu na telefon.
Ivan
Cilj: Prijevarni transfer novca
Primjer 3: Lažna dostava paketa
Scenarij: SMS o paketu koji čeka isporuku.
HP: Vaš paket čeka isporuku. Platite 12 kn za carinu:
https://hp-dostava.fake-site.com 🚩
Cilj: Krađa podataka kartice
Primjer 4: Phishing unutar organizacije
Scenarij: Email od "IT odjela" s linkovima za "sigurnosno ažuriranje".
Od: it-podrska@vasa-tvrtka.com (kompromitiran račun)
Predmet: Obvezno sigurnosno ažuriranje
Poštovani,
Zbog sigurnosnog incidenta, svi zaposlenici moraju odmah
promijeniti lozinku. Kliknite ovdje: [Promijeni lozinku]
IT Odjel
Cilj: Kompromitacija internih računa
Što učiniti ako ste kliknuli
Odmah (prvih 5 minuta)
┌─────────────────────────────────────────────────────────────┐
│ KLIKNULI STE NA PHISHING? REAGIRAJTE! │
├─────────────────────────────────────────────────────────────┤
│ │
│ ⏱️ PRVIH 5 MINUTA - KRITIČNO │
│ │
│ 1. PREKINITE VEZU │
│ └─ Zatvorite preglednik │
│ └─ NE unosite nikakve podatke │
│ │
│ 2. PRIJAVITE IT ODJELU │
│ └─ Odmah nazovite ili pošaljite poruku │
│ └─ Ne čekajte - svaka minuta je važna │
│ │
│ 3. AKO STE UNIJELI LOZINKU │
│ └─ Odmah je promijenite (s drugog uređaja!) │
│ └─ Promijenite je i na svim drugim mjestima gdje │
│ koristite istu lozinku │
│ │
│ 4. AKO STE UNIJELI PODATKE KARTICE │
│ └─ Nazovite banku i blokirajte karticu │
│ └─ Pratite transakcije │
│ │
│ 5. AKO STE OTVORILI PRIVITAK │
│ └─ Odspojite računalo s mreže │
│ └─ NE gasiti računalo (dokazi!) │
│ └─ Čekajte IT odjel │
│ │
└─────────────────────────────────────────────────────────────┘
Što NE činiti
❌ Ne ignorirajte incident nadajući se da će proći
❌ Ne pokušavajte sami "očistiti" računalo
❌ Ne brišite dokaze (emailove, povijest preglednika)
❌ Ne osjećajte sramotu—prijavite čim prije
Važno: Brza prijava može spriječiti širenje napada. Nikad ne skrivajte incident—čak i ako ste vi kliknuli, važnije je brza reakcija nego traženje krivca.
Zaštita organizacije od phishinga
Tehnička zaštita
| Mjera | Opis |
|---|---|
| Email filtriranje | Blokiranje poznatih phishing domena |
| SPF/DKIM/DMARC | Autentifikacija email pošiljatelja |
| Web filtriranje | Blokiranje poznatih malicioznih stranica |
| Sandboxing | Analiza privitaka u izoliranom okruženju |
| MFA | Dvofaktorska autentifikacija za sve račune |
| Endpoint zaštita | Antivirus i EDR rješenja |
Organizacijske mjere
| Mjera | Opis |
|---|---|
| Edukacija zaposlenika | Redovita obuka o prepoznavanju phishinga |
| Phishing simulacije | Testiranje i podizanje svijesti |
| Politike | Jasna pravila o rukovanju sumnjivim porukama |
| Incident response | Plan reakcije na phishing incidente |
| Kultura prijave | Poticanje prijave bez straha od kazne |
Ljudska zaštita (najvažnija!)
Tehnologija može blokirati poznate prijetnje, ali samo educirani zaposlenici mogu prepoznati nove, sofisticirane napade.
Phishing simulacije i testiranje
Zašto provoditi simulacije
- Mjerenje — Koliko je zaposlenika podložno phishingu?
- Edukacija — Učenje kroz sigurno iskustvo
- Praćenje — Poboljšava li se stanje nakon edukacije?
- Compliance — Dokaz o edukaciji za regulatore
Kako provesti simulaciju
- Planirajte — Definirajte ciljeve i scenarije
- Kreirajte — Realistične, ali sigurne phishing emailove
- Pošaljite — Ciljano ili cijeloj organizaciji
- Pratite — Tko je kliknuo, tko je prijavio
- Educirajte — Odmah nakon klika pokažite edukativni materijal
- Analizirajte — Identificirajte rizične grupe
- Ponovite — Redovito (kvartalno)
Metrike za praćenje
| Metrika | Cilj |
|---|---|
| Click rate | <5% (idealno <2%) |
| Report rate | >70% |
| Vrijeme do prijave | <15 minuta |
| Ponavljači | Smanjenje iz kvartala u kvartal |
Phishing i mobilni uređaji
Zašto je mobilni phishing opasniji
| Faktor | Objašnjenje |
|---|---|
| Manji ekran | Teže vidjeti punu URL adresu |
| Žurba | Mobitel koristimo "u hodu" |
| SMS povjerenje | SMS izgleda legitimnije od emaila |
| Manje zaštite | Slabije filtriranje na mobilnim mrežama |
| Aplikacije | Lažne aplikacije u app storeovima |
Zaštita na mobilnim uređajima
- ✅ Ne klikajte na linkove u SMS-ovima od nepoznatih
- ✅ Instalirajte aplikacije samo iz službenih izvora
- ✅ Provjerite dozvole koje aplikacija traži
- ✅ Koristite VPN na javnim mrežama
- ✅ Omogućite remote wipe za slučaj gubitka
Budućnost phishinga: AI i deepfake
AI-generirani phishing
Umjetna inteligencija omogućuje:
- Savršen jezik — Nema gramatičkih grešaka
- Personalizacija — Automatski prikupljeni podaci o žrtvi
- Skalabilnost — Tisuće personaliziranih emailova u sekundama
- Adaptivnost — Učenje iz neuspjelih pokušaja
Deepfake prijetnje
| Vrsta | Prijetnja |
|---|---|
| Glasovni deepfake | Lažni poziv s glasom direktora |
| Video deepfake | Lažni video poziv (Zoom, Teams) |
| Tekstualni deepfake | AI koji imitira stil pisanja osobe |
Kako se pripremiti
- Verifikacija preko drugog kanala — Uvijek provjerite sumnjive zahtjeve
- Code words — Dogovoreni kodovi za hitne situacije
- Kultura sumnje — "Trust but verify" pristup
- Napredna edukacija — Upoznavanje zaposlenika s novim prijetnjama
Zaključak
Phishing nije nestajuća prijetnja—postaje sve sofisticiraniji. Tehnička zaštita je nužna, ali nedovoljna. Jedina učinkovita obrana je educiran zaposlenik koji zna prepoznati napad.
Ključne poruke za pamćenje
| Situacija | Pravilo |
|---|---|
| Sumnjiv email | STOP — Ne klikaj, provjeri, prijavi |
| Hitan zahtjev | PAUZA — Legitimni zahtjevi mogu čekati 5 minuta |
| Zahtjev za lozinkom | NIKAD — Nitko legitiman ne traži lozinku emailom |
| Neočekivani privitak | NE OTVARAJ — Provjeri s pošiljateljem |
| Kliknuli ste | PRIJAVI ODMAH — Svaka sekunda je važna |
Vaš akcijski plan
- Naučite prepoznati — Proučite primjere u ovom vodiču
- Verificirajte uvijek — Sumnjive zahtjeve provjerite drugim kanalom
- Prijavite bez straha — Bolje lažna uzbuna nego propušten napad
- Educirajte se redovito — Napadači se razvijaju, i vi morate
Zaštitite svoju organizaciju od phishinga
CompliQuest nudi online tečajeve o kibernetičkoj sigurnosti s fokusom na phishing, uključujući interaktivne primjere, simulacije i testove. Naši tečajevi pomažu organizacijama ispuniti zahtjeve NIS2 direktive za edukaciju zaposlenika.
Pogledajte edukaciju o cyber prijetnjama | Kontaktirajte nas
Često postavljana pitanja
Što je phishing?
Phishing je oblik kibernetičkog napada u kojem napadači šalju lažne poruke (email, SMS, poziv) predstavljajući se kao pouzdani izvor kako bi naveli žrtvu da otkrije osjetljive podatke, klikne na zlonamjerni link ili instalira malware.
Koliko su phishing napadi česti?
Prema podacima ENISA-e, phishing je odgovoran za više od 90% uspješnih kibernetičkih napada. Globalno se dnevno šalje oko 3,4 milijarde phishing emailova. U Hrvatskoj, CERT bilježi tisuće prijava godišnje.
Kako prepoznati phishing email?
Ključni znakovi: neočekivani zahtjevi za osobnim podacima ili lozinkama, sumnjiva adresa pošiljatelja, pravopisne greške, generičko oslovljavanje ("Dragi korisniče"), hitnost i prijetnje, te sumnjivi linkovi ili privici.
Što napraviti ako sam kliknuo na phishing link?
Odmah obavijestite IT odjel ili odgovornu osobu za sigurnost. Promijenite lozinke na svim potencijalno pogođenim računima. Ne pokušavajte sami riješiti problem. Brza prijava značajno smanjuje potencijalnu štetu.
Može li antivirus zaštititi od phishinga?
Antivirusni softver može blokirati neke poznate phishing stranice i zlonamjerne privitke, ali nije dovoljan sam po sebi. Ljudska educiranost ostaje najvažnija linija obrane jer napadači stalno mijenjaju taktike.
Je li moja tvrtka obvezna educirati zaposlenike o phishingu?
NIS2 direktiva (članak 21) eksplicitno zahtijeva "prakse kibernetičke higijene i obuku" za sve obvezne subjekte. GDPR također zahtijeva odgovarajuće organizacijske mjere, što uključuje edukaciju o prepoznavanju prijetnji.
Što je spear phishing?
Spear phishing je ciljani oblik phishinga usmjeren na konkretnu osobu ili organizaciju. Napadači koriste javno dostupne informacije (LinkedIn, web stranica tvrtke) za kreiranje uvjerljivih poruka. Posebno je opasan za rukovoditelje i zaposlenike s pristupom financijama.
Kako organizirati simulaciju phishing napada?
Simulacije uključuju slanje kontroliranih lažnih emailova zaposlenicima i praćenje tko klikne. Rezultati se koriste za ciljanu edukaciju. Preporučuje se provoditi simulacije svaka 2-3 mjeseca s različitim scenarijima.
Izvori
- ENISA Threat Landscape 2024 — godišnji pregled prijetnji u EU
- CERT.hr — prijava i statistika kibernetičkih incidenata u Hrvatskoj
- APWG: Phishing Activity Trends Report — globalna statistika phishing napada
- NIS2 direktiva (EU) 2022/2555 — obveze edukacije zaposlenika
- Verizon DBIR 2024 — analiza kršenja podataka i uloge phishinga
Povezani članci
- Kibernetička sigurnost: Vodič za zaposlenike
- NIS2 direktiva: Što hrvatska poduzeća moraju znati
- E-learning u poduzećima: Prednosti online edukacije
- Pojmovnik: Compliance termini i definicije
Ovaj članak služi kao edukativni vodič. Za tehničku implementaciju sigurnosnih mjera konzultirajte IT stručnjake vaše organizacije.