Najbolja zaštita od prijevare je educirani zaposlenik

Najbolja zaštita od prijevare je educirani zaposlenik

16. Srpnja 2026.

Danas je u organizaciji Centra za razmjenu informacija i analizu u području kibernetičke sigurnosti Udruge gradova RH održan webinar za više od 300 gradskih službenika pod nazivom “Prevencija računalnih prijevara u JLS za neinformatičare”. Ključne savjete potražite ovdje.

Svaki uspješan kibernetički napad ima jednu zajedničku točku – ljudski faktor. Dok su se napadači nekada fokusirali na probijanje tehnoloških barijera i napadanje samih računala, današnja realnost pokazuje potpunu promjenu paradigme: danas se napadaju zaposlenici. Kako bismo odgovorili na ove sve učestalije izazove, pripremili smo niz predavanja za službenike koji nemaju informatičku izobrazbu, ali svakodnevno rukuju službenom e-poštom, financijskim transakcijama ili imaju pristup kritičnoj infrastrukturi.

Kibernetičke prijetnje javnoj upravi u stalnom su porastu. Prema podacima iz ENISA izvješća, javna uprava – a specifično gradovi – trpi čak 38,2% svih napada. Posljedice uspješnog napada mogu biti katastrofalne za funkcioniranje lokalne zajednice:

  • Dugotrajna paraliza sustava: Prosječno vrijeme punog oporavka nakon napada iznosi čak 120 dana, a tek se 20% organizacija uspije oporaviti za manje od tjedan dana.
  • Značajni financijski gubici koji daleko premašuju troškove upravljanja sigurnošću.
  • Curenje poslovnih i osobnih podataka

Najopasniji i najčešći lanac napada započinje upravo phishingom (lažnim porukama), preko kojih napadači kradu vjerodajnice, nakon čega slijedi zaključavanje sustava (ransomware) te dvostruka iznuda i zastoj rada.

Što je phishing i kako prepoznati zamku?

Phishing predstavlja pokušaj prijevare u kojem se napadač lažno predstavlja kao pouzdana organizacija ili partner kako bi žrtvu naveo na klikanje lažnih poveznica, unos lozinki ili plaćanje lažnih faktura.

Na webinaru su detaljno analizirana četiri stvarna scenarija iz prakse koja slikovito prikazuju tehnike napadača:

  1. Lažna IT podrška: Napadači koriste domene koje vizualno oponašaju stvarne partnere (npr. zamjena slova “o” brojem “0” u domeni  podrska@udruga-grad0va.com). Poruke obično sadrže element hitnosti i prijetnju blokadom računa ako se odmah ne unese lozinka.
  2. Lažna glasovna poruka: E-mail s lažnim audio zapisom teleoperatera i rokom od 72 sata za preslušavanje vodi na lažni portal za preuzimanje poruke. Važno je znati da teleoperatori ne šalju glasovne poruke na ovaj način.
  3. Kompromitacija poslovne e-pošte: Ovo je izuzetno opasna financijska prijevara u kojoj napadač šalje zahtjev za hitnu promjenu IBAN-a za plaćanje, često stavljajući u kopiju direktora radi stvaranja dodatnog pritiska na zaposlenika.
  4. Zaobilaženje dvofaktorne autentikacije: Lažne sigurnosne obavijesti koje imitiraju Microsoft (npr. s adrese security-alert@microsoft-security-center.net) javljaju o sumnjivoj prijavi iz inozemstva i traže hitan unos OTP koda kako bi napadač preuzeo korisnički račun.

Ključne preporuke za sigurnost: 5 zlatnih pravila

Jedan pogrešan klik na privitak ili jedna kriva uplata mogu stajati ustanovu stotine tisuća ili čak milijune eura. Kako biste maksimalno zaštitili sebe i svoj grad, usvojite ovih pet temeljnih pravila ponašanja:

  • 1. Uvijek detaljno provjerite domenu pošiljatelja

Bilo kakva mala razlika u e-mail adresi (crtice, sufiksi poput .net ili .info umjesto .hr, zamjena slova brojkama) siguran je znak za uzbunu.

  • 2. Ne klikajte odmah – prvo “lebdeći” provjerite link

Prije nego što kliknete na bilo koju poveznicu, pređite mišem preko nje (bez klika) kako biste vidjeli kamo vas taj link stvarno vodi.

  • 3. Provjeravajte telefonom – nikad e-mailom!

Ako primite zahtjev za promjenu IBAN-a partnera, unos lozinki ili bilo kakve hitne i osjetljive financijske transakcije, obavezno nazovite partnera na otprije poznati broj telefona. IBAN promjene uvijek dodatno verificirajte i kroz službene Fina servise (Jedinstveni registar računa). Uvedite pravilo “četiri oka” za sve izmjene platnih podataka.

  • 4. Nikada ne dijelite OTP/MFA kodove

Niti jedna legitimna tvrtka ili IT podrška nikada od vas neće tražiti jednokratnu zaporku (OTP) ili višefaktorne kodove putem e-maila ili telefona.

  • 5. Koristite jake i jedinstvene zaporke

Službene zaporke moraju se redovito mijenjati i nikada ne smiju biti identične onima koje koristite za privatne račune. Zaporka bi trebala imati najmanje 14 znakova te obavezno uključenu dvofaktorsku autentikaciju (2FA).

Što učiniti kada primite sumnjivu poruku?

  • STANI – Ne klikajte na linkove i ne otvarajte privitke.
  • PROVJERI – Pogledajte domenu i provjerite očekujete li uopće takav e-mail.
  • VERIFICIRAJ – Nazovite pošiljatelja na stvarni, otprije poznati broj telefona, ne na broj telefona iz e-maila.
  • PRIJAVI – Nemojte samo obrisati sumnjivu poruku. Proslijedite je svom IT odjelu ili nacionalnom CERT-u kao privitak (kako bi se sačuvala izvorna zaglavlja e-pošte).

Bolje je i deset puta uzalud prijaviti sumnju nego prešutjeti i ugroziti cijeli sustav!

Što učiniti kada prekasno shvatite da ste predali šifre napadaču?

  • Odmah, bez odgode, promijenite šifre ako to znate sami učiniti.
  • Odmah obavijestite svoju informatičku podršku, objasnite im što se dogodilo i zatražite da odmah blokiraju vaše račune.

Ne odgađajte prijavu i blokiranje računa radi samo jedne stvari koju hitno trebate obaviti jer postoji mogućnost da će vrlo brzo rad cijele uprave biti blokiran danima.

Ne odgađajte prijavu i blokiranje niti ako ste prepoznali problem idući dan. Što se ranije za situaciju sazna veće su šanse da se problem spriječi, ali svakim satom čekanja rizici od incidenta eksponencijalno rastu.

Edukacija zaposlenika i stalna senzibilizacija o kibernetičkoj sigurnosti ključni su alati u obrani od računalnog kriminala. Budite oprezni, provjeravajte informacije i zaštitite svoje radno okruženje.