Phishing napadi: Kako ih prepoznati, prijaviti i zaštititi se u 2026.
25. studenoga 2025.
Ažurirano: 22. veljače 2026.
19 min čitanja
Kibernetička sigurnost
Phishing je daleko najčešći oblik kibernetičkog napada u Hrvatskoj i svijetu. Prema ENISA-inim podacima, phishing čini 36 % svih kibernetičkih incidenata u EU, a CERT.hr ga godišnje bilježi kao vodeću prijetnju. Napadači koriste sve sofisticiranije metode — od AI-generiranih e-mailova do deepfake glasovnih poruka — pa je razumijevanje i prepoznavanje phishinga ključno za svaku organizaciju.
Sažetak i ključne točke
Phishing čini 36 % svih kibernetičkih napada u EU (ENISA, 2025.).
91 % ciljanih napada počinje phishing e-mailom.
U Hrvatskoj su najčešći phishing napadi koji se lažno predstavljaju kao banke, porezna uprava i Fina.
Prosječni trošak uspješnog phishing napada za tvrtku iznosi 4,76 mil. USD (IBM, 2024.).
AI-generirani phishing postaje gotovo nemoguće razlikovati od legitimnih poruka.
Edukacija zaposlenika smanjuje rizik od phishinga za 70 %.
Phishing je oblik socijalnog inženjeringa u kojem napadač šalje lažne poruke (e-mail, SMS, telefonski poziv ili poruku na društvenim mrežama) koje se predstavljaju kao komunikacija iz pouzdanog izvora. Cilj je navesti žrtvu da:
URL ne odgovara legitimnoj domeni (npr. pbz-login.xyz)
Neočekivani privici
Datoteke s ekstenzijama .exe, .zip, .js, .docm
Zahtjev za osobnim podacima
Lozinka, PIN, OIB, broj kartice
Pretjerano dobra ponuda
"Osvojili ste 10.000 EUR!"
Kako provjeriti poveznicu
Prijeđite mišem preko poveznice — bez klika — i pogledajte stvarni URL u donjem kutu preglednika
Provjerite je li domena ispravna: https://www.pbz.hr/login je legitimno, https://www.pbz-login.com/hr nije
Obratite pozornost na suptilne razlike: rn umjesto m, 0 (nula) umjesto o
Koristite alate za provjeru URL-ova: VirusTotal, URLscan.io
Zlatno pravilo: Ako niste očekivali poruku ili imate i najmanji stupanj sumnje — ne klikajte. Kontaktirajte pošiljatelja putem službenog kanala (telefonom ili izravnim posjetom web stranici).
Phishing u Hrvatskoj — primjeri
Najčešće kampanje
Lažni pošiljatelj
Vrsta
Opis
Hrvatske banke (PBZ, Erste, Zaba)
E-mail + SMS
"Vaš račun je blokiran, potvrdite identitet"
Porezna uprava
E-mail
"Imate pravo na povrat poreza — unesite podatke"
Fina
E-mail
"Ažurirajte podatke za e-Građani"
Hrvatska pošta / GLS / DPD
SMS
"Vaš paket čeka isporuku — platite 1,99 EUR"
Microsoft/Google
E-mail
"Netko se prijavio na vaš račun — promijenite lozinku"
Direktor tvrtke (BEC)
E-mail
"Hitno prebaci 15.000 EUR na ovaj račun"
Primjer lažnog e-maila
Od: sigurnost@pbz-online.com (LAŽNO!)
Predmet: HITNO - Vaš račun je blokiran
Poštovani korisniče,
Primijetili smo neuobičajenu aktivnost na Vašem računu.
Vaš pristup internet bankarstvu bit će trajno blokiran
ako ne potvrdite identitet u roku od 24 sata.
Kliknite ovdje za potvrdu: https://pbz-potvrda.xyz/login
S poštovanjem,
PBZ Sigurnosni tim
Znakovi da je phishing: lažna domena pošiljatelja, hitnost, generički pozdrav, sumnjiva poveznica, prijetnja blokadom.
CERT.hr upozorenja: Redovito provjeravajte cert.hr za aktualna upozorenja o phishing kampanjama u Hrvatskoj.
AI i phishing — nova razina prijetnje
Umjetna inteligencija drastično je podigla kvalitetu phishing napada od 2024. godine.
Što se promijenilo
Tradicionalni phishing
AI phishing
Loša gramatika i pravopis
Besprijekoran tekst na svakom jeziku, uključujući hrvatski
Generičke poruke
Personalizirane poruke s podacima s LinkedIn-a i javnih izvora
Očiti vizualni nedostaci
Savršene kopije legitimnih e-mailova i web stranica
Isti tekst za sve
Dinamički prilagođen sadržaj za svaku žrtvu
Samo tekst
Deepfake glasovni pozivi i video poruke
Deepfake phishing
Napadači koriste AI za kloniranje glasa rukovoditelja i upućivanje poziva zaposlenicima s upustvom za hitni prijenos sredstava. U 2024. zabilježen je slučaj u Hong Kongu gdje je deepfake video poziv rezultirao gubitkom od 25 milijuna USD.
Zaštita od AI phishinga: Tehničke mjere (SPF, DKIM, DMARC, napredni e-mail filteri) + strogi postupci verifikacije za financijske transakcije + edukacija o novim prijetnjama.
Što učiniti ako primite phishing poruku
Za zaposlenike
Ne klikajte na poveznice i ne otvarajte privitke
Ne odgovarajte na poruku
Prijavite poruku IT odjelu ili sigurnosnom timu
Označite kao neželjenu poštu u e-mail klijentu
Ako ste nesigurni, kontaktirajte pošiljatelja drugim kanalom
Za IT administratore
Blokirajte pošiljatelja i domenu
Provjerite jesu li drugi zaposlenici primili istu poruku
Analizirajte zaglavlje e-maila i poveznicu
Ako je potrebno, prijavite CERT.hr-u (cert@cert.hr)
Obavijestite zaposlenike o aktivnoj kampanji
Što učiniti ako ste kliknuli na phishing
Ako ste kliknuli na poveznicu ili otvorili privitak:
Korak
Radnja
1
Odmah promijenite lozinku za kompromitiranu uslugu
2
Aktivirajte MFA ako već nije aktivna
3
Obavijestite IT odjel — mogu provjeriti je li sustav kompromitiran
4
Pokrenite antivirusno skeniranje
5
Provjerite financijske račune za neovlaštene transakcije
6
Dokumentirajte incident — screenshot poruke, URL, vrijeme
7
Ako su ugroženi osobni podaci drugih — prijavite AZOP-u u 72 sata
Ne krivite se. Phishing napadi su sofisticirani i mogu prevariti i iskusne stručnjake. Važno je brzo reagirati i prijaviti incident.
Zaštita organizacije od phishinga
Tehničke mjere
Mjera
Što radi
SPF zapis
Određuje koji poslužitelji smiju slati e-mail u ime vaše domene
DKIM potpis
Digitalno potpisuje e-mailove za provjeru autentičnosti
DMARC politika
Definira što učiniti s e-mailovima koji ne prolaze SPF/DKIM provjeru
Napredni e-mail filter
AI filtriranje sumnjivog sadržaja, poveznica i privitaka
Web filter
Blokiranje pristupa poznatim phishing stranicama
MFA za sve sustave
Čak i ako napadač sazna lozinku, ne može se prijaviti bez drugog faktora
Upravitelj lozinkama
Automatski popunjava lozinke samo na legitimnim domenama
DNS zaštita
Blokiranje pristupa zlonamjernim domenama na mrežnoj razini
Organizacijske mjere
Jasna procedura za prijavu — zaposlenici moraju znati kome i kako prijaviti sumnjive poruke
Strogi postupci za financijske transakcije — dvostruka verifikacija za promjene platnih podataka
Politika upravljanja lozinkama — jedinstvene, složene lozinke uz MFA
Redovito ažuriranje — sigurnosne zakrpe za e-mail klijente i preglednike
Edukacija zaposlenika — ključna obrana
Zašto je edukacija učinkovita?
Bez edukacije
S edukacijom
30–40 % zaposlenika klikne na phishing
Ispod 5 % klikne
Zaposlenici ne prijavljuju sumnjive poruke
80 %+ prijavljuje phishing
Spori odgovor na incidente
Brža identifikacija i reakcija
Elementi programa edukacije
Početna obuka za sve zaposlenike pri zapošljavanju
Simulacije phishinga — kvartalne lažne phishing poruke za testiranje
Kratke podsjetnike — mjesečni savjeti putem e-maila ili intraneta
Specijalizirane obuke za rizične odjele (financije, IT, uprava)
Mjerenje rezultata — praćenje stope klika i prijava
Simulacije phishinga najučinkovitiji su alat. Tvrtke koje provode redovite simulacije bilježe pad klika s 30 % na manje od 5 % u roku od 12 mjeseci.
Phishing i zakonske obveze
NIS2
Organizacije obuhvaćene NIS2 direktivom (Zakon o kibernetičkoj sigurnosti, NN 14/24) obvezne su:
Provoditi mjere za upravljanje rizicima — uključujući zaštitu od phishinga
Osigurati edukaciju zaposlenika o kibernetičkim prijetnjama
Prijaviti incidente nastale phishingom u 24 sata (rano upozorenje) i 72 sata (detaljna obavijest)
GDPR
Ako phishing napad rezultira povredom osobnih podataka:
Prijava AZOP-u u 72 sata ako postoji rizik za prava ispitanika
Da. Sofisticirani phishing, posebno spear phishing i BEC, često zaobilazi spam filtere jer ne sadrži tipične znakove neželjene pošte. Zato je edukacija zaposlenika ključna kao dodatni sloj zaštite.
Kako razlikovati phishing od legitimnog e-maila?
Provjerite adresu pošiljatelja (ne samo ime), URL poveznice (bez klika), ton poruke (hitnost, prijetnje) i je li zahtjev logičan. U slučaju sumnje kontaktirajte pošiljatelja drugim kanalom.
Je li phishing kažnjiv u Hrvatskoj?
Da. Phishing potpada pod kaznena djela računalne prijevare (čl. 270. KZ-a) i neovlaštenog pristupa računalnom sustavu (čl. 266. KZ-a). Kazne uključuju zatvorsku kaznu do 5 godina.
Kome prijaviti phishing u Hrvatskoj?
Prijavite CERT.hr-u (cert@cert.hr ili putem web obrasca). Za phishing povezan s bankarskim prijevarama obavijestite i svoju banku. Za povredu osobnih podataka — AZOP.
Štiti li MFA potpuno od phishinga?
MFA značajno smanjuje rizik, ali nije 100 % zaštita. Napredniji napadi koriste tehnike poput adversary-in-the-middle za krađu MFA tokena u stvarnom vremenu. Zato MFA treba kombinirati s edukacijom i naprednim filtriranjem.
Zaključak
Phishing ostaje najčešća i najopasnija kibernetička prijetnja za hrvatske organizacije. S pojavom AI alata koji generiraju besprijekorne lažne poruke na hrvatskom jeziku, tehnička zaštita sama nije dovoljna.
Ključne poruke: (1) Edukacija zaposlenika najisplativija je mjera zaštite. (2) SPF, DKIM i DMARC su osnovne tehničke mjere za svaku domenu. (3) MFA zaustavlja većinu napada čak i kad je lozinka kompromitirana. (4) Simulacije phishinga smanjuju klikove s 30 % na ispod 5 %. (5) Brza reakcija — prijavite sumnjive poruke i promijenite lozinke.
Trebate pomoć? Vision Compliance nudi kibernetičku sigurnost — uključujući edukaciju zaposlenika, simulacije phishinga i tehničke mjere zaštite e-pošte. Zakažite besplatnu konzultaciju.
Izvori: ENISA Threat Landscape 2025., CERT.hr, IBM Cost of a Data Breach 2025., Verizon DBIR 2025., NIS2 direktiva
Ivana Ludiga, mag. iur., suradnica je u Vision Complianceu s fokusom na zaštitu podataka, provedbu GDPR-a i regulatorno savjetovanje. Podržava projekte usklađenosti za organizacije u zdravstvu, financijskim uslugama i tehnološkom sektoru.
