Phishing je daleko najčešći oblik kibernetičkog napada u Hrvatskoj i svijetu. Prema ENISA-inim podacima, phishing čini 36 % svih kibernetičkih incidenata u EU, a CERT.hr ga godišnje bilježi kao vodeću prijetnju. Napadači koriste sve sofisticiranije metode (od AI-generiranih e-mailova do deepfake glasovnih poruka) pa je razumijevanje i prepoznavanje phishinga ključno za svaku organizaciju.
Sažetak i ključne točke
- Phishing čini 36 % svih kibernetičkih napada u EU (ENISA, 2025.).
- 91 % ciljanih napada počinje phishing e-mailom.
- U Hrvatskoj su najčešći phishing napadi koji se lažno predstavljaju kao banke, porezna uprava i Fina.
- Prosječni trošak uspješnog phishing napada za tvrtku iznosi 4,76 mil. USD (IBM, 2024.).
- AI-generirani phishing postaje gotovo nemoguće razlikovati od legitimnih poruka.
- Edukacija zaposlenika smanjuje rizik od phishinga za 70 %.
Sadržaj
- Što je phishing?
- Vrste phishing napada
- Kako prepoznati phishing
- Phishing u Hrvatskoj: primjeri
- AI i phishing: nova razina prijetnje
- Što učiniti ako primite phishing poruku
- Što učiniti ako ste kliknuli na phishing
- Zaštita organizacije od phishinga
- Edukacija zaposlenika: ključna obrana
- Phishing i zakonske obveze
- FAQ
- Zaključak
Što je phishing?
Phishing je oblik socijalnog inženjeringa u kojem napadač šalje lažne poruke (e-mail, SMS, telefonski poziv ili poruku na društvenim mrežama) koje se predstavljaju kao komunikacija iz pouzdanog izvora. Cilj je navesti žrtvu da:
- Otkrije osjetljive podatke: lozinke, brojeve kartica, OIB
- Klikne na zlonamjernu poveznicu koja vodi na lažnu stranicu ili pokreće malware
- Otvori zaraženi privitak koji instalira ransomware ili spyware
- Izvrši financijsku transakciju prijevarom na ime direktora ili dobavljača
| Statistika | Podatak |
|---|---|
| Udio phishinga u svim napadima | 36 % (ENISA 2025.) |
| Postotak ciljanih napada koji počinju phishingom | 91 % |
| Prosječno vrijeme od primitka do klika | Manje od 60 sekundi |
| Stopa uspješnosti phishinga bez edukacije | 30 do 40 % zaposlenika klikne |
| Stopa uspješnosti nakon edukacije | Ispod 5 % |
Vrste phishing napada
Prema kanalu
| Vrsta | Kanal | Opis |
|---|---|---|
| E-mail phishing | E-pošta | Najčešći oblik, masovno slanje lažnih e-mailova |
| Spear phishing | E-pošta | Ciljani napad prilagođen konkretnoj osobi |
| Whaling | E-pošta | Napad na članove uprave ili direktore |
| BEC (Business Email Compromise) | E-pošta | Lažiranje poslovnih e-mailova za prijevaru plaćanja |
| Smishing | SMS | Phishing putem tekstualnih poruka |
| Vishing | Telefon | Phishing putem glasovnog poziva |
| Quishing | QR kod | Phishing putem lažnih QR kodova |
| Phishing na društvenim mrežama | Facebook, LinkedIn, Instagram | Lažni profili i poruke |
Prema cilju
| Vrsta | Cilj | Tipična žrtva |
|---|---|---|
| Krađa pristupnih podataka | Lozinke za e-mail, bankarstvo, poslovne sustave | Svi zaposlenici |
| Financijska prijevara (BEC) | Preusmjeravanje uplata na račun napadača | Računovodstvo, financije |
| Distribucija malwarea | Instalacija ransomwarea ili spywarea | IT korisnici |
| Krađa identiteta | OIB, osobni podaci za daljnje prijevare | Građani, zaposlenici |
| Pristup mreži | Početni ulaz za daljnji napad | IT administratori |
Kako prepoznati phishing
Znakovi upozorenja u e-mailu
| Znak | Primjer |
|---|---|
| Sumnjiva adresa pošiljatelja | info@banka-hrvatska.com umjesto info@pbz.hr |
| Hitnost i prijetnje | "Vaš račun će biti blokiran u roku od 24 sata!" |
| Pravopisne i gramatičke pogreške | Neuobičajeni izrazi, loš prijevod |
| Generički pozdrav | "Poštovani korisniče" umjesto vašeg imena |
| Sumnjive poveznice | URL ne odgovara legitimnoj domeni (npr. pbz-login.xyz) |
| Neočekivani privici | Datoteke s ekstenzijama .exe, .zip, .js, .docm |
| Zahtjev za osobnim podacima | Lozinka, PIN, OIB, broj kartice |
| Pretjerano dobra ponuda | "Osvojili ste 10.000 EUR!" |
Kako provjeriti poveznicu
- Prijeđite mišem preko poveznice (bez klika) i pogledajte stvarni URL u donjem kutu preglednika
- Provjerite je li domena ispravna:
https://www.pbz.hr/loginje legitimno,https://www.pbz-login.com/hrnije - Obratite pozornost na suptilne razlike:
rnumjestom,0(nula) umjestoo - Koristite alate za provjeru URL-ova: VirusTotal, URLscan.io
Zlatno pravilo: Ako niste očekivali poruku ili imate i najmanji stupanj sumnje, ne klikajte. Kontaktirajte pošiljatelja putem službenog kanala (telefonom ili izravnim posjetom web stranici).
Phishing u Hrvatskoj: primjeri
Najčešće kampanje
| Lažni pošiljatelj | Vrsta | Opis |
|---|---|---|
| Hrvatske banke (PBZ, Erste, Zaba) | E-mail + SMS | "Vaš račun je blokiran, potvrdite identitet" |
| Porezna uprava | "Imate pravo na povrat poreza, unesite podatke" | |
| Fina | "Ažurirajte podatke za e-Građani" | |
| Hrvatska pošta / GLS / DPD | SMS | "Vaš paket čeka isporuku, platite 1,99 EUR" |
| Microsoft/Google | "Netko se prijavio na vaš račun, promijenite lozinku" | |
| Direktor tvrtke (BEC) | "Hitno prebaci 15.000 EUR na ovaj račun" |
Primjer lažnog e-maila
Od: sigurnost@pbz-online.com (LAŽNO!)
Predmet: HITNO - Vaš račun je blokiran
Poštovani korisniče,
Primijetili smo neuobičajenu aktivnost na Vašem računu.
Vaš pristup internet bankarstvu bit će trajno blokiran
ako ne potvrdite identitet u roku od 24 sata.
Kliknite ovdje za potvrdu: https://pbz-potvrda.xyz/login
S poštovanjem,
PBZ Sigurnosni tim
Znakovi da je phishing: lažna domena pošiljatelja, hitnost, generički pozdrav, sumnjiva poveznica, prijetnja blokadom.
CERT.hr upozorenja: Redovito provjeravajte cert.hr za aktualna upozorenja o phishing kampanjama u Hrvatskoj.
AI i phishing: nova razina prijetnje
Umjetna inteligencija drastično je podigla kvalitetu phishing napada od 2024. godine.
Što se promijenilo
| Tradicionalni phishing | AI phishing |
|---|---|
| Loša gramatika i pravopis | Besprijekoran tekst na svakom jeziku, uključujući hrvatski |
| Generičke poruke | Personalizirane poruke s podacima s LinkedIn-a i javnih izvora |
| Očiti vizualni nedostaci | Savršene kopije legitimnih e-mailova i web stranica |
| Isti tekst za sve | Dinamički prilagođen sadržaj za svaku žrtvu |
| Samo tekst | Deepfake glasovni pozivi i video poruke |
Deepfake phishing
Napadači koriste AI za kloniranje glasa rukovoditelja i upućivanje poziva zaposlenicima s upustvom za hitni prijenos sredstava. U 2024. zabilježen je slučaj u Hong Kongu gdje je deepfake video poziv rezultirao gubitkom od 25 milijuna USD.
Zaštita od AI phishinga: Tehničke mjere (SPF, DKIM, DMARC, napredni e-mail filteri) + strogi postupci verifikacije za financijske transakcije + edukacija o novim prijetnjama.
Što učiniti ako primite phishing poruku
Za zaposlenike
- Ne klikajte na poveznice i ne otvarajte privitke
- Ne odgovarajte na poruku
- Prijavite poruku IT odjelu ili sigurnosnom timu
- Označite kao neželjenu poštu u e-mail klijentu
- Ako ste nesigurni, kontaktirajte pošiljatelja drugim kanalom
Za IT administratore
- Blokirajte pošiljatelja i domenu
- Provjerite jesu li drugi zaposlenici primili istu poruku
- Analizirajte zaglavlje e-maila i poveznicu
- Ako je potrebno, prijavite CERT.hr-u (cert@cert.hr)
- Obavijestite zaposlenike o aktivnoj kampanji
Što učiniti ako ste kliknuli na phishing
Ako ste kliknuli na poveznicu ili otvorili privitak:
| Korak | Radnja |
|---|---|
| 1 | Odmah promijenite lozinku za kompromitiranu uslugu |
| 2 | Aktivirajte MFA ako već nije aktivna |
| 3 | Obavijestite IT odjel koji može provjeriti je li sustav kompromitiran |
| 4 | Pokrenite antivirusno skeniranje |
| 5 | Provjerite financijske račune za neovlaštene transakcije |
| 6 | Dokumentirajte incident: screenshot poruke, URL, vrijeme |
| 7 | Ako su ugroženi osobni podaci drugih, prijavite AZOP-u u 72 sata |
Ne krivite se. Phishing napadi su sofisticirani i mogu prevariti i iskusne stručnjake. Važno je brzo reagirati i prijaviti incident.
Zaštita organizacije od phishinga
Tehničke mjere
| Mjera | Što radi |
|---|---|
| SPF zapis | Određuje koji poslužitelji smiju slati e-mail u ime vaše domene |
| DKIM potpis | Digitalno potpisuje e-mailove za provjeru autentičnosti |
| DMARC politika | Definira što učiniti s e-mailovima koji ne prolaze SPF/DKIM provjeru |
| Napredni e-mail filter | AI filtriranje sumnjivog sadržaja, poveznica i privitaka |
| Web filter | Blokiranje pristupa poznatim phishing stranicama |
| MFA za sve sustave | Čak i ako napadač sazna lozinku, ne može se prijaviti bez drugog faktora |
| Upravitelj lozinkama | Automatski popunjava lozinke samo na legitimnim domenama |
| DNS zaštita | Blokiranje pristupa zlonamjernim domenama na mrežnoj razini |
Organizacijske mjere
- Jasna procedura za prijavu: zaposlenici moraju znati kome i kako prijaviti sumnjive poruke
- Strogi postupci za financijske transakcije: dvostruka verifikacija za promjene platnih podataka
- Politika upravljanja lozinkama: jedinstvene, složene lozinke uz MFA
- Redovito ažuriranje: sigurnosne zakrpe za e-mail klijente i preglednike
Edukacija zaposlenika: ključna obrana
Zašto je edukacija učinkovita?
| Bez edukacije | S edukacijom |
|---|---|
| 30 do 40 % zaposlenika klikne na phishing | Ispod 5 % klikne |
| Zaposlenici ne prijavljuju sumnjive poruke | 80 %+ prijavljuje phishing |
| Spori odgovor na incidente | Brža identifikacija i reakcija |
Elementi programa edukacije
- Početna obuka za sve zaposlenike pri zapošljavanju
- Simulacije phishinga: kvartalne lažne phishing poruke za testiranje
- Kratke podsjetnike: mjesečni savjeti putem e-maila ili intraneta
- Specijalizirane obuke za rizične odjele (financije, IT, uprava)
- Mjerenje rezultata: praćenje stope klika i prijava
Simulacije phishinga najučinkovitiji su alat. Tvrtke koje provode redovite simulacije bilježe pad klika s 30 % na manje od 5 % u roku od 12 mjeseci.
Phishing i zakonske obveze
NIS2
Organizacije obuhvaćene NIS2 direktivom (Zakon o kibernetičkoj sigurnosti, NN 14/24) obvezne su:
- Provoditi mjere za upravljanje rizicima, uključujući zaštitu od phishinga
- Osigurati edukaciju zaposlenika o kibernetičkim prijetnjama
- Prijaviti incidente nastale phishingom u 24 sata (rano upozorenje) i 72 sata (detaljna obavijest)
GDPR
Ako phishing napad rezultira povredom osobnih podataka:
- Prijava AZOP-u u 72 sata ako postoji rizik za prava ispitanika
- Obavještavanje ispitanika ako je rizik visok
- Dokumentiranje incidenta bez obzira na prijavu
Više o obvezama: GDPR vodič za Hrvatsku i NIS2 direktiva.
FAQ
Kako zaštititi tvrtku od phishinga?
Kombinirajte tehničke filtre e-pošte, višefaktorsku prijavu i redovitu edukaciju zaposlenika. Simulacije phishinga mjere stvarnu otpornost. Ljudski faktor je najslabija karika. Pokrenite edukaciju.
Što su simulacije phishinga?
Simulacije su kontrolirane lažne poruke koje testiraju reakciju zaposlenika. Rezultati pokazuju tko treba dodatnu obuku. Redovite simulacije znatno smanjuju broj uspješnih napada.
Je li phishing obuhvaćen NIS2-om?
Da. NIS2 traži osnovnu kibernetičku higijenu i obuku zaposlenika. Edukacija o phishingu dio je obveznih mjera. Dokumentirana obuka dokaz je usklađenosti.
Može li phishing proći kroz spam filter?
Da. Sofisticirani phishing, posebno spear phishing i BEC, često zaobilazi spam filtere jer ne sadrži tipične znakove neželjene pošte. Zato je edukacija zaposlenika ključna kao dodatni sloj zaštite.
Kako razlikovati phishing od legitimnog e-maila?
Provjerite adresu pošiljatelja (ne samo ime), URL poveznice (bez klika), ton poruke (hitnost, prijetnje) i je li zahtjev logičan. U slučaju sumnje kontaktirajte pošiljatelja drugim kanalom.
Je li phishing kažnjiv u Hrvatskoj?
Da. Phishing potpada pod kaznena djela računalne prijevare (čl. 270. KZ-a) i neovlaštenog pristupa računalnom sustavu (čl. 266. KZ-a). Kazne uključuju zatvorsku kaznu do 5 godina.
Kome prijaviti phishing u Hrvatskoj?
Prijavite CERT.hr-u (cert@cert.hr ili putem web obrasca). Za phishing povezan s bankarskim prijevarama obavijestite i svoju banku. Za povredu osobnih podataka obratite se AZOP-u.
Štiti li MFA potpuno od phishinga?
MFA značajno smanjuje rizik, ali nije 100 % zaštita. Napredniji napadi koriste tehnike poput adversary-in-the-middle za krađu MFA tokena u stvarnom vremenu. Zato MFA treba kombinirati s edukacijom i naprednim filtriranjem.
Zaključak
Phishing ostaje najčešća i najopasnija kibernetička prijetnja za hrvatske organizacije. S pojavom AI alata koji generiraju besprijekorne lažne poruke na hrvatskom jeziku, tehnička zaštita sama nije dovoljna.
Ključne poruke: (1) Edukacija zaposlenika najisplativija je mjera zaštite. (2) SPF, DKIM i DMARC su osnovne tehničke mjere za svaku domenu. (3) MFA zaustavlja većinu napada čak i kad je lozinka kompromitirana. (4) Simulacije phishinga smanjuju klikove s 30 % na ispod 5 %. (5) Brza reakcija: prijavite sumnjive poruke i promijenite lozinke.
Trebate pomoć? Vision Compliance nudi kibernetičku sigurnost, uključujući edukaciju zaposlenika, simulacije phishinga i tehničke mjere zaštite e-pošte. Zakažite besplatnu konzultaciju.
Izvori: ENISA Threat Landscape 2025., CERT.hr, IBM Cost of a Data Breach 2025., Verizon DBIR 2025., NIS2 direktiva
Povezani članci
- Ransomware napad: Kako zaštititi tvrtku. Phishing je najčešći vektor za ransomware
- Kibernetički napadi: Vrste i zaštita. Pregled svih vrsta napada i obrana
- Upravljanje kibernetičkim incidentima. Što učiniti nakon uspješnog phishing napada
- Zero Trust sigurnosni model. Arhitektura koja minimizira učinak phishinga
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.