Kako prepoznati phishing e-mailove 2026.: AI-generirane prevare, lažne banke, hitnost kao crvena zastava

Zašto je phishing 2026. drugačiji nego prije pet godina

Klasični phishing iz 2018-2020 prepoznavao se po nizu očitih znakova: loš prijevod, neispravna ćirilica/dijakritika, šaroliki HTML, prijetnje "PIN će biti blokiran za 2 sata!" napisane s pravopisnim greškama. To je vrijeme prošlo.

2026. phishing e-mailovi su pisani uz pomoć ChatGPT-a, Claude-a i sličnih jezičnih modela. Hrvatski tekstovi su gramatički točni, ton je profesionalan, dijakritika je ispravna. Ovo je najveća promjena i razlog zašto klasični savjeti tipa "pazi na pravopisne greške" više ne vrijede.

Dvije velike promjene 2024.-2026.:

1. AI-generirani sadržaj. Bilo koje veliko jezično model može generirati uvjerljiv hrvatski e-mail u stilu hrvatske banke za 30 sekundi. Tekstualni red flag-ovi koji su radili 2019. više ne rade.
2. Voice cloning + deepfake video. Phishing se prelijevao iz e-maila u telefonske pozive. Napadač snimi 5-10 sekundi vašeg šefa iz LinkedIn videa i zove vas s "klonom" glasa koji traži hitni prijenos.

Dobre vijesti: tehničke crvene zastave nisu se promijenile. Provjera pošiljatelja, URL-a i headera i dalje radi. Samo trebate manje vjerovati svom osjećaju za "ovo izgleda OK" i više provjeravati mehanički.

Pet znakova phishing e-maila 2026.

1. Hitnost ili strah kao motivacija

"Vaš račun će biti zaključan za 24 sata." "Posljednje upozorenje prije pokretanja ovrhe." "Otkrili smo neuobičajenu aktivnost — potvrdite podatke."

Banka i Porezna uprava nikad ne komuniciraju ovako u e-poštu. Stvarne komunikacije banke su uvijek mirne, formalne, s pozivom na poslovnicu ili e-bankarstvo. Sve što vas pokušava natjerati da "kliknete sad odmah" je sumnjivo do daljnjega.

2. Link koji izgleda kao banka ali nije

Lebdite mišem nad linkom (na računalu) ili dugo držite prst (na telefonu) i pogledajte stvarnu URL. Ako vam piše:

Klik ovdje → https://www.zaba.hr.login.account-verify.com/auth

To nije zaba.hr. To je account-verify.com koji u poddomeni ima riječ "zaba.hr" da vas zbuni. Pravo pravilo: čitajte URL s desna na lijevo. Zadnja dva dijela prije prve / su pravi domen. Sve u sredini je samo poddomena ili putanja.

Stvarna ZABA URL: https://login.zaba.hr/... Lažna ZABA URL: https://login.zaba.hr.atrm.com/... (pravi domen je atrm.com)

3. Pošiljatelj koji nije baš banka

Pogledajte e-mail adresu pošiljatelja, ne samo prikazano ime. "Hrvatska poštanska banka info@hpb-secure.com" izgleda kao HPB, ali domen je hpb-secure.com, ne hpb.hr.

Većina mail klijenata danas prikazuje samo "prikazano ime" (npr. samo "Hrvatska poštanska banka"). Morate kliknuti na ime ili otvoriti detalje da vidite stvarnu adresu. Uvijek kliknite.

4. Privitak koji ne biste očekivali

PDF-ovi sa fakturom, ZIP datoteke s "dokumentima", Office datoteke s makrosima — sve klasične opasnosti. Banka nikad ne šalje PDF s naloga za plaćanje ili ZIP s vašim podacima. Porezna uprava komunicira preko ePorezne, ne e-pošte. Hrvatska pošta šalje notifikacije sa svog domena s linkom za praćenje, ne PDF privitka.

Posebno opasni privitci 2026.: - .html datoteke (otvara se u browseru i pokreće JavaScript phishing stranicu lokalno) - .svg datoteke (mogu sadržavati skripte) - .zip s lozinkom koja je u tekstu maila (zaobilazi antivirus skeniranje)

5. Inkonzistentnost u potpisu i kontaktima

Ako e-mail tvrdi da je od HEP-a, ali u potpisu piše broj telefona koji ne odgovara HEP korisničkoj službi (+385 1 6322 100 je legitimni), ili adresa sjedišta nije Ulica grada Vukovara 37 — to je sumnjivo. Pogledajte uvijek službene kontakte na web stranici operatera u drugom tabu, ne onaj iz samog e-maila.

Tehnički koraci: kako provjeriti header e-maila

Ovo je za naprednije korisnike koji žele 100% sigurno znati.

Gmail

1. Otvori e-mail.
2. Kliknite "..." (tri točke) → "Prikaži original" (Show original).
3. Tražite tri redaka: - SPF: PASS ili FAIL — Sender Policy Framework. Ako PASS, pošiljatelj je s ovlaštenog poslužitelja. - DKIM: PASS — DomainKeys Identified Mail. Banka potpisuje svoju poštu kriptografski. Ako PASS, sadržaj je netaknut. - DMARC: PASS — kombinacija SPF + DKIM uz domain policy. Ako PASS, jamči je da nije laž od domena.
4. Ako bilo koji od tri pokazuje FAIL — e-mail je vjerojatno phishing.

Outlook / Hotmail

1. Otvori e-mail.
2. Datoteka → Svojstva (File → Properties) ili Action → View source.
3. Tražite ista tri retka u "Internet headers" prozoru.

Mac Mail

1. Pogled → Poruka → Sve zaglavlja (View → Message → All Headers), kratica ⌘⇧H.
2. Tražite Authentication-Results redak.

DMARC i DKIM su standardi koje sve hrvatske banke koriste. Ako e-mail tvrdi da je od zaba.hr, hpb.hr, otp.hr, erste.hr i DMARC kaže FAIL — to nije od banke. Točka.

Specifični lažni e-mailovi koji kruže u Hrvatskoj 2026.

"Porezna uprava — niste podnijeli prijavu"

Cilj: zastrašiti vas da kliknete na link "preuzmite PDF za potpis". Stvarno je: ePorezna ne komunicira preko e-pošte. Sve obavijesti idu u ePorezna inbox kojem pristupate s vjerodajnicom e-Građani / certifikatom. Ako stigne e-mail od Porezne uprave, to je 100% phishing.

"Hrvatska pošta — vaša pošiljka čeka dostavu"

Cilj: kliknete link, dolazite na stranicu koja traži broj kreditne kartice "za plaćanje dodatne carinske naknade". Hrvatska pošta ne traži plaćanje carina kroz mailu — sve se rješava u poslovnici ili kroz njihovu aplikaciju Posta24.

"ZABA / HPB / OTP — provjerite podatke nakon sigurnosne nadogradnje"

Cilj: lažni login stranica banke. Skuplja vaše korisničko ime, lozinku i mTAN. Banke ne traže lozinku preko e-pošte ni mTAN izvan svoje aplikacije. Ako sumnjate, otvorite drugu tab i ručno upišite banka.hr — ne kliknite iz e-maila.

"HEP — neplaćeni račun, gašenje za 48h"

Cilj: lažna stranica plaćanja računa. HEP račune dobivate u poštu (papir ili eRačun) i plaćate kroz internet bankarstvo. Nikad ne plaćate račun kroz link iz e-pošte.

"LinkedIn / Microsoft / Google — neuobičajena prijava"

Cilj: lažni login screen. Pogledajte URL — login URL Microsofta je uvijek login.microsoftonline.com ili account.microsoft.com, ne login.microsoft-secure.com ili microsoft-verify.com. LinkedIn login je uvijek linkedin.com, nikad nešto poput linkedin-secure.com.

Što napraviti ako ste već kliknuli

Ako ste već kliknuli link i shvatili da je phishing:

Ako niste upisali ništa

1. Zatvori karticu.
2. Pokreni antivirus skeniranje (Windows Defender, Malwarebytes).
3. Ako ste na mobitelu i ništa niste preuzeli, manje vjerojatno je problem — ali isto skenirajte (na Androidu, Play Protect skeniranje; iOS nema vlastiti antivirus jer ne treba).

Ako ste upisali lozinku

1. Odmah promijenite tu lozinku na pravoj stranici (idite ručno na banka.hr, ne kroz link).
2. Ako koristite istu lozinku negdje drugdje, promijenite je svuda. (Ovo je razlog zašto password manager — 1Password, Bitwarden, Proton Pass — toliko štedi živce.)
3. Aktivirajte 2FA / passkey na tom računu, ako nije već uključen.
4. Pratite e-bankarstvo nekoliko dana, ako ste upisali bankarske podatke.

Ako ste upisali mTAN / OTP / SMS kod banke

1. Odmah nazovite banku. Svaka banka ima 0-24 broj za blokadu računa. ZABA: 072 800 800. HPB: 072 472 472. Erste: 0800 7372. OTP: 0800 191 919.
2. Blokirajte račun.
3. Prijavite incident banci pisanim putem.

Ako ste preuzeli i otvorili privitak

1. Pokrenite kompletan antivirus skeniranje odmah.
2. Razmislite o vraćanju sustava na sigurnu točku (Windows Restore) ili reinstalaciji ako sumnjate da je rootkit / persistentni malware.
3. Promijenite sve lozinke s drugog uređaja (ne s računala koje je možda zaraženo).

Kako prijaviti phishing

Hrvatska ima dvije adrese za prijavu:

• CERT.hr (Nacionalni CERT) — cert@cert.hr za sve cyber incidente. Pošaljite originalni e-mail kao privitak (forward as attachment), ne samo copy-paste.
• Vaša banka direktno — sve velike banke imaju adrese tipa phishing@hpb.hr, dojava@zaba.hr. Forward sumnjivih maila im pomaže blokirati slične napade na druge klijente.

Gmail / Outlook također imaju "Prijavi phishing" gumb koji obavještava njihove filtere.

Phishing 2026. više ne pripada hobistima — to je organizirana ekonomija. AI alati omogućavaju masovno proizvođenje uvjerljivih maila u svim jezicima, uključujući hrvatski. Tehničke provjere (URL, header, DMARC) ostaju vaša glavna obrana. Naviknite se da svaku poruku s pozivom na akciju otvarate s pretpostavkom "ovo je lažno dok ne dokažem suprotno" — to je 2026. razumno ponašanje, ne paranoja.