SMS stigne u 8 ujutro, dok još niste ni popili kavu. "Vaš pristup mobilnom bankarstvu bit će deaktiviran u sljedećih 24 sata. Potvrdite podatke ovdje." Poveznica vodi na stranicu koja izgleda identično kao aplikacija vaše banke — isti logo, iste boje, isti font. Razlika je u jednom slovu u adresi koje nitko u žurbi ne primijeti.

CERT.hr je posljednjih mjeseci izdao više upozorenja o aktivnim phishing kampanjama usmjerenim izravno na korisnike hrvatskih banaka, a građani su prijavili gubitke u iznosu od tisuća eura po žrtvi. Ovo nije rijedak, izoliran slučaj — ovo je obrazac koji se ponavlja s malim varijacijama već mjesecima.

Zašto SMS radi bolje od e-maila za prevarante

Mobilni vektori napada — SMS i glasovni pozivi — imaju medijalnu stopu uspješnih klikova 40 posto višu od e-maila. Razlog je jednostavan: SMS poruke djeluju hitnije i osobnije, čitaju se odmah, a mali ekran mobitela otežava pažljivo provjeravanje adrese poveznice prije klika. Danas čak 70 posto svih mobilnih phishing napada odvija se upravo preko SMS-a, a broj takvih prevara porastao je 40 posto u godinu dana.

Relativna stopa uspješnih klikova: SMS naspram e-maila Stopa uspješnih klikova (relativno) E-mail phishing osnovna razina SMS (smishing) +40% viša Izvor: DeepStrike Smishing Statistics 2026.

Obrazac koji se ponavlja iz mjeseca u mjesec

Građani u Hrvatskoj prijavljuju gotovo identičan scenarij: poruka stiže s lažnim potpisom banke, tvrdi da će pristup mobilnom bankarstvu biti deaktiviran ako se podaci odmah ne potvrde, a poveznica vodi na stranicu vizualno kopiranu sa službene aplikacije. Nakon unosa korisničkog imena, lozinke i jednokratnog koda za autentifikaciju, prevaranti u roku od minuta prazne račun. Slična tehnika koristi se i za lažne obavijesti o "neisporučenoj pošiljci" koje preusmjeravaju žrtve na krivotvorene stranice poštanskih službi diljem regije — u Hrvatskoj, Srbiji, Rumunjskoj i Sloveniji.

AI je promijenio pravila igre za same napadače

Najveća promjena u odnosu na prijašnje godine nije tehnologija koju banke koriste za obranu, nego tehnologija koju koriste napadači. Umjetna inteligencija sad se koristi za generiranje i personalizaciju napada u velikom broju istovremeno, kroz različite platforme za poruke — što znači da poruka koju primite više ne mora biti generička s pravopisnim greškama koje su nekad odavale prevaru. Sofisticiraniji napadi kombiniraju podatke prikupljene s društvenih mreža i procurjelih baza podataka kako bi poruka djelovala osobno i vjerodostojno.

Zašto banke ne mogu sve zaustaviti same

Prema analizi europskog sektora financija, banke čine 46 posto svih zabilježenih sigurnosnih incidenata u europskom skupu podataka, pri čemu su kampanje društvenog inženjeringa — phishing, smishing i vishing (prevare putem telefonskog poziva) — najčešća taktika koja pogađa i pojedince i same kreditne institucije. Problem je strukturan: banka može filtrirati vlastite sustave, ali ne može spriječiti prevaranta da pošalje SMS s lažnim imenom pošiljatelja koji se prikazuje identično kao pravi broj banke u razgovornom nizu poruka na telefonu.

Kako prepoznati poruku prije nego kliknete

Nekoliko pravila koja hrvatske banke dosljedno ponavljaju u svojim upozorenjima: banka nikad ne traži lozinku, PIN ili jednokratni kod putem SMS-a, e-maila ili telefonskog poziva. Službene e-mail adrese banaka završavaju domenom same banke, ne generičkom .com adresom koja izgleda slično. Mobilno bankarstvo uvijek se otvara izravno kroz službenu aplikaciju ili upisivanjem adrese ručno u preglednik, nikad klikom na poveznicu iz poruke. Ako poruka stvara osjećaj hitnosti — "24 sata", "odmah", "račun će biti blokiran" — to je gotovo uvijek znak upozorenja, jer prava komunikacija banke rijetko ovisi o brzini vaše reakcije.

Što učiniti ako ste već kliknuli

Ako ste unijeli podatke na sumnjivu stranicu, prva sljedeća minuta je najvažnija — odmah nazovite banku na službeni broj (ne broj iz poruke) i zatražite privremeno zamrzavanje pristupa računu, zatim prijavite slučaj policiji. Brzina reakcije često određuje hoće li se transakcija stići poništiti ili će novac već biti prebačen dalje kroz lanac računa koji je gotovo nemoguće pratiti unatrag.

Najveća obrana nije tehnička — nije to novi antivirus ni jača lozinka. Najveća obrana je navika da se svaka poruka koja traži hitnu akciju automatski tretira sa sumnjom, bez obzira koliko uvjerljivo izgleda logo u zaglavlju.


Izvori i dodatno čitanje