Social engineering: 98% kibernetičkih napada počinje s ljudskim faktorom, ne tehničkim probojom
Phishing, vishing, pretexting i ClickFix napadi rastu stotinama posto. Razumijevanje psiholoških mehanizama jedini je pravi odgovor — tehnička zaštita nije dovoljna.
Jedan telefonski poziv. Haker se predstavlja kao IT podrška, kaže da je hitno, traži jednokratni kod za "verifikaciju". Zaposlenik ga daje. Gotovo.
Nije potrebno probiti vatrozid, zaobići antivirusni program niti pisati exploit kod. Potrebno je samo znati kako razgovarati s ljudima pod pritiskom. 68% svih kršenja sigurnosti u 2024. godini uključivalo je ljudski element — i taj postotak raste jer postaje lakše napad usmjeriti na osobu nego na stroj.
Što je social engineering
Social engineering je manipulacija osoba radi dobivanja informacija ili pristupa koji inače ne bi dali. Za razliku od tehničkih napada koji iskorištavaju ranjivosti softvera, social engineering iskorištava ranjivosti kognitivnih prečaca — evolutivno ugrađenih mehanizama koji nas čine efikasnima ali predvidljivima.
Važno je razumjeti da ovo nije samo "IT problem". Sigurnosni timovi koji ulažu isključivo u tehničku infrastrukturu a zanemaruju trening zaposlenika grade dobro zaključanu vrata uz otvoreni prozor. Prema Verizon Data Breach Investigation Report-u, 98% kibernetičkih napada oslanja se na social engineering u nekim obliku.
Psihološki principi koji se iskorištavaju
Robert Cialdini, profesor psihologije na Arizonskom sveučilištu, u svojoj knjizi "Influence" dokumentirao je šest principa koji upravljaju ljudskim odlukama. Social engineeri ih koriste metodično.
Autoritet je najefikasniji okidač: kada netko zvuči kao da ima ovlast — IT odjel, banka, porezna uprava, menadžment — drastično padamo u kritičnost. "Zovem iz sigurnosnog odjela vaše banke" postiže razinu suradnje koju ista rečenica bez tog okvira ne bi.
Hitnost i strah kratko spajaju prefrontalni korteks — dio mozga odgovoran za kritičko razmišljanje. "Vaš račun bit će blokiran za dva sata ako ne verificirate podatke odmah" dizajniran je precizno da isključi pauzu za provjeru. Prava banka nikad ne traži da se odmah prijavite putem linka iz emaila; ali u trenutku panike to ne prolazi kroz filter.
Uzajamnost funkcionira jer smo neurobiološki programirani da uzvraćamo usluge. Napadač koji ponudi korisnu informaciju — rješenje za IT problem, relevantan savjet — stvara osjećaj duga. Malo je lakše dati informaciju osobi koja vam je "pomogla".
Socijalni dokaz koristi heurizam "ako to rade drugi, vjerojatno je ispravno". "Svi vaši kolege već su ažurirali podatke, samo vi niste" smanjuje otpor jer implicira da provjera nije standardna — nego da ste vi iznimka koja kasni.
Konkretne tehnike napada
Phishing je i dalje najčešći vektor: lažni emailovi koji imitiraju legitimne institucije. U 2024. godini phishing je bio faktor u oko 16% svih kršenja sigurnosti, s prosječnim troškom od 4,88 milijuna dolara po incidentu. Anti-Phishing Working Group bilježi više od milijun phishing napada u prvom kvartalu 2025. i daljih 1,13 milijuna u drugom.
Vishing (glasovni phishing — telefon ili VoIP) doživio je 442% porast između prvog i drugog polugodišta 2024. Razlog: AI alati za kloniranje glasa su postali trivijalno dostupni. Napadači koriste kratke snimke glasa s LinkedIna, YouTubea ili korporativnih webinara da stvore uvjerljive imitacije nadređenih ili IT osoblja.
Smishing (SMS phishing) funkcionira na principu kredibilnosti SMS kanala: mnogi korisnici SMS poruke doživljavaju kao "sigurnije" od emaila jer ih asociraju s bankama i autentikacijom. Lažne SMS poruke o "dostavnim problemima" ili "sigurnosnim upozorenjima" imaju visoku stopu klikova.
ClickFix napadi — lažne CAPTCHA stranice ili "popravak grešaka u browseru" koje traže korisnike da zalijepe kod u Run dijalogu ili terminalu — porasli su za 1.450% u prvoj polovici 2025. u usporedbi s istim periodom 2024. To je napad koji cilja na tehničkije korisnike koji znaju kako otvoriti terminal, ali još uvijek povjeruju lažnoj poruci o grešci.
Pretexting je konstruiranje detaljnog fiktivnog scenarija radi dobivanja informacija koje inače ne bi bile dostupne. Klasičan primjer: haker se tjednima dopisuje s HR odjelom lažno se predstavljajući kao kandidat za posao, gradeći povjerenje, a potom traži informacije o internim sustavima "radi tehničkih priprema".
Baiting je fizički ekvivalent: zaraženi USB stick ostavljen na parkiralištu tvrtke s natpisom "Plaće Q1 2025" ili "Povjerljivo". Istraživanja iz posljednjih godina konzistentno pokazuju da između 45 i 60% pronađenih USB stickova zaposlenici priključe u korporativna računala.
AI mijenja omjer snaga
AI alati temeljito su promijenili ekonomiku social engineering napada.
Više od 80% phishing emailova u 2025. koristilo je AI za generiranje teksta. Gramatičke i stilske greške — dugo pouzdan signal prepoznavanja phishinga — gotovo su nestale. Poruke su personalizirane s informacijama s LinkedIna, korporativnih web stranica i javnih registara. Napadač koji nekad morao pisati stotine loše formuliranih emailova sada piše jedan dobro formuliran prompt i dobiva tisuće prilagođenih poruka.
Slučaj iz Hongkonga (veljača 2024.) pokazuje krajnji doseg: zaposlenik je sudjelovao na videokonferenciji s kolegama od kojih su svi bili deepfakeovi — i prebacio je 25 milijuna dolara. Napadači su koristili javno dostupne snimke korporativnih razgovora kako bi trenirali modele koji imitiraju glasove i lica stvarnih zaposlenika.
Financijski razmjeri
FBI Internet Crime Complaint Center (IC3) primio je 859.532 prijave u 2024. s ukupnim gubicima od 16,6 milijardi dolara — 33% više nego 2023. Business Email Compromise (BEC) — napad koji se oslanja gotovo isključivo na social engineering — generirao je 2,77 milijardi dolara gubitaka samo u toj kategoriji.
Prosječna cijena jednog kršenja sigurnosti u 2025. iznosi 4,4 milijuna dolara, što uključuje direktne gubitke, forenziku, pravne troškove i reputacijsku štetu.
Kako se braniti
Tehnička zaštita je neophodna ali nedostatna. Filtri emaila, MFA, URL inspection alati i EDR sustavi smanjuju napadnu površinu ali ne eliminiraju ljudski faktor. Sveobuhvatna obrana zahtijeva kombinaciju:
Proceduralna provjera: Za svaki neobičan zahtjev koji dolazi putem emaila ili telefona — posebno za financijske transfere ili promjene pristupnih podataka — postoji jedno jednostavno pravilo: perzvonite osobu na broj koji ste vi pronašli u imeniku tvrtke, ne broj koji vam je dat u poruci. Napadač ne može kontrolirati vaš telefonski imenik. Dual authorization za transfere iznad određenog iznosa eliminira BEC klasu napada gotovo u potpunosti.
Pause protokol: Hitnost je gotovo uvijek signal napada, nikad legitimnog zahtjeva. Prava banka, prava IT podrška, pravi nadređeni ne traže da odlučite za dvije minute. Svjesno postavljanje pauze od 5-10 minuta prije reagiranja na "hitne" zahtjeve je jedna od najjeftinijih i najefikasnijih mjera.
Simulirani phishing testovi: Organizacije koje redovito provode simulirane phishing kampanje za zaposlenike bilježe dramatično smanjenje stope klikanja na stvarne napade — istraživanja pokazuju pad s prosječnih 32% na ispod 5% nakon godinu dana redovitog treninga.
Svjesnost o OSINT ranjivosti: Svaka informacija javno dostupna o vama ili vašoj tvrtki — LinkedIn profil, korporativne objave, registri tvrtki — materijal je za pretexting. Ovo nije razlog za paranoju, ali je razlog za promišljenost o tome što se objavljuje.
Najrobusniji firewall je zaposlenik koji zna prepoznati manipulaciju — i koji ima kulturu u kojoj je u redu reći "moram to provjeriti" bez straha da će izgledati nesposobno.
Izvori i dodatno čitanje
Više članaka
- ugljični otisakAI energija
Ugljični otisak interneta: jedan ChatGPT upit troši 10× više struje od Google pretrage
1. lipnja 2026.
- e-otpadrecikliranje
E-otpad: 72 milijuna tona godišnje i samo 20% se pravilno reciklira
1. lipnja 2026.
- sleep trackingwearables
Sleep tracking: vaš smartwatch kaže 23% deep sleep — ali možete li mu vjerovati?
1. lipnja 2026.