Kako prepoznati phishing napad - vodič za zaposlenike
Naučite kako prepoznati phishing napad: ključni znakovi, primjer iz prakse i koraci provjere za zaposlenike firmi u BiH
Pročitaj
Prijetnje
Phishing prijevare: vrste, primjeri i zaštita za firme
Phishing je danas najčešći i najopasniji ulaz za napade na firme. Više od 90% uspješnih kibernetičkih napada počinje upravo jednom dobro sročenom porukom e-pošte koja navede zaposlenika da klikne, otvori privitak ili upiše svoje podatke. Napadač ne mora probijati vatrozid ni hakirati server - dovoljno je da prevari jednog čovjeka. Zato phishing prijevare nisu samo IT problem, nego poslovni rizik koji može stajati firmu novca, podataka i reputacije.
Naše rješenje
Phishing trening i edukacija + email sigurnost i SOC nadzor 24/7 - štitimo vašu firmu od prijevara e-poštom. Zatražite besplatnu procjenu.
Što je phishing i zašto je #1 ulaz za napade na firme
Phishing je oblik socijalnog inženjeringa u kojem napadač šalje lažnu poruku - najčešće e-poštom - koja izgleda kao da dolazi od pouzdanog izvora (banke, dobavljača, Microsofta, kolege ili direktora). Cilj je navesti žrtvu da otkrije lozinku, klikne na zlonamjernu poveznicu, otvori zaraženi privitak ili izvrši uplatu na krivi račun.
Razlog zašto su phishing napadi #1 prijetnja firmama je jednostavan: napadaju najslabiju kariku - čovjeka. Tehnologija je sve bolja, ali ljudi i dalje griješe pod pritiskom, u žurbi ili kad poruka djeluje hitno i autoritativno. Nekoliko ključnih razloga zašto phishing tako dobro funkcionira:
- Jeftin je i masovan - napadač jednim klikom šalje tisuće poruka i dovoljno mu je da jedna osoba nasjedne.
- Zaobilazi tehničku zaštitu - vatrozid i antivirus ne zaustavljaju legitimnu poruku u koju je žrtva dobrovoljno upisala lozinku.
- Iskorištava emocije - strah, hitnost, autoritet i znatiželju ("vaš račun je blokiran", "direktor traži hitno").
- Lako se personalizira - podaci s LinkedIna i web stranice firme omogućuju vrlo uvjerljive, ciljane poruke.
Vrste phishinga
Phishing nije jedna tehnika nego cijela obitelj prijevara. Razlikuju se po kanalu (e-pošta, SMS, telefon) i po tome koliko su ciljane. Razumijevanje vrsta pomaže firmi da prepozna i prijavi napad na vrijeme.
| Vrsta phishinga | Kanal | Kako funkcionira | Primjer mete |
|---|---|---|---|
| Email phishing | E-pošta | Masovne lažne poruke koje oponašaju poznate brendove i traže klik ili prijavu. | Svi zaposlenici |
| Spear phishing | E-pošta | Ciljana poruka prilagođena konkretnoj osobi, s pravim imenima i kontekstom. | Računovodstvo, IT, uprava |
| BEC / lažni CEO | E-pošta | Napadač se predstavlja kao direktor i traži hitnu uplatu ili promjenu podataka. | Financije, knjigovodstvo |
| Smishing | SMS | Lažni SMS s poveznicom (npr. dostava paketa, banka) koji vodi na lažnu stranicu. | Mobiteli zaposlenika |
| Vishing | Telefon | Lažni poziv "podrške" ili "banke" koji traži lozinku, kod ili daljinski pristup. | Help desk, korisnici |
| Clone phishing | E-pošta | Kopija ranije legitimne poruke s zamijenjenom poveznicom ili privitkom. | Postojeća prepiska |
Kako prepoznati phishing poruku
Iako su napadi sve uvjerljiviji, gotovo svaka phishing poruka nosi nekoliko upozoravajućih znakova. Naučite zaposlenike da zastanu i provjere kad uoče bilo što od sljedećeg:
- Hitnost i prijetnja - "reagirajte odmah", "račun će biti blokiran", "kazna ako ne platite danas".
- Sumnjiva adresa pošiljatelja - ime izgleda poznato, ali domena je kriva (npr. microsft-support.com ili @gmail.com umjesto službene domene).
- Poveznice koje ne vode kamo tvrde - kad pređete mišem preko linka, prikazana adresa ne odgovara tekstu.
- Neočekivani privici - ZIP, ISO, HTML ili dokument s makronaredbama koji "trebate otvoriti".
- Zahtjev za podatke - lozinke, OTP kodovi, podaci o kartici ili promjena bankovnog računa.
- Jezične i vizualne pogreške - čudne formulacije, loš prijevod, pogrešno postavljen logotip.
- Neobičan ton kolege ili šefa - poruka traži tajnost, zaobilaženje procedura ili "da nikom ne govorite".
Tri stvarna scenarija za firme
1. Lažni dobavljač mijenja IBAN
Knjigovodstvo dobije e-poruku od "dobavljača" s kojim firma redovno posluje. Poruka uljudno javlja da su promijenili banku i moli da se sljedeća faktura plati na novi IBAN. Adresa pošiljatelja je gotovo identična pravoj. Bez provjere telefonom, uplata u tisućama eura odlazi napadaču. Ovo je jedan od najčešćih i najskupljih oblika BEC prijevare.
2. Lažni direktor traži hitnu uplatu
Zaposlenik u financijama primi poruku naizgled od direktora: "Trenutno sam na sastanku, hitno trebamo platiti ovog partnera, pošalji mi potvrdu kad bude gotovo, ne zovi me jer sam zauzet." Pritisak autoriteta i hitnost natjeraju zaposlenika da preskoči uobičajenu kontrolu i izvrši nalog.
3. Lažna banka ili Microsoft login stranica
Zaposlenik dobije poruku "vaš Microsoft 365 račun istječe, prijavite se da ga zadržite". Poveznica vodi na stranicu identičnu pravoj Microsoftovoj prijavi. Čim upiše korisničko ime i lozinku, napadač ih hvata i preuzima poslovni e-mail - odakle dalje šalje phishing kolegama i partnerima.
Kako se firma štiti od phishinga
Učinkovita phishing zaštita počiva na dva stupa: tehničkim mjerama koje zaustavljaju što više napada prije nego stignu do ljudi, i ljudskim mjerama koje osposobljavaju zaposlenike da prepoznaju ono što ipak prođe.
Tehnička zaštita
- SPF, DKIM i DMARC - autentikacija e-pošte koja sprječava da netko lažira vašu domenu i šalje poruke u vaše ime. DMARC u "reject" politici drastično smanjuje lažiranje.
- Anti-spam i anti-phishing filtri - napredni filtri prepoznaju sumnjive poveznice, lažne pošiljatelje i poznate napade prije nego dospiju u inbox.
- Sandboxing privitaka i poveznica - privici i linkovi otvaraju se u izoliranom okruženju gdje se provjerava ponašanje prije isporuke korisniku.
- Višefaktorska autentifikacija (MFA) - i kad lozinka procuri, MFA sprječava napadača da se prijavi. Ovo je jedna od najisplativijih pojedinačnih mjera.
- SOC nadzor 24/7 - kontinuirano praćenje sumnjivih prijava, neobičnih pravila u poštanskom sandučiću i ranih znakova kompromitacije omogućuje brzu reakciju. Naš SOC nadzor otkriva napade i kad poruka prođe.
Sve navedeno čini temelj dobre email sigurnosti - prvog obrambenog sloja firme.
Ljudska zaštita: edukacija i simulirane kampanje
Tehnologija nikad ne hvata 100% napada, pa je svjestan zaposlenik posljednja i najvažnija linija obrane. Najučinkovitije mjere su:
- Redovita edukacija - kratki, praktični treninzi kako prepoznati i prijaviti phishing.
- Simulirane phishing kampanje - kontrolirane lažne poruke koje sigurno mjere tko nasjeda, uz ciljanu doedukaciju umjesto kažnjavanja.
- Jasna procedura prijave - "gumb za prijavu phishinga" i poznata adresa kamo se sumnjive poruke šalju.
- Pravilo dvostruke provjere - svaka promjena IBAN-a ili hitna uplata potvrđuje se telefonom na poznati broj.
Upravo to nudi naš program phishing edukacije - kombinacija treninga i simulacija koja mjerljivo smanjuje broj zaposlenika koji nasjedaju.
Što napraviti ako netko nasjedne
Brza i smirena reakcija ograničava štetu. Ako zaposlenik klikne, upiše podatke ili izvrši uplatu, slijedite ove korake:
- Odmah promijenite lozinku kompromitiranog računa i svih mjesta gdje se ista lozinka koristila.
- Odjavite sve aktivne sesije i provjerite je li uključen MFA.
- Obavijestite IT/SOC tim bez odgode - vrijeme je presudno za sprječavanje širenja.
- Provjerite pravila u poštanskom sandučiću - napadači često postave automatsko prosljeđivanje ili brisanje poruka.
- Ako je izvršena uplata, odmah kontaktirajte banku i zatražite povrat (recall) te pokušajte zaustaviti transakciju.
- Prijavite incident nadležnom CERT-u i, ako su procurili osobni podaci, razmotrite obvezu prijave.
- Obavijestite kolege i partnere ako se s računa već slao phishing dalje.
- Analizirajte i poučite - utvrdite kako je napad prošao i ojačajte email sigurnost te edukaciju.
Phishing prijevare neće nestati - postaju samo uvjerljivije, pogotovo uz alate umjetne inteligencije. No firma koja kombinira jaku tehničku zaštitu, stalan SOC nadzor i educirane ljude napadaču postaje pretvrd cilj. Najbolji trenutak da se zaštitite bio je jučer, drugi najbolji je danas.
Često postavljana pitanja
Što je phishing jednostavno objašnjeno?
Phishing je prijevara u kojoj vam napadač lažnom porukom (najčešće e-poštom) pokušava ukrasti lozinku, podatke ili novac tako da se predstavlja kao netko kome vjerujete.
Kako se zaštititi od phishinga u firmi?
Kombinacijom tehničkih mjera (SPF/DKIM/DMARC, anti-spam filtri, sandboxing, MFA, SOC nadzor) i edukacije zaposlenika uz simulirane phishing kampanje. Oba sloja zajedno daju najbolju zaštitu.
Koja je razlika između phishinga i spear phishinga?
Klasični phishing je masovan i šalje se mnogima odjednom, dok je spear phishing ciljan na konkretnu osobu ili odjel uz personalizirane podatke, pa je puno uvjerljiviji i opasniji.
Što učiniti ako sam kliknuo na phishing link?
Odmah promijenite lozinku, odjavite sve sesije, uključite MFA i obavijestite IT/SOC tim. Ako ste upisali podatke o kartici ili izvršili uplatu, hitno kontaktirajte banku.
