Društveni inženjering: stanje, prijetnje i zaštita

Društveni inženjering danas predstavlja jednu od najopasnijih prijetnji u digitalnom svijetu, a Hrvatska nije iznimka.

Najopasniji napadači ne pokušavaju probiti vatrozid niti tražiti ranjivosti u softverskim sustavima. Ekipa cilja na najslabiju kariku u svakom sigurnosnom lancu. Dakle, na čovjeka.

U 2025. godini zabilježeno je ukupno 1513 kibernetičkih incidenata u Hrvatskoj, što predstavlja povećanje od 35,9 posto u odnosu na 2024. godinu.

CERT

Najzastupljeniji tipovi incidenata bili su napadi phishing-a s 32 posto, neželjene poruke s 19 posto, ostale vrste financijski motiviranih prijevara s 18 posto te napadačka infrastruktura s 12 posto.

Godinu ranije, Nacionalni CERT je u 2024. godini obradio 1113 kibernetičkih incidenata, a vodeći tip incidenta bio je i dalje phishing. Incidenti tipa phishing činili su čak 58 posto svih obrađenih incidenata u 2024. godini.

Na globalnoj razini, društveni inženjering odgovoran je za većinu svih uspješnih kibernetičkih napada.

Phishing ostaje primarni vektor upada, odgovoran za otprilike 60 posto incidenata, a sada se isporučuje s neviđenom realističnošću korištenjem sadržaja generiranog umjetnom inteligencijom.

Samo u 2024. godini, FBI IC3 zabilježio je 16,6 milijardi dolara gubitaka od kibernetičkog kriminala, što je porast od 33 posto u odnosu na prethodnu godinu.

Ovaj članak pruža sveobuhvatnu analizu stanja društvenog inženjeringa u Hrvatskoj.

Razmotrit ćemo vrste napada, specifične izazove s kojima se suočavaju tvrtke u Hrvatskoj. Prikazat ćemo zakonski okvir, najčešće mete te konkretne korake za prevenciju i zaštitu.

Što je društveni inženjering?

Društveni inženjering je oblik kibernetičkog napada koji iskorištava ljudsku psihologiju i povjerenje kako bi napadači došli do povjerljivih informacija ili omogućili neovlašteni pristup sustavima.

Umjesto korištenja tehničkih ranjivosti, ovi napadi ciljaju na ljudske slabosti koje je vrlo teško spriječiti

Psihologija iza napada

Uspješni napadi društvenim inženjeringom temelje se na dobro poznatim psihološkim principima.

Robert Cialdini, poznati psiholog, identificirao je šest ključnih principa utjecaja koji su ujedno i temelj gotovo svakog napada društvenim inženjeringom:

Autoritet — Ljudi su skloni poslušnosti prema osobama na pozicijama moći. Napadač koji se predstavlja kao direktor, policajac ili bankarski službenik lako može navesti žrtvu na poslušnost.

Hitnost — Kada se žrtvi nameće vremenski pritisak, ona donosi nepromišljene odluke. Poruke poput „Vaš račun bit će blokiran za 24 sata” izazivaju paniku i brzu reakciju.

Socijalni dokaz — Ako žrtva vjeruje da su i drugi već napravili nešto, veća je vjerojatnost da će i sama to učiniti.

Reciprocitet — Ljudi osjećaju obvezu uzvratiti uslugu. Napadač koji prvo ponudi nešto besplatno, lakše će tražiti nešto zauzvrat.

Simpatija — Skloniji smo suradnji s ljudima koji su nam simpatični ili s kojima dijelimo nešto zajedničko.

Oskudica — Ponude koje djeluju ograničeno ili ekskluzivno izazivaju brzu i često nepromišljenu reakciju.

Zašto je čovjek najslabija karika?

Tvrtke mogu uložiti milijune u najsuvremenije vatrozide, sustave za detekciju upada i enkripciju, no dovoljno je da jedan zaposlenik klikne na zlonamjernu poveznicu ili odgovori na lažni email kako bi svi ti sustavi postali beskorisni.

Financijske institucije kontinuirano ulažu značajna sredstva u sustave zaštite, uključujući višefaktorsku autentifikaciju, sustave za otkrivanje prijevara i stalni nadzor transakcija, no ljudski faktor i dalje ostaje najslabija karika sigurnosnog sustava.

62 % povreda sigurnosti uzrokuju ljudi!

Verizon

Tehnički sustavi funkcioniraju prema pravilima i algoritmima, dok ljudi funkcioniraju prema emocijama i navikama. Društveni inženjering postoji baš zbog te naše ljudske prirode.

Nijedan antivirusni program ne može detektirati napad koji ne dolazi kroz mrežni kanal, već kroz ljudsku komunikaciju.

Vrste društvenog inženjeringa

Društveni inženjering obuhvaća širok spektar tehnika, od digitalnih do fizičkih napada. U nastavku su opisane najčešće vrste napada, svaka popraćena primjerima relevantnima za hrvatske prilike.

Phishing: email prevare

Phishing je najrašireniji oblik društvenog inženjeringa. Napadač šalje lažne elektroničke poruke koje izgledaju kao da dolaze od legitimnih organizacija.

Uglavnom ih šalju u ime banaka, državnih institucija, pružatelja usluga ili poznatih tvrtki.

Cilj je navesti primatelja da klikne na zlonamjernu poveznicu, preuzme zaraženi privitak ili unese svoje podatke na lažnu web stranicu.

U Hrvatskoj su posebno česti phishing napadi koji oponašaju komunikaciju velikih banaka poput Zagrebačke banke, PBZ-a ili OTP banke.

Banka vam neće poslati e-poruku koja sadrži poveznicu kako biste potvrdili podatke o svom bankovnom računu, neće od vas tražiti podatke o karticama, PIN-ove, lozinke, kodove iz m-tokena.

AZOP

U 2025. godini najveći porasti broja incidenata zabilježeni su u svibnju i rujnu, u svibnju povezani s povećanim brojem phishing kampanja.

Sjećamo se napada kada su zlonamjerni akteri imitirali odvjetnička društva s malicioznim privitcima.

Bilo je i phishing kampanja koje oponašaju sustav e-dozvola te kampanje za preuzimanje kontrole nad računima korisnika WhatsApp-a.

U rujnu 2025 su porast incidenata opet predvodile phishing kampanje, posebno koje su imitirale HZZO i Ministarstvo unutarnjih poslova.

Vishing: telefonske prevare

Vishing (voice phishing) podrazumijeva telefonske pozive u kojima se napadač lažno predstavlja kao djelatnik banke, policije, porezne uprave ili tehničke podrške.

Napadači su puno aktivniji na društvenim mrežama, na aplikacijama za instant komunikaciju i putem telefonskih poziva.

Posebno su ranjive starije osobe, koje su manje upoznate s digitalnim prijetnjama.

Stariji građani zabilježili su porast vishing napada od 40 posto u dvije godine, što ih čini glavnom metom prevaranata koji iskorištavaju povjerenje i digitalnu neiskusnost.

Smishing: SMS prevare

Smishing koristi SMS poruke kao vektor napada.

Poruke sadrže kratku obavijest s poveznicom. Primjerice, lažne obavijesti o dostavi paketa, potvrdama bankovnih transakcija ili upozorenjima o blokiranim računima.

U Hrvatskoj su česti smishing napadi koji oponašaju dostavne službe poput Hrvatske pošte, DPD-a ili GLS-a, osobito u razdoblju blagdana kada je obujam internetske kupovine povećan.

76 % tvrtki suočilo se sa smishing napadima u posljednjoj godini, uz porast incidenata od 328 posto.

Varonis

Pretexting: lažno predstavljanje

Pretexting je tehnika u kojoj napadač stvara lažni scenarij kako bi pridobio povjerenje žrtve.

Iz Hrvatske udruge banaka (HUB) upozoravaju da su trenutačno najčešće prijevare phishing poruke, lažne internetske stranice, krađa identiteta te različiti oblici socijalnog inženjeringa.

Kod nas su zabilježeni i slučajevi u kojima su se napadači predstavljali kao djelatnici Financijske agencije (FINA) ili Hrvatskog zavoda za zdravstveno osiguranje (HZZO), tražeći od zaposlenika pristupne podatke ili financijske informacije.

Baiting, tailgating i quid pro quo

Baiting tehnika koristi mamac. Najčešće zaraženi USB uređaj ostavljen na vidljivom mjestu ili ponudu besplatnog preuzimanja softvera.

Tailgating je fizički oblik napada u kojem napadač prati ovlaštenu osobu kroz zaštićena vrata.

Quid pro quo napadi temelje se na ponudi nečega u zamjenu za informacije ili pristup. Napadač se primjerice može predstaviti kao IT podrška i ponuditi besplatnu pomoć, a zapravo traži korisničke podatke.

Stanje društvenog inženjeringa

Statistika i trendovi

Brojke jasno pokazuju da je Hrvatska na udaru sve sofisticiranijih kibernetičkih napada.

Porast broja prijava ukazuje na učinak proaktivnog djelovanja CERT-a, kao i kontinuiranih projekata i kampanja usmjerenih na podizanje razine svijesti javnosti.

Financijski gubici koji pogađaju hrvatsko društvo su zabrinjavajući. Od 2022. do listopada 2025. splitsko-dalmatinska policija evidentirala je 991 kazneno djelo kibernetičkog kriminaliteta, od čega se 85 posto odnosilo na računalne prijevare.

U Splitsko-dalmatinskoj županiji šteta od internetskih prijevara u tri je godine porasla s 783 tisuće na više od sedam milijuna eura.

Samo 2024. godine zabilježeno je 287 takvih djela, a riječ je o kategoriji koja na regionalnoj i nacionalnoj razini raste 10 do 12 posto godišnje.

Iz policije upozoravaju da računalne prijevare iz godine u godinu postaju sofisticiranije, a materijalna šteta nastala njihovim počinjenjem svake godine je sve veća.

Naglašavaju da su metode raznovrsne, ali cilj uvijek ostaje isti. Mislimo na stjecanje protupravne imovinske koristi manipulacijom računalnih podataka.

Prijevarama prethodi phishing, nakon čega slijede više faza izvršenja, uključujući prikrivanje novčanih tragova.

Najvažniji kibernetički incidenti u Hrvatskoj

Prisjetit ćemo se jednog gadnog napada!

Kibernetički napad na sustave Kliničkog bolničkog centra Zagreb zabilježen je u jutarnjim satima 27. lipnja 2024.

Iz bolnice su priopćili da su radi dodatnih provjera primorani isključiti sve sustave.

Hakerski napad na bolnicu izveden je dan nakon što su hakeri izveli DDoS napad na nekoliko internetskih stranica hrvatskih institucija, među kojima su Ministarstvo financija, Porezna uprava, HNB i Zagrebačka burza.

Za kibernetički napad na KBC Zagreb odgovornost je preuzela ruska hakerska grupa.

Bolnica je morala funkcionirati kao prije tri desetljeća. Nalazi su se pisali ručno, u Wordu, a uputnice su se također izdavale ručno.

Posebno ističemo kriptovalutne prijevare.

Zadarska policija je u listopadu 2025. evidentirala kazneno djelo računalne prijevare prilikom trgovanja kriptovalutama, pri čemu je oštećen 82-godišnji hrvatski državljanin.

Izvješća upozoravaju na sve učestalije korištenje kriptovaluta za prikrivanje tijeka novca, što zahtijeva skupe forenzičke alate i specijalizirana znanja.

Specifični izazovi

Hrvatska se suočava s nizom specifičnih izazova. Digitalna pismenost ostaje neravnomjerno raspodijeljena. Dok su mladi Hrvati iznimno digitalno pismeni, opća populacija zaostaje.

Građani, posebno oni starije dobi, osjećaju posljedice inflacije te se nadaju brzoj i lakoj zaradi. Toga su svjesni i napadači pa na vrlo agresivan način nagovaraju korisnika na ulaganja putem raznih investicijskih platformi koje se na kraju pokažu lažnima.

Nova era: NIS2 i DORA

Zakon o kibernetičkoj sigurnosti

Hrvatska je među prvim EU članicama koje su transponzirale NIS2 direktivu u nacionalno zakonodavstvo. Transpozicija NIS2 direktive u Hrvatskoj je Zakon o kibernetičkoj sigurnosti koji je izglasan 26. siječnja 2024. Zakon je stupio na snagu 15. veljače 2024.

Cilj je ovoga Zakona uspostavljanje sustava upravljanja kibernetičkom sigurnošću koji će osigurati djelotvornu provedbu postupaka i mjera za postizanje visoke razine kibernetičke sigurnosti u sektorima od posebne važnosti.

Dopunska Uredba o kibernetičkoj sigurnosti objavljena je pod oznakom NN 135/2024 i stupila je na snagu 30. studenoga 2024.

Zanimljivo je da je Hrvatska otišla korak dalje od minimalnih zahtjeva. Činjenica da su hrvatski zakonodavci otišli dalje od onoga što zahtijeva već detaljni CIR 2024/2690 znači da Hrvatska vrlo ozbiljno pristupa kibernetičkoj sigurnosti.

DORA uredba i financijski sektor

Posebno je značajna Uredba o digitalnoj operativnoj otpornosti za financijski sektor (DORA) koja se primjenjuje od siječnja 2025. godine.

DORA uspostavlja jedinstveni regulatorni okvir za upravljanje informacijsko-komunikacijsko-tehnološkim (IKT) rizicima. Hrvatske banke, neovisno jesu li dio međunarodnih bankovnih grupa, podliježu istim regulatornim zahtjevima DORA uredbe.

Uloga CERT.hr-a i nove platforme

Temeljem novog Zakona o kibernetičkoj sigurnosti, Nacionalni CERT postao je nadležni CSIRT za pet sektora.

Nacionalni CERT nastavio je razvoj PiXi platforme, putem koje je od svibnja 2025. godine omogućeno ispunjavanje zakonskih obveza prijave incidenata kategoriziranim subjektima, i to za pet ključnih sektora: bankarstvo, infrastrukturu financijskog tržišta, digitalnu infrastrukturu, istraživanje te obrazovni sustav.

Zabilježeno je i povećano korištenje usluge CERT iffy, sustava namijenjenog provjeri internetskih trgovina. Tijekom 2025. godine provjereno je 37.191 URL.

Tko su mete napada?

Profili najranjivijih zaposlenika

Društveni inženjering ne diskriminira. Svatko može postati meta. Ipak, određeni profili zaposlenika češće su na udaru.

Izdvajamo zaposlenike financijskih odjela koji imaju ovlasti za prijenos sredstava, administrativno osoblje kao prva točka kontakta, IT administratore s privilegiranim pristupnim podacima i nove zaposlenike koji ne poznaju interne procedure.

Sezonski trendovi

U Hrvatskoj se primjećuju sezonski obrasci napada.

Blagdansko razdoblje donosi porast phishing napada povezanih s internetskom kupovinom i lažnim dostavama.

Početak porezne sezone povezan je s porastom prijevara koje oponašaju Poreznu upravu.

Ljetna sezona donosi povećan broj prijevara povezanih s turizmom. Podaci CERT-a to potvrđuju.Vrhunci napada u 2025. zabilježeni su upravo u svibnju i rujnu.

AI i deepfake revolucija

Umjetna inteligencija u službi napadača

Budućnost društvenog inženjeringa donosi izazove kakve do sada nismo vidjeli.

Phishing i društveni inženjering je preplavljen sadržajem koji je generiran umjetnom inteligencijom ili deepfakeom.

AI-generirane phishing poruke sada postižu stope klikanja više od četiri puta veće od poruka koje su izradili ljudi.

Prijevare potpomognute AI-jem porasle su za 1.210 posto u 2025. godini, s projiciranim gubicima koji bi mogli doseći 40 milijardi dolara do 2027.

Signicat

Deepfake prijetnja

Godina 2025. označila je prekretnicu u krajoliku kibernetičkih prijetnji, s deepfake-as-a-service (DaaS) modelom koji se pojavio kao jedan od najbrže rastućih alata za kibernetičke kriminalce.

Prema Cyble-ovom izvješću, AI deepfakeovi bili su uključeni u više od 30 posto korporativnih napada lažnog predstavljanja visokog utjecaja u 2025.

Lokalizirani phishing napadi na hrvatskom jeziku, koji su ranije bili prepoznatljivi zbog loše gramatike, sada mogu generirati savršenim jezikom zahvaljujući velikim jezičnim modelima.

Neki stručnjaci vjeruju da će se protivnici prebaciti s masovnog phishinga na hiperpersonalizirane kampanje, no u stvarnosti će to biti hiperpersonalizirane kampanje na razini masovnog phishinga.

Zdravstveni sektor pod posebnim pritiskom

Europska komisija je u siječnju 2025. predstavila akcijski plan EU-a za jačanje kibernetičke sigurnosti bolnica i pružatelja zdravstvene zaštite.

Države članice izvijestile su 2023. o 309 značajnih incidenata u području kibernetičke sigurnosti koji su utjecali na zdravstveni sektor. Više nego u bilo kojem drugom sektoru.

Prevencija i zaštita

Obrazovanje i podizanje svijesti

Društveni inženjering ističe se kao sofisticirana prijetnja jer se oslanja na ljudske greške, a ne na tehničke ranjivosti. Edukacija, pažljivost i implementacija sigurnosnih mjera ključni su za zaštitu od ove vrste napada.

Programi edukacije o sigurnosti trebali bi uključivati redovite radionice o aktualnim prijetnjama, simulirane phishing vježbe, kratke mjesečne obavijesti o novim vrstama napada te praktične demonstracije prepoznavanja phishing poruka.

Tehnička rješenja

Višestruka autentifikacija (MFA) za pristup svim kritičnim sustavima drastično smanjuje rizik od neovlaštenog pristupa. Napredni sustavi za filtriranje emailova koriste strojno učenje za prepoznavanje sumnjivih poruka.

Princip najmanjih privilegija osigurava ograničenu štetu ako jedan račun bude kompromitiran. SIEM sustavi i alati za analizu ponašanja korisnika (UEBA) mogu detektirati neuobičajene aktivnosti.

Organizacijske mjere

Svaka organizacija trebala bi imati jasno definirane sigurnosne politike, detaljan plan odgovora na incidente i jasne procedure verifikacije za financijske transakcije.

Najvažnija organizacijska mjera jest stvaranje kulture sigurnosti u kojoj se zaposlenici osjećaju sigurno prijaviti sumnjive aktivnosti bez straha od kažnjavanja.

Akcijski plan korak po korak

1. Procjena trenutnog stanja. Provedite procjenu rizika koja uključuje analizu ranjivosti na društveni inženjering.

2. Usklađivanje s regulativom. Usklađivanje s NIS2 direktivom, DORA uredbom i Zakonom o kibernetičkoj sigurnosti ključno je za zaštitu poslovanja i podataka.

3. Implementacija tehničkih mjera. Pokrenite MFA za sve kritične sustave, implementirajte napredne filtre za elektroničku poštu, uspostavite sustav za praćenje sigurnosnih događaja.

4. Pokretanje programa edukacije. Organizirajte početnu edukaciju za sve zaposlenike, planirajte kvartalne radionice i mjesečne simulacije phishing napada.

5. Uspostava procedura za odgovor na incidente. Izradite i testirajte plan odgovora, definirajte odgovorne osobe, provedite vježbe simulacije barem jednom godišnje.

6. Kontinuirano praćenje. Redovito analizirajte rezultate simulacija i stvarnih incidenata, prilagođavajte mjere aktualnim prijetnjama.

Zaključak

Pozivamo sve čitatelje da poduzmu konkretne korake: educirajte sebe i svoje kolege, implementirajte višestruku autentifikaciju, uspostavite jasne procedure verifikacije i stvorite okruženje u kojem prijava sumnjivih aktivnosti nije sramota, već odgovornost.

Nijedna banka neće tražiti PIN, lozinku ili autorizacijski kod putem telefona ili poruke.

Svaki građanin mora znati ovo osnovno pravilo informatičke pismenosti!

Društveni inženjering nije prijetnja koja će nestati. Razvija se, prilagođava i postaje sve sofisticiraniji.

No uz odgovarajuće znanje, alate i kulturu sigurnosti, možemo značajno smanjiti rizik i zaštititi sebe, svoje organizacije i cjelokupno hrvatsko digitalno društvo.

Za prijavu sigurnosnih incidenata kontaktirajte CERT.hr, pišite na incident@cert.hr.

U slučaju kaznenih djela, obratite se nadležnoj policijskoj postaji ili kontaktirajte Odjel za kibernetičku sigurnost Ministarstva unutarnjih poslova.