Brzi pregled: Phishing ukratko
| Aspekt | Detalji |
|---|---|
| Što je phishing | Prijevara putem lažnih poruka za krađu podataka |
| Učestalost | 3,4 milijarde phishing emailova dnevno |
| Uspješnost | 90% napada počinje phishingom |
| Prosječna šteta | 4,9 milijuna USD po incidentu |
| Vrijeme otkrivanja | Prosječno 207 dana |
| Ključna obrana | Educirani zaposlenici + tehnička zaštita |
Sadržaj
- Što je phishing i zašto je tako učinkovit
- Vrste phishing napada
- Anatomija phishing emaila
- Kako prepoznati phishing
- Primjeri stvarnih phishing napada
- Što učiniti ako ste kliknuli
- Zaštita organizacije od phishinga
- Phishing simulacije i testiranje
- Phishing i mobilni uređaji
- Budućnost phishinga: AI i deepfake
Izvršni sažetak
Phishing je najčešći vektor kibernetičkih napada—i najučinkovitiji. Unatoč naprednim tehničkim zaštitama, napadači i dalje uspijevaju jer ciljaju najslabiju kariku: ljudski faktor.
Zašto je ovo važno? Phishing napadi postaju sve sofisticiraniji. AI omogućuje personalizirane napade bez gramatičkih grešaka. Deepfake tehnologija stvara uvjerljive glasovne i video poruke. Jedina učinkovita obrana je educiran zaposlenik koji zna prepoznati znakove opasnosti.
Zlatno pravilo protiv phishinga: STOP. THINK. CHECK. Nikad ne reagirajte na hitne zahtjeve bez provjere. Legitimni pošiljatelji mogu pričekati 5 minuta dok provjerite autentičnost.
Ovaj vodič namijenjen je svim zaposlenicima—od recepcije do direktora. Svi smo potencijalne mete.
Što je phishing i zašto je tako učinkovit
Definicija phishinga
Phishing je tehnika socijalnog inženjeringa gdje napadač šalje lažne poruke koje izgledaju kao da dolaze od pouzdanog izvora, s ciljem da žrtva:
- Otkrije osjetljive podatke (lozinke, brojeve kartica)
- Klikne na zlonamjernu poveznicu
- Preuzme zaraženu datoteku
- Izvrši financijsku transakciju
┌─────────────────────────────────────────────────────────────┐
│ KAKO PHISHING RADI │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1. NAPADAČ │
│ └─ Kreira lažnu poruku koja izgleda legitimno │
│ │
│ 2. ISPORUKA │
│ └─ Šalje email, SMS, ili nazove žrtvu │
│ │
│ 3. MAMAC │
│ └─ Koristi hitnost, strah ili pohlepu │
│ └─ "Vaš račun je blokiran!" │
│ └─ "Osvojili ste nagradu!" │
│ │
│ 4. AKCIJA ŽRTVE │
│ └─ Žrtva klikne link / unese podatke / otvori privitak │
│ │
│ 5. KOMPROMITACIJA │
│ └─ Napadač dobiva pristup, podatke ili novac │
│ │
└─────────────────────────────────────────────────────────────┘
Zašto phishing funkcionira
| Ljudska osobina | Kako je napadači iskorištavaju |
|---|---|
| Povjerenje | Imitiraju poznate brandove i osobe |
| Strah | "Vaš račun će biti zatvoren!" |
| Hitnost | "Morate reagirati u 24 sata!" |
| Znatiželja | "Pogledajte tko vas je pretraživao" |
| Pohlepa | "Osvojili ste 10.000 €!" |
| Pomoć | "Pomozite kolegi u nevolji" |
| Autoritet | "Direktor traži hitno..." |
Statistike koje upozoravaju
Ključne statistike:
- 3,4 milijarde phishing emailova šalje se svaki dan
- 90% uspješnih napada počinje phishingom
- 36% korisnika klikne na phishing link
- 4,9 milijuna USD prosječna šteta po incidentu
- 12 minuta prosječno vrijeme od isporuke do klika
Vrste phishing napada
1. Email phishing (masovni)
Masovno slanje generičkih phishing emailova tisućama primatelja.
| Karakteristike | Detalji |
|---|---|
| Cilj | Što više žrtava |
| Personalizacija | Niska ili nikakva |
| Sofisticiranost | Niska do srednja |
| Primjer | "Poštovani korisniče, vaš račun je blokiran" |
2. Spear phishing (ciljani)
Ciljani napad na specifičnu osobu s personaliziranim sadržajem.
| Karakteristike | Detalji |
|---|---|
| Cilj | Specifična osoba ili grupa |
| Personalizacija | Visoka (ime, tvrtka, funkcija) |
| Sofisticiranost | Visoka |
| Primjer | "Marko, u privitku je izvještaj o projektu X koji ste tražili" |
3. Whaling (lov na "velike ribe")
Ciljanje visokog menadžmenta (CEO, CFO, direktori).
| Karakteristike | Detalji |
|---|---|
| Cilj | C-level menadžment |
| Personalizacija | Vrlo visoka |
| Sofisticiranost | Vrlo visoka |
| Primjer | Lažni email od "odvjetnika" o akviziciji |
4. Business Email Compromise (BEC)
Napadač kompromitira ili imitira poslovni email za financijsku prijevaru.
| Karakteristike | Detalji |
|---|---|
| Cilj | Financijske transakcije |
| Tehnika | Kompromitiran ili lažiran email direktora |
| Šteta | Prosječno 130.000 USD po napadu |
| Primjer | "Hitno izvrši transfer na novi račun dobavljača" |
5. Smishing (SMS phishing)
Phishing putem SMS poruka.
| Karakteristike | Detalji |
|---|---|
| Kanal | SMS, WhatsApp, Viber |
| Prednost za napadača | Teže filtriranje, manje sumnje |
| Primjer | "Banka: Sumnjiva aktivnost. Kliknite ovdje za provjeru" |
6. Vishing (Voice phishing)
Phishing putem telefonskog poziva.
| Karakteristike | Detalji |
|---|---|
| Kanal | Telefonski poziv |
| Tehnika | Predstavljanje kao banka, IT podrška, policija |
| Primjer | "Zovemo iz Microsoft podrške, vaše računalo ima virus" |
7. Clone phishing
Kopiranje legitimnog emaila s izmijenjenom poveznicom ili privitkom.
| Karakteristike | Detalji |
|---|---|
| Tehnika | Kloniranje stvarnog emaila, zamjena linka |
| Opasnost | Vrlo uvjerljivo jer je sadržaj poznat |
| Primjer | Kopija stvarne obavijesti banke s lažnim linkom |
Anatomija phishing emaila
Vizualni primjer s označenim crvenim zastavicama
┌─────────────────────────────────────────────────────────────┐
│ Od: security@paypa1.com │
│ ↑ │
│ 🚩 LAŽNA DOMENA: "paypa1" umjesto "paypal" │
│ │
│ Predmet: [URGENT] Your account has been limited │
│ ↑ │
│ 🚩 HITNOST: Riječi kao "URGENT", "IMMEDIATELY" │
├─────────────────────────────────────────────────────────────┤
│ │
│ Dear Valued Customer, │
│ ↑ │
│ 🚩 GENERIČKI POZDRAV: Ne koristi vaše ime │
│ │
│ We have noticed suspicous activity on your account. │
│ ↑ │
│ 🚩 PRAVOPISNA GREŠKA: "suspicous" │
│ │
│ Your account will be permanently limited unless you │
│ verify your information within 24 hours. │
│ ↑ │
│ 🚩 PRIJETNJA I ROK │
│ │
│ Click here to verify: www.paypal-secure-verify.com/login │
│ ↑ │
│ 🚩 SUMNJIVA DOMENA: nije paypal.com │
│ │
│ Thank you, │
│ PayPal Security Team │
│ │
│ [Verify Now] ← 🚩 SUMNJIVI GUMB: Stvarna destinacija? │
│ │
└─────────────────────────────────────────────────────────────┘
10 crvenih zastavica phishing emaila
| # | Zastavica | Kako provjeriti |
|---|---|---|
| 1 | Sumnjiva adresa pošiljatelja | Provjerite domenu (iza @) |
| 2 | Generički pozdrav | "Dear Customer" umjesto vašeg imena |
| 3 | Gramatičke greške | Profesionalne tvrtke ne griješe |
| 4 | Hitnost i pritisak | "Odmah", "24 sata", "Hitno" |
| 5 | Prijetnje | "Račun će biti zatvoren" |
| 6 | Sumnjive poveznice | Držite miš iznad (bez klika!) |
| 7 | Neočekivani privici | Posebno .exe, .zip, .doc s makroima |
| 8 | Zahtjev za podacima | Lozinke, PIN, OIB, broj kartice |
| 9 | Previše dobro da bi bilo istinito | "Osvojili ste!" |
| 10 | Nepodudarnost | Link kaže jedno, URL drugo |
Kako prepoznati phishing
Provjera emaila: 5 koraka
┌─────────────────────────────────────────────────────────────┐
│ 5 KORAKA ZA PROVJERU EMAILA │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1️⃣ PROVJERITE POŠILJATELJA │
│ └─ Kliknite na ime pošiljatelja │
│ └─ Pogledajte stvarnu email adresu │
│ └─ Je li domena ispravna? (paypal.com vs paypa1.com) │
│ │
│ 2️⃣ PROVJERITE POVEZNICE (BEZ KLIKA!) │
│ └─ Držite miš iznad linka │
│ └─ Pogledajte URL u donjem lijevom kutu preglednika │
│ └─ Podudara li se s očekivanom adresom? │
│ │
│ 3️⃣ PROVJERITE SADRŽAJ │
│ └─ Ima li gramatičkih grešaka? │
│ └─ Je li ton hitan i prijeteći? │
│ └─ Traži li osjetljive podatke? │
│ │
│ 4️⃣ PROVJERITE KONTEKST │
│ └─ Očekujete li ovaj email? │
│ └─ Ima li smisla da vam ova osoba/tvrtka piše? │
│ └─ Možete li verificirati drugim kanalom? │
│ │
│ 5️⃣ KADA U SUMNJI - PRIJAVITE │
│ └─ Ne klikajte, ne odgovarajte │
│ └─ Proslijedite IT sigurnosti │
│ └─ Bolje lažna uzbuna nego propušten napad │
│ │
└─────────────────────────────────────────────────────────────┘
Provjera SMS-a (smishing)
- Ne klikajte na linkove u SMS-ovima od nepoznatih brojeva
- Banka vas neće tražiti podatke putem SMS-a
- Ako sumnjate, nazovite banku na službeni broj (ne iz SMS-a!)
- Provjerite broj pošiljatelja
Provjera telefonskog poziva (vishing)
- Microsoft vas neće nazvati da vam kaže da imate virus
- Banka neće tražiti PIN ili lozinku telefonom
- Ako sumnjate, poklopite i nazovite službeni broj
- Ne dajte pristup računalu nepoznatim pozivateljima
Primjeri stvarnih phishing napada
Primjer 1: Lažni Microsoft 365 login
Scenarij: Email koji kaže da vam istječe lozinka za Office 365.
Od: admin@microsoft-365-support.com 🚩
Predmet: Your password expires in 24 hours
Your Microsoft 365 password will expire soon.
Click here to keep your current password: [Update Password]
Link vodi na: microsoft-365.fake-login.com 🚩
Cilj: Krađa Office 365 kredencijala
Primjer 2: CEO Fraud (BEC napad)
Scenarij: Email koji izgleda kao da dolazi od direktora.
Od: ivan.horvat@tvrtka.com (zapravo: ivan.horvat@tvrtka-hr.com) 🚩
Predmet: Hitno - povjerljivo
Marija,
Trebam da hitno izvršiš transfer od 45.000 € na račun novog
dobavljača. Detalji u privitku. Ovo je povjerljivo - ne
obavještavaj nikoga dok se ne završi.
Na sastanku sam cijeli dan, ne mogu na telefon.
Ivan
Cilj: Prijevarni transfer novca
Primjer 3: Lažna dostava paketa
Scenarij: SMS o paketu koji čeka isporuku.
HP: Vaš paket čeka isporuku. Platite 12 kn za carinu:
https://hp-dostava.fake-site.com 🚩
Cilj: Krađa podataka kartice
Primjer 4: Phishing unutar organizacije
Scenarij: Email od "IT odjela" s linkovima za "sigurnosno ažuriranje".
Od: it-podrska@vasa-tvrtka.com (kompromitiran račun)
Predmet: Obvezno sigurnosno ažuriranje
Poštovani,
Zbog sigurnosnog incidenta, svi zaposlenici moraju odmah
promijeniti lozinku. Kliknite ovdje: [Promijeni lozinku]
IT Odjel
Cilj: Kompromitacija internih računa
Što učiniti ako ste kliknuli
Odmah (prvih 5 minuta)
┌─────────────────────────────────────────────────────────────┐
│ KLIKNULI STE NA PHISHING? REAGIRAJTE! │
├─────────────────────────────────────────────────────────────┤
│ │
│ ⏱️ PRVIH 5 MINUTA - KRITIČNO │
│ │
│ 1. PREKINITE VEZU │
│ └─ Zatvorite preglednik │
│ └─ NE unosite nikakve podatke │
│ │
│ 2. PRIJAVITE IT ODJELU │
│ └─ Odmah nazovite ili pošaljite poruku │
│ └─ Ne čekajte - svaka minuta je važna │
│ │
│ 3. AKO STE UNIJELI LOZINKU │
│ └─ Odmah je promijenite (s drugog uređaja!) │
│ └─ Promijenite je i na svim drugim mjestima gdje │
│ koristite istu lozinku │
│ │
│ 4. AKO STE UNIJELI PODATKE KARTICE │
│ └─ Nazovite banku i blokirajte karticu │
│ └─ Pratite transakcije │
│ │
│ 5. AKO STE OTVORILI PRIVITAK │
│ └─ Odspojite računalo s mreže │
│ └─ NE gasiti računalo (dokazi!) │
│ └─ Čekajte IT odjel │
│ │
└─────────────────────────────────────────────────────────────┘
Što NE činiti
❌ Ne ignorirajte incident nadajući se da će proći
❌ Ne pokušavajte sami "očistiti" računalo
❌ Ne brišite dokaze (emailove, povijest preglednika)
❌ Ne osjećajte sramotu—prijavite čim prije
Važno: Brza prijava može spriječiti širenje napada. Nikad ne skrivajte incident—čak i ako ste vi kliknuli, važnije je brza reakcija nego traženje krivca.
Zaštita organizacije od phishinga
Tehnička zaštita
| Mjera | Opis |
|---|---|
| Email filtriranje | Blokiranje poznatih phishing domena |
| SPF/DKIM/DMARC | Autentifikacija email pošiljatelja |
| Web filtriranje | Blokiranje poznatih malicioznih stranica |
| Sandboxing | Analiza privitaka u izoliranom okruženju |
| MFA | Dvofaktorska autentifikacija za sve račune |
| Endpoint zaštita | Antivirus i EDR rješenja |
Organizacijske mjere
| Mjera | Opis |
|---|---|
| Edukacija zaposlenika | Redovita obuka o prepoznavanju phishinga |
| Phishing simulacije | Testiranje i podizanje svijesti |
| Politike | Jasna pravila o rukovanju sumnjivim porukama |
| Incident response | Plan reakcije na phishing incidente |
| Kultura prijave | Poticanje prijave bez straha od kazne |
Ljudska zaštita (najvažnija!)
Tehnologija može blokirati poznate prijetnje, ali samo educirani zaposlenici mogu prepoznati nove, sofisticirane napade.
Phishing simulacije i testiranje
Zašto provoditi simulacije
- Mjerenje — Koliko je zaposlenika podložno phishingu?
- Edukacija — Učenje kroz sigurno iskustvo
- Praćenje — Poboljšava li se stanje nakon edukacije?
- Compliance — Dokaz o edukaciji za regulatore
Kako provesti simulaciju
- Planirajte — Definirajte ciljeve i scenarije
- Kreirajte — Realistične, ali sigurne phishing emailove
- Pošaljite — Ciljano ili cijeloj organizaciji
- Pratite — Tko je kliknuo, tko je prijavio
- Educirajte — Odmah nakon klika pokažite edukativni materijal
- Analizirajte — Identificirajte rizične grupe
- Ponovite — Redovito (kvartalno)
Metrike za praćenje
| Metrika | Cilj |
|---|---|
| Click rate | <5% (idealno <2%) |
| Report rate | >70% |
| Vrijeme do prijave | <15 minuta |
| Ponavljači | Smanjenje iz kvartala u kvartal |
Phishing i mobilni uređaji
Zašto je mobilni phishing opasniji
| Faktor | Objašnjenje |
|---|---|
| Manji ekran | Teže vidjeti punu URL adresu |
| Žurba | Mobitel koristimo "u hodu" |
| SMS povjerenje | SMS izgleda legitimnije od emaila |
| Manje zaštite | Slabije filtriranje na mobilnim mrežama |
| Aplikacije | Lažne aplikacije u app storeovima |
Zaštita na mobilnim uređajima
- ✅ Ne klikajte na linkove u SMS-ovima od nepoznatih
- ✅ Instalirajte aplikacije samo iz službenih izvora
- ✅ Provjerite dozvole koje aplikacija traži
- ✅ Koristite VPN na javnim mrežama
- ✅ Omogućite remote wipe za slučaj gubitka
Budućnost phishinga: AI i deepfake
AI-generirani phishing
Umjetna inteligencija omogućuje:
- Savršen jezik — Nema gramatičkih grešaka
- Personalizacija — Automatski prikupljeni podaci o žrtvi
- Skalabilnost — Tisuće personaliziranih emailova u sekundama
- Adaptivnost — Učenje iz neuspjelih pokušaja
Deepfake prijetnje
| Vrsta | Prijetnja |
|---|---|
| Glasovni deepfake | Lažni poziv s glasom direktora |
| Video deepfake | Lažni video poziv (Zoom, Teams) |
| Tekstualni deepfake | AI koji imitira stil pisanja osobe |
Kako se pripremiti
- Verifikacija preko drugog kanala — Uvijek provjerite sumnjive zahtjeve
- Code words — Dogovoreni kodovi za hitne situacije
- Kultura sumnje — "Trust but verify" pristup
- Napredna edukacija — Upoznavanje zaposlenika s novim prijetnjama
Želite educirati zaposlenike o phishingu? Pregledajte naše online tečajeve koji uključuju interaktivne primjere phishing napada, simulacije i testove.
Zaključak
Phishing nije nestajuća prijetnja—postaje sve sofisticiraniji. Tehnička zaštita je nužna, ali nedovoljna. Jedina učinkovita obrana je educiran zaposlenik koji zna prepoznati napad.
Ključne poruke za pamćenje
| Situacija | Pravilo |
|---|---|
| Sumnjiv email | STOP — Ne klikaj, provjeri, prijavi |
| Hitan zahtjev | PAUZA — Legitimni zahtjevi mogu čekati 5 minuta |
| Zahtjev za lozinkom | NIKAD — Nitko legitiman ne traži lozinku emailom |
| Neočekivani privitak | NE OTVARAJ — Provjeri s pošiljateljem |
| Kliknuli ste | PRIJAVI ODMAH — Svaka sekunda je važna |
Vaš akcijski plan
- Naučite prepoznati — Proučite primjere u ovom vodiču
- Verificirajte uvijek — Sumnjive zahtjeve provjerite drugim kanalom
- Prijavite bez straha — Bolje lažna uzbuna nego propušten napad
- Educirajte se redovito — Napadači se razvijaju, i vi morate
Zaštitite svoju organizaciju od phishinga
CompliQuest nudi online tečajeve o kibernetičkoj sigurnosti s fokusom na phishing, uključujući interaktivne primjere, simulacije i testove. Naši tečajevi pomažu organizacijama ispuniti zahtjeve NIS2 direktive za edukaciju zaposlenika.
Pregledajte naše tečajeve o kibernetičkoj sigurnosti | Kontaktirajte nas
Povezani članci
- Kibernetička sigurnost: Vodič za zaposlenike
- NIS2 direktiva: Što hrvatska poduzeća moraju znati
- E-learning u poduzećima: Prednosti online edukacije
Ovaj članak služi kao edukativni vodič. Za tehničku implementaciju sigurnosnih mjera konzultirajte IT stručnjake vaše organizacije.