Phishing napadi: anatomija jednog upada u sistem

Phishing napadi su sajber napadi u kojima se napadači predstavljaju kao pouzdani izvor, na primer banka, kolega ili poslovni partner, i navode žrtvu da otkrije pristupne login podatke, klikne na zlonamerni link ili pokrene maliciozni fajl. Cilj nije samo krađa lozinke, već pristup sistemu koji vodi do širokog kompromitovanja IT infrastrukture organizacije.

Većina ozbiljnih sigurnosnih incidenata u 2026. godini ne počinje hakerskim trikom. Počinje običnim emailom koji niko nije proverio. U ovom tekstu pratimo šta se dešava posle tog klika i kako jedan kompromitovani nalog postaje upad u celu mrežu, kao i koje sajber bezbednosno rešenje zaista presreće tu vrstu napada.

Šta su phishing napadi i zašto su i dalje broj jedan pretnja

Phishing se oslanja na ponašanja ljudi, ne na proboj tehničke odbrane. Napadač ne probija firewall ni VPN. Napadač ubeđuje čoveka da sam otvori vrata. To je razlika koja menja celu računicu zaštite, jer slojevita tehnička odbrana sama ne rešava problem ako jedan zaposleni proceni da je email od ‘banke’ legitiman.

Prema Verizon Data Breach Investigations Report za 2025. godinu, phishing je inicijalni faktor pristupa u 16% svih sigurnosnih incidenata, dok kompromitovani kredencijali (koje phishing često obezbeđuje) se pojavljuju u 22% slučajeva. Posmatrano zajedno, ljudski faktor je i dalje najveća sigurnosna rupa u prosečnoj firmi.

Tri trenda objašnjavaju zašto phishing radi i dalje uprkos svim filterima:

• AI generisani sadržaj eliminiše gramatičke greške koje su nekada bile pouzdan signal prevare.
• Deepfake glasovni klonovi omogućavaju vishing pozive u kojima zaposleni ‘čuje šefa’ kako odobrava transfer.
• AiTM (Adversary-in-the-Middle) phishing kits poput Tycoon2FA i EvilProxy presreću MFA kodove u realnom vremenu.

Vrste phishing napada koje ciljaju kompanije

Phishing nije jedna tehnika nego skup. Različite vrste zahtevaju različite slojeve odbrane, pa razumevanje razlika utiče direktno na to gde organizacija ulaže resurse.

Klasični email phishing

U masovnim kampanjama sa minimalnom personalizacijom, email-ovi se šalju na hiljade adresa odjednom. Niska stopa uspeha po poruci, ali visok volumen. Email gateway filteri presreću većinu, ali ne sve.

Spear phishing

Ciljani napad na konkretnu osobu ili tim, sa prethodnim istraživanjem žrtve preko LinkedIn-a, javnih izvora i prethodnih breach baza. Spear phishing poruka ima ime, kontekst i razlog. Stopa uspeha višestruko veća.

Whaling

Spear phishing usmeren na C-level rukovodioce. Cilj nije sama lozinka tog rukovodioca, već da on naredi finansijski transfer ili odobri pristup. Često se kombinuje sa lažnim domenima koji vizuelno liče na partnerske.

Business Email Compromise (BEC)

Najopasnija varijanta za organizacije. Nema linkova, nema priloga, samo poruka u kojoj se napadač predstavlja kao CEO, CFO ili dobavljač i traži uplatu na novi račun. Tehnički email filteri ne reaguju jer poruka nema malicioznu komponentu. Prema Verizon DBIR-u za 2025, BEC napadi doveli su do 6,3 milijardi dolara gubitaka, a Anti-Phishing Working Group (APWG) beleži više od 3,8 miliona jedinstvenih phishing sajtova godišnje.

Smishing i vishing

SMS phishing i glasovni phishing pozivi su u 2026. godini sve češći jer napadači koriste AI klonove glasa menadžera. Mobilni uređaji imaju slabije filtere od email infrastrukture, pa je stopa propuštanja viša.

Anatomija jednog upada: pet faza kompromitovanja sistema

Većina sadržaja o phishingu staje na ‘kako prepoznati lažni email’. Ovde pratimo ono što se dešava posle klika i šta tačno znači reč ‘kompromitovanje sistema’. Pet faza opisuje tipičan put od inicijalne poruke do krajnje štete.

Faza 1: Razvoj kampanje i dostava poruke

Napadač registruje lažni domen koji liči na pravi (na primer ‘microsft.com’ umesto ‘microsoft.com’), postavlja phishing kit infrastrukturu i istražuje žrtvu preko javnih izvora. Poruka se zatim šalje preko emaila, SMS-a, LinkedIn-a ili kombinacije kanala. Ova faza može da traje danima.

Faza 2: Inicijalni klik i krađa kredencijala

Žrtva klikne na link i unese kredencijale u formu koja izgleda kao pravi Microsoft 365 ili Google Workspace login. AiTM kit u pozadini istovremeno prosleđuje kredencijale pravom servisu, kupi token sesije i šalje natrag legitiman MFA prompt. Žrtva odobri prompt misleći da je proces normalan.

Faza 3: Inicijalni pristup i izviđanje

Napadači sada imaju validnu sesiju na nalogu žrtve. Prvi korak je tih, ne ostavlja trag. Pregledaju email arhivu, kalendar, OneDrive ili SharePoint. Traže organizacione šeme, finansijske podatke i pristupne podatke za druge sisteme koji su sačuvani u email arhivi.

Faza 4: Lateralno kretanje i eskalacija nivoa privilegija

Kompromitovani korisnik retko kad ima dovoljan nivo prustupa za krajnji cilj. Napadač traži servisne naloge, deljene mailbox-e, lokalne lozinke administratora ili pogrešno konfigurisane permisije u Active Directory-ju. Cilj je doći do domain admina ili sličnog nivoa permisija. Ova faza je tačka u kojoj se phishing pretvara u potpuno kompromitovanje sistema.

Faza 5: Krajnji cilj

U zavisnosti od motivacije napadača, finalna akcija je jedna od nekoliko opcija:

• Ransomware enkripcija i ucena za otkup.
• Krađa podataka i prodaja na dark web-u ili ucena objavom.
• Finansijska transakcija (klasični BEC scenario).
• Zadržavanje pristupa za buduću ucenu, ili korišćenje endpoint-a kao deo botneta za DDoS napade na druge mete.

Stvarni primeri koliko phishing može da košta

Apstraktna pretnja postaje konkretna kada se pogleda finansijska šteta poznatih slučajeva.

Colonial Pipeline, maj 2021. Jedan kompromitovani VPN kredencijal bez aktivne višefaktorske autentifikacije omogućio je DarkSide ransomware grupi da zaustavi operativnost najvećeg naftovoda na istočnoj obali SAD-a šest dana. Kompanija je platila otkup od 4,4 miliona dolara, a posledice su uključivale nestašice goriva i nacionalne hitne mere.

Twilio, avgust 2022. Sofisticirana spear phishing kampanja kompromitovala je naloge zaposlenih i izložila podatke krajnjih korisnika servisa. Pokazano je da i u kompanije sa zrelom sigurnosnom kulturom može da se upadne ako napadač ima dovoljno vremena za istraživanje.

Change Healthcare, februar 2024. Ransomware napad koji je počeo kompromitovanim kredencijalima na portalu bez MFA. Otkriveno je 192,7 miliona zdravstvenih kartona, a kompanija UnitedHealth Group prijavila je više od 872 miliona dolara troškova oporavka. Najveća krađa zdravstvenih podataka u istoriji.

Zašto antivirus i email filteri sami nisu dovoljni

Tradicionalna sigurnosna arhitektura oslanja se na dva sloja: email gateway koji presreće poruke i endpoint antivirus koji presreće izvršne fajlove. Oba sloja propuštaju modernu phishing pretnju iz konkretnih razloga.

Email gateway-i kategorizuju poruke po reputaciji domena, sadržaju i prilozima. AiTM kits koriste tek registrovane domene koji još uvek nemaju lošu reputaciju, sadržaj je čist (samo link), a malicioznost se otkriva tek kada žrtva otvori sajt i unese kredencijale. U tom trenutku poruka je odavno prošla filter.

Endpoint antivirus reaguje na izvršavanje koda. BEC napadi uopšte ne dostavljaju kod. Ne postoji fajl koji bi antivirus skenirao. Napad se odvija isključivo kroz validnu prepisku sa kompromitovanim ili lažno predstavljenim nalogom.

Praktična implikacija je jasna. Organizacije se ne brane pojedinačnim alatom, već arhitekturom u kojoj nekoliko slojeva sarađuje i postoji 24/7 monitoring koji uočava anomalije pre nego što napad stigne do faze 4.

Kako sprečiti phishing napade i šta uraditi ako se dese

Prevencija i reagovanje nisu odvojene discipline. Iste tehnologije i procesi koji smanjuju verovatnoću upada skraćuju i vreme detekcije kada se upad ipak desi.

Tehnički sloj

• Phishing-resistant MFA baziran na FIDO2 i WebAuthn standardima (hardware tokeni, passkeys). Najčešće, SMS i push notifikacije nisu dovoljne protiv AiTM napada.
• Implementacija SPF, DKIM i DMARC zapisa na svim poslovnim domenima da bi se sprečilo lažno predstavljanje.
• Email gateway sa sandbox analizom priloga i URL reputation servisom u realnom vremenu.

Endpoint zaštita i ažurirana antivirus zaštita sa EDR feature-ima koje detektuju anomalije, ne samo poznate potpise.

Pouzdana backup rešenja po 3-2-1 modelu (tri kopije, dva medija, jedna van lokacije) kao poslednja linija odbrane od ransomware enkripcije.

Mrežna DDoS zaštita jer kompromitovani endpoint-i često završe kao deo botneta koji napada druge mete, pa zaštita štiti i od izlaznih i od dolaznih napada.

Ljudski sloj

• Phishing simulacije više puta godišnje, ne kao kazna nego kao trening senzora detekcije.
• Jasan kanal za prijavu sumnjive poruke (na jedan klik, ne dugačak proces).
• Periodična edukacija o novim taktikama, posebno o vishing-u i deepfake glasovima.

Šta uraditi kada se upad desi

Prvih sat vremena određuje obim štete. Standardni incident response postupak izgleda ovako:

1. Izolacija kompromitovanog endpoint-a sa mreže (fizički ili kroz network policy).
2. Reset lozinki za sve naloge koje je korisnik koristio, plus invalidacija svih aktivnih tokena sesija.
3. Forenzika koja utvrđuje tačku ulaska, vreme prvog pristupa i koji su sistemi dotaknuti.
4. Interna komunikacija po definisanom playbook-u (IT, pravni, menadžment, eventualno PR).
5. Regulatorne notifikacije gde je primenjivo (GDPR daje 72 sata za prijavu).
6. Restauracija iz čistih backup-a, ne iz onih koji su mogli biti dotaknuti tokom napada.
7. Post-incident pregled koji utvrđuje šta je propustilo napadača i koji sloj odbrane treba ojačati.

Zaključak

Phishing nije problem koji se rešava jednim alatom ni jednom obukom. Razlog što je i u 2026. godini i dalje broj jedan faktor upada nije tehnička slabost odbrane, nego činjenica da napadači stalno menjaju kanale i taktike brže nego što prosečne organizacije ažuriraju procese.

Razlika između izolovanog incidenta i breach-a koji ulazi u medije je vreme detekcije. Prema IBM Cost of a Data Breach izveštaju, prosečan phishing breach ostaje neotkriven 261 dan. Organizacije sa zrelim SOC pristupom skraćuju to vreme na dane.

Ako planirate da ozbiljnije pristupite sigurnosti, kompletna rešenja za sajber bezbednost obuhvataju SOC monitoring, slojevitu zaštitu i incident response procese koji rade zajedno, umesto izolovanih alata.

Najčešća pitanja (FAQ)

Šta je phishing napad?

Phishing napad je sajber napad u kojem se napadač predstavlja kao pouzdani izvor (banka, kolega, partner) i navodi žrtvu da otkrije pristupne podatke, klikne na zlonamerni link ili pokrene maliciozni fajl. Cilj nije samo krađa lozinke, već inicijalni pristup sistemu koji vodi do širokog kompromitovanja IT infrastrukture.

Koje su najopasnije vrste phishing napada za kompanije?

Najopasniji su Business Email Compromise (BEC) i whaling, jer ne sadrže maliciozne linkove ni priloge i zaobilaze tradicionalne email filtere. BEC napadi koštaju kompanije više od 6 milijardi dolara godišnje prema Verizon DBIR izveštaju za 2025. godinu.

Kako phishing dovodi do kompromitovanja celog sistema?

Napad počinje krađom jedne lozinke. Napadač zatim koristi taj nalog za lateralno kretanje kroz mrežu, traži servisne naloge sa višim privilegijama, postavlja persistenciju i tek na kraju izvršava krajnji cilj, ransomware, krađu podataka ili lažnu transakciju. Ceo proces može da traje danima ili nedeljama bez detekcije.

Da li višefaktorska autentifikacija (MFA) štiti od phishinga?

SMS i push notification MFA ne štite od modernih AiTM (Adversary-in-the-Middle) phishing kits koji presreću kod u realnom vremenu. Phishing-resistant MFA bazirana na FIDO2 i WebAuthn standardima (hardware tokeni, passkeys) eliminiše ovaj rizik.

Šta uraditi ako je zaposleni kliknuo na phishing link?

Odmah izolovati endpoint sa mreže, resetovati lozinke za sve naloge koje je korisnik koristio, invalidirati aktivne sesije, i pokrenuti forenziku da se utvrdi obim štete. Što ranije se reaguje, manja je verovatnoća da napadač stigne do lateralnog kretanja i krajnjeg cilja.