Raptoric Journal/Ofenzivna sigurnost
Ofenzivna sigurnost15. lipnja 2026. · 14 min čitanja

Phishing i socijalni inženjering: kako prepoznati i spriječiti napad

Većina ozbiljnih proboja počinje porukom, ne ranjivošću. Phishing i socijalni inženjering ciljaju ljude, a ne sustave. Evo kako napadi izgledaju, kako ih prepoznati i kako zaštititi tvrtku.
Dvoje kolega pažljivo pregledava sumnjivu e-poštu na prijenosnom računalu u uredu.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Phishing je vrsta napada u kojem se napadač lažno predstavlja kao osoba ili organizacija od povjerenja kako bi vas naveo da otkrijete lozinku, kliknete na zlonamjernu poveznicu ili izvršite uplatu. To je najčešći oblik socijalnog inženjeringa, šireg pojma koji obuhvaća sve tehnike manipulacije ljudima umjesto napada na tehnologiju. Većina ozbiljnih proboja danas ne počinje sofisticiranom ranjivošću u kodu, nego običnom porukom koja je nekoga uvjerila da učini nešto što nije trebao.

Razlog je jednostavan. Tehničke obrane, vatrozidi, enkripcija i sustavi za detekciju, posljednjih su godina znatno ojačale. Ljudi se nisu promijenili jednakim tempom. Napadač koji bi morao uložiti tjedne da probije dobro osiguranu mrežu često u nekoliko minuta uvjerljivom porukom dobije pristup koji mu treba. Zato je razumijevanje phishinga i socijalnog inženjeringa jednako važno kao i tehnička zaštita. Ovaj tekst objašnjava kako ti napadi izgledaju, kako ih prepoznati i što tvrtka može učiniti da smanji rizik.

Što je socijalni inženjering

Socijalni inženjering je manipulacija ljudima s ciljem da otkriju povjerljive informacije ili izvrše radnju koja koristi napadaču. Umjesto da traži tehničku slabost u sustavu, napadač iskorištava ljudske sklonosti: povjerenje, želju da se pomogne, strah od posljedica i reakciju na autoritet i hitnost. Phishing je njegov najpoznatiji oblik, ali ne i jedini.

Napadi socijalnog inženjeringa gotovo uvijek slijede sličan obrazac. Napadač prvo prikuplja informacije o meti, često s javno dostupnih izvora poput društvenih mreža i web stranice tvrtke. Zatim gradi uvjerljiv izgovor, uspostavlja kontakt i stvara osjećaj hitnosti koji žrtvi ne ostavlja vremena za promišljanje. Upravo je hitnost znak na koji treba najviše paziti.

Vrste phishing napada

Phishing ima više pojavnih oblika, a razlikuju se po kanalu i po tome koliko su ciljani. Što je napad ciljaniji, to je uvjerljiviji i opasniji.

OblikKako funkcionira
Klasični phishingIsta poruka velikom broju primatelja; oslanja se na masovnost.
Spear phishingCilja određenu osobu ili tvrtku, prilagođen prikupljenim informacijama.
WhalingCilja visoke rukovoditelje čiji pristup i ovlasti donose najveću štetu.
Smishing / vishingPhishing putem SMS-a (smishing) ili telefonom (vishing).
BECKompromitacija poslovne e-pošte: lažni rukovoditelj ili dobavljač traži uplatu ili promjenu podataka.
Kloniranje stranicaLažna stranica identična pravoj navodi žrtvu da unese podatke.
Najčešći oblici phishing napada prema kanalu i cilju.

Druge tehnike socijalnog inženjeringa

Osim phishinga, napadači koriste i tehnike koje ne ovise nužno o e-pošti.

  • Pretexting je izmišljen scenarij kojim napadač opravdava svoj zahtjev, primjerice lažni IT djelatnik koji traži lozinku radi navodnog održavanja.
  • Baiting nudi nešto privlačno, poput USB sticka ostavljenog na parkiralištu ili besplatnog preuzimanja, koje sadrži zlonamjerni softver.
  • Tailgating je ulazak za ovlaštenom osobom u zaštićeni prostor bez vlastite identifikacije.
  • Quid pro quo nudi uslugu u zamjenu za informaciju, primjerice lažna tehnička podrška koja u zamjenu za pomoć traži pristup.
Napadač ne mora probiti vaš vatrozid ako ga zaposlenik pusti kroz vrata. Socijalni inženjering cilja povjerenje, a povjerenje nema zakrpu.

Kako prepoznati phishing poruku

Iako napadi postaju sve uvjerljiviji, većina phishing poruka i dalje nosi prepoznatljive znakove. Vrijedi ih znati i naučiti zaposlenike da zastanu kad ih primijete.

  • Osjećaj hitnosti ili prijetnje, poput poruke da će vam račun biti blokiran ako odmah ne reagirate.
  • Pošiljatelj čija adresa na prvi pogled djeluje ispravno, ali sadrži sitnu razliku u domeni ili nazivu.
  • Generički pozdrav umjesto vašeg imena, iako pošiljatelj tvrdi da vas poznaje.
  • Poveznice koje vode na adresu različitu od one koju tekst prikazuje, što se vidi kad pokazivač zadržite iznad poveznice.
  • Neočekivani privici, posebno dokumenti koji traže omogućavanje makronaredbi.
  • Zahtjev za povjerljivim podacima, lozinkama ili uplatom koji stiže izvan uobičajenog postupka.
  • Jezične i stilske pogreške, iako ih je sve manje jer napadači koriste alate za pisanje.

Primjer napada u praksi

Zamislite uobičajen scenarij kompromitacije poslovne e-pošte. Napadač prvo prati javne informacije i utvrdi tko je u tvrtki zadužen za plaćanja. Zatim šalje e-mail koji izgleda kao da dolazi od direktora, s adrese vrlo slične pravoj, u kojem hitno traži uplatu novom dobavljaču prije kraja radnog dana. Poruka je kratka, koristi ime direktora i naglašava povjerljivost. Djelatnik pod pritiskom roka izvrši uplatu, a novac nestane prije nego itko primijeti pogrešku.

Ono što ovaj napad čini uspješnim nije tehnička sofisticiranost, nego psihologija: autoritet, hitnost i povjerenje. Obrana zato nije samo tehnička. Jednostavan postupak provjere svake promjene podataka za plaćanje putem drugog kanala, primjerice telefonskim pozivom, zaustavio bi cijeli napad.

AI čini phishing uvjerljivijim

Umjetna inteligencija znatno je podigla kvalitetu phishing napada. Jezične pogreške, koje su nekad bile pouzdan znak prijevare, gotovo su nestale jer napadači koriste iste alate za pisanje kao i svi ostali. Poruke su sada gramatički besprijekorne, prilagođene meti i napisane uvjerljivim poslovnim tonom. Prema procjenama prijetnji agencije ENISA, phishing i socijalni inženjering ostaju među vodećim načinima početnog pristupa napadača.1

To znači da se obrana ne može oslanjati samo na prepoznavanje loše napisanih poruka. Potrebni su postupci, tehničke kontrole i redovito uvježbavanje. O tome kako AI mijenja prijetnje i kako testiramo same AI sustave pišemo u tekstu o sigurnosti AI sustava i prompt injectionu.

Kako zaštititi tvrtku

Obrana od phishinga i socijalnog inženjeringa kombinira ljude, postupke i tehnologiju. Nijedan sloj sam za sebe nije dovoljan.

  • Redovita edukacija zaposlenika, jer informirani zaposlenik je prva i najvažnija linija obrane.
  • Višefaktorska autentikacija, koja ukradenu lozinku čini znatno manje korisnom napadaču.
  • Filtriranje e-pošte i zaštita na razini domene, koji zaustavljaju velik dio poruka prije nego stignu do korisnika.
  • Jasni postupci za osjetljive radnje, posebno za uplate i promjene podataka za plaćanje, uz obveznu provjeru drugim kanalom.
  • Jednostavan način da zaposlenici prijave sumnjivu poruku, bez straha od posljedica ako pogriješe.
  • Redovito testiranje kroz simulirane phishing kampanje, koje mjere stvarnu otpornost, a ne pretpostavljenu.

Simulirani phishing i testiranje otpornosti

Edukacija bez provjere ostaje pretpostavka. Simulirani phishing je kontrolirana vježba u kojoj sigurnosni tim šalje zaposlenicima bezopasne poruke koje oponašaju stvarni napad, a zatim mjeri koliko ih je prepoznalo prijetnju, koliko kliknulo i koliko prijavilo poruku. Rezultati pokazuju gdje su stvarne slabosti i kako napreduje edukacija tijekom vremena.

Takve vježbe dio su socijalnog inženjeringa koji provodimo u sklopu penetracijskog testiranja. Cilj nije osramotiti zaposlenike, nego izmjeriti otpornost organizacije pod stvarnim pritiskom i dati konkretne preporuke za poboljšanje. O širem pristupu sigurnosti pišemo i u tekstu odakle krenuti s kibernetičkom sigurnošću.

Što učiniti ako ste nasjeli

Ako zaposlenik klikne na poveznicu, unese lozinku ili izvrši uplatu na temelju lažne poruke, brzina reakcije presudna je za ograničavanje štete.

  • Odmah promijenite kompromitirane lozinke i, gdje je moguće, opozovite aktivne sesije.
  • Obavijestite IT ili sigurnosni tim kako bi mogli provjeriti je li napadač ostvario pristup.
  • Ako je izvršena uplata, odmah kontaktirajte banku jer se sredstva ponekad mogu zaustaviti.
  • Sačuvajte poruku i dokaze, jer su važni za istragu i moguću prijavu.
  • Provjerite je li riječ o povredi osobnih podataka, što može pokrenuti obvezu prijave u roku od 72 sata.

Sposobnost da incident brzo primijetite i zaustavite gradi se unaprijed. Upravo to pokrivamo kroz usluge detekcije i odgovora na incidente, gdje pomažemo tvrtkama da prepoznaju proboj i reagiraju prije nego šteta naraste.

Phishing i socijalni inženjering ostaju najčešći put do proboja jer ciljaju ljude, a ljude se ne može zakrpati kao softver. No otpornost se može graditi i mjeriti. Ako želite saznati koliko je vaša organizacija otporna na stvaran napad, pogledajte naše usluge penetracijskog testiranja i socijalnog inženjeringa i dogovorite uvodni razgovor.

Česta pitanja

Koja je razlika između phishinga i spear phishinga?
Klasični phishing šalje istu poruku velikom broju ljudi i oslanja se na masovnost. Spear phishing cilja određenu osobu ili tvrtku i prilagođava poruku, koristeći prikupljene informacije da djeluje vjerodostojno. Spear phishing je teže prepoznati i opasniji je jer izgleda osobno i očekivano.
Je li višefaktorska autentifikacija dovoljna zaštita?
Višefaktorska autentifikacija znatno smanjuje rizik jer ukradena lozinka sama nije dovoljna za pristup, ali nije neprobojna. Postoje napadi koji ciljaju i drugi faktor, primjerice navođenjem korisnika da odobri lažni zahtjev. MFA je nužan sloj, ali ga treba kombinirati s edukacijom i postupcima.
Kako prijaviti phishing?
Sumnjivu poruku unutar tvrtke prijavite IT ili sigurnosnom timu, a ne brišite je odmah jer može biti korisna za istragu. Phishing koji se predstavlja kao banka ili institucija možete prijaviti i toj organizaciji te nacionalnom CERT-u. Ključno je da postupak prijave bude jednostavan.
Mogu li se tvrtke stvarno obraniti od socijalnog inženjeringa?
Ne mogu ga potpuno ukloniti, ali mogu znatno smanjiti rizik i ograničiti štetu. Kombinacija edukacije, tehničkih kontrola, jasnih postupaka i redovitog testiranja čini organizaciju znatno otpornijom. Cilj je da pojedinačna pogreška ne bude dovoljna da napad uspije.

Izvori

  1. 1ENISA. ENISA Threat Landscape. European Union Agency for Cybersecurity, 2024. Poveznica
  2. 2CISA. Avoiding Social Engineering and Phishing Attacks. Cybersecurity and Infrastructure Security Agency, 2021. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →