Znam Ja ToJasne informacije na jednom mjestu
Tehnologija / Digitalna sigurnost

Kako prepoznati lažan link, domen i stranicu za prijavu prije nego što ostavite podatke

Prepoznavanje lažnog linka osnovna je vještina za zaštitu od internet prevara. Ne postoji jedan znak koji uvijek otkriva prevaru, ali postoji skup signala - neobičan URL, dodatne riječi u domeni, drugi TLD umjesto .ba, loš prevod na stranici, hitnost i zahtjev za podacima kartice - koji zajedno daju vrlo pouzdanu procjenu. Ovaj članak pokazuje kako pogledati URL, šta znači domena i kako prepoznati lažnu stranicu za prijavu prije nego što ostavite podatke.

Zadnja izmjena 19. apr 2026.10 minTema · Internet prevare u BiH i kako se zaštititi
Internet PrevareDigitalna SigurnostLazan LinkUrl ProvjeraPhishing

Zašto nema „jednog znaka koji otkriva prevaru"

Pitanje koje se često postavlja: „Kažite mi samo jedan način da prepoznam lažan link." Problem je što takav način ne postoji - prevaranti svoje obrasce mijenjaju, a savremene phishing stranice izgledaju identično kao prave. Ono što postoji je skup signala. Kada se više njih pojavi zajedno, vrijednost je skoro sigurna. Kada nijedan ne postoji, šansa da je link legitiman je visoka - ali nikad 100%.

Ovaj tekst je praktični vodič za cijeli klaster. Prolazi kroz stvari koje se vide na linku i na stranici - URL, domenu, izgled forme za prijavu, šta stranica traži i kako se ponaša. Fokus je na onome što korisnik vidi, bez IT žargona. Drugi članak (T-11508) bavi se ponašanjem pri provjeri - šta raditi s porukom, koga zvati i kako ručno otići na pravi sajt. Ova dva teksta se dopunjuju: prvo „kako ovo izgleda", drugo „kako postupiti".

Važno je reći odmah i ovo: prepoznavanje lažnog linka je vještina koja se uči, ne vještina koja se stiče čitanjem jednog teksta. Ovo je uvod u način razmišljanja. Sa svakom sumnjivom porukom koju osoba pogleda kritički, a potom potvrdi da je stvarno prevara, obrazac postaje jasniji. Prevaranti stalno mijenjaju detalje, ali kostur je isti. Ko razumije kostur - ne nasjeda ni na nove varijante.

URL - šta zaista znači to što piše u adresnoj traci

URL je adresa stranice. Izgleda otprilike ovako: https://www.posta.ba/pracenje/. Svaki dio ima značenje.

  • https:// - protokol. „s" znači enkriptovano, ali ne znači „bezbjedno". Lažne stranice danas imaju https isto kao i prave.
  • www. - poddomena. Uglavnom je kozmetika, može i ne mora biti.
  • posta.ba - ovo je prava domena. Ovdje se čuva glavna informacija.
  • /pracenje/ - putanja unutar stranice, ne mijenja to čiji je sajt.

Ključna stvar je sama domena - posta.ba u ovom primjeru. Ako je domena prava, stranica je prava. Ako je domena lažna, cijela stranica je lažna - bez obzira kako izgleda, bez obzira šta piše u ostatku adrese.

Kako prepoznati lažnu domenu

  • Dodatne riječi prije ili poslije prave domene: posta-ba.com, bh-posta-track.net, olx-bh.info.
  • Drugi TLD (završetak) - umjesto .ba stoji .com, .net, .info, .online, .xyz. Prave institucije u BiH uglavnom koriste .ba.
  • Brojevi ili znakovi umjesto slova - 0lx.ba (nula umjesto slova „o"), pоsta.ba (ćirilično „о" koje izgleda isto).
  • Poddomena koja izgleda kao prava domena: posta.ba.secure-login.com - prava domena je zapravo secure-login.com, a posta.ba je samo dio poddomene.
  • Skraćeni linkovi (bit.ly, tinyurl) - nije automatski prevara, ali krije pravu adresu.

Na telefonu je teže provjeriti URL jer cijela adresa nije uvijek vidljiva. U browseru se obično može pritisnuti adresna traka da se vidi puna adresa. U SMS porukama link se može duže pritisnuti - u većini aplikacija tada se prikaže stvarna adresa prije klika. Ako adresa izgleda neobično, ne klikati.

Još jedan tip URL varljivosti je korištenje servisa za skraćivanje linkova - bit.ly, tinyurl, t.co, i slično. Ti servisi prikriju stvarnu destinaciju iza kratke adrese. Ponekad su legitimno korišteni (skraćivanje dugih URL-ova na društvenim mrežama), ali ih prevaranti rado koriste jer skriju stvarnu domenu. Pravilo: ako u poruci od navodne banke, pošte ili operatera stigne skraćeni link umjesto direktne adrese institucije, to je crveni zastava. Prava BH Pošta ne šalje bit.ly linkove.

Lažne login stranice - šta provjeriti prije unosa

Login stranica je gdje se najčešće dešava krađa podataka. Izgleda kao stranica banke, OLX-a, Pošte, Gmaila, Facebooka. Savremene lažne stranice su prepisane piksel po piksel - ne razlikuju se po izgledu od pravih. Signali koji i dalje pomažu:

  • URL u adresnoj traci - ako nije prava domena, sve ostalo je nebitno.
  • Loše preveden tekst - greške u konjugaciji, neobične riječi, miješanje jezika.
  • Neobični zahtjevi - prava login stranica banke traži samo korisničko ime i lozinku; ako se istovremeno traže broj kartice, CVV, ili drugi podaci, to je obrazac prevare.
  • Stranica koja ne dozvoljava izlaz - neki lažni sajtovi blokiraju dugme za nazad ili imaju agresivne pop-upove koji zatvaraju sve osim login forme.
  • Nedostatak dodatnih linkova - prava stranica banke ima i druge opcije (otvaranje računa, kontakt, pomoć, lokacije filijala). Phishing stranica je često samo login forma bez ičega oko nje.
  • Generičke greške - slike koje se ne učitaju, lošiji fontovi, male razlike u boji.

Najpouzdaniji test ostaje jednostavan: umjesto unosa podataka, zatvoriti stranicu, otvoriti novu karticu, i ručno otići na poznati pravi sajt. Ako je poruka bila stvarna, isto obavještenje će biti vidljivo i kroz ručno otvaranje. Ako nije - nije ni bilo.

Zašto više signala zajedno - ne jedan

Pojedinačni signal rijetko je dovoljan. Čudan URL može biti greška legitimne kampanje. Hitnost može biti stvarna, jer pravi paket zaista može biti vraćen. Loš prevod može biti posljedica loše lokalizacije. Ali kad se sve to kombinuje - čudan URL, hitnost, zahtjev za podacima kartice i loš prevod - vjerovatnoća da je riječ o stvarnoj situaciji postaje vrlo mala.

Razmišljanje koje treba usvojiti: brojati signale, ne procjenjivati svaki pojedinačno. Dva signala su sumnjivo, tri skoro sigurno prevara, četiri i više - nema svrhe dalje razmišljati. Odbrana u tom slučaju nije „dokazati da je prevara", nego „ne raditi ništa dok ne postoji nezavisna potvrda kroz ručno otvaranje zvaničnog sajta". To je pristup koji radi i kada svi pojedinačni signali izgledaju kao nešto što bi moglo biti legitimno.

QR kodovi - skeniranje bez provjere

QR kôd je grafički prikaz linka. Skeniranje QR koda je identično klikanju na link - samo što korisnik ne vidi URL unaprijed. Prevaranti zbog toga sve češće koriste QR kodove u sumnjivim porukama, na lažnim naljepnicama na javnim mjestima (parking automati, plakati), ili u e-mail porukama.

Savremeni telefoni pri skeniranju QR koda prikazuju URL prije nego što otvore stranicu. Tu je prilika za provjeru - isti principi kao za direktan link: da li je domena prava, da li ima neobične dodatke, da li je TLD uobičajen. Ako URL izgleda neobično, odustati od otvaranja.

Šta nisu pouzdani znakovi - i zašto stari savjeti sve manje rade

Neki savjeti koji su radili prije deset godina danas više nisu dovoljni:

  • „Provjeriti ima li gramatičkih grešaka" - phishing poruke su sve bolje pisane, dijelom uz pomoć alata vještačke inteligencije. Odsustvo grešaka nije dokaz autentičnosti.
  • „Provjeriti ima li https" - većina lažnih stranica ima https, jer je besplatan. https znači da je prenos enkriptovan, ne da je sajt pouzdan.
  • „Zelena brava u adresnoj traci" - isto kao gore. Zelena brava znači samo da veza ka sajtu nije presretnuta, ne da je sajt legitiman.
  • „Dobar izgled = prava stranica" - profesionalni dizajn je danas jeftin i lako se kopira.

Zato se fokus pomjera s „izgleda li stranica profesionalno" na „šta traži i na kojoj domeni". Ne kako nešto izgleda, nego šta se na tome dešava.

Kad je sumnja - kratki refleksi

  • Link u poruci izgleda čudno - ne klikati, obrisati poruku.
  • Stranica je otvorena, ali URL ne odgovara očekivanju - ne unositi ništa, zatvoriti.
  • Stranica traži broj kartice kad ne bi trebala (npr. za „prijem uplate") - sigurno prevara.
  • Stranica traži SMS kôd koji je banka upravo poslala - sigurno prevara.
  • Stranica radi pritisak - „u roku od 2 minute", „odmah", „posljednja prilika" - gotovo sigurno prevara.
  • Sve je u redu ali ostaje sumnja - otvoriti zvanični sajt ručno i provjeriti isto tamo. Ako ne postoji, nije ni bilo.

Dalje čitanje

Često postavljena pitanja

Kako da vidim pravu adresu linka u SMS-u bez klikanja?
Na većini telefona dugi pritisak na link otvara opciju „kopiraj link" ili „preview" - stvarna adresa se tada prikazuje prije otvaranja. Ako aplikacija ne dozvoljava to, ne klikati, obrisati poruku. Nije vrijedno rizika da se „samo provjeri kako izgleda" - savremene phishing stranice mogu pokrenuti preuzimanje malvera čim se učitaju.
Koji su najčešći trikovi u domenama koje imitiraju BiH institucije?
Dodavanje crtica i riječi - posta-ba.com umjesto posta.ba, bh-telecom.info umjesto bhtelecom.ba, olx-ba.net umjesto olx.ba. Zamjena slova brojevima (0LX, P0STA). Korištenje stranog TLD-a (.com, .info, .xyz) umjesto .ba. Poddomene koje izgledaju kao prava domena (posta.ba.login-secure.com - prava domena je login-secure.com). Glavno pravilo: pročitati domenu unazad do prve tačke i vidjeti šta tačno ostaje.
Šta ako stvarno ne razumijem URL - mogu li provjeriti na neki način?
Najjednostavniji pristup je ne provjeravati URL uopšte, nego otići na pravi sajt ručno. Ako se očekuje poruka od banke, otvoriti aplikaciju banke. Ako se očekuje paket, otvoriti posta.ba direktno. Ako se očekuje poruka od OLX-a, otvoriti olx.ba aplikaciju. Ovaj pristup zaobilazi potrebu da se URL analizira - i radi čak i kada lažna stranica izgleda savršeno.
Postoje li alati koji provjeravaju da li je link siguran?
Postoje servisi (Google Safe Browsing, VirusTotal) koji mogu provjeriti URL protiv baze poznatih lažnih sajtova. To pomaže za već prijavljene prevare, ali novi lažni sajtovi se pojavljuju prije nego što uđu u baze. Zato ni ovi alati nisu garancija - korisni su kao dodatni sloj, ne kao jedino oslanjanje.
Da li je pametno kliknuti link u testne svrhe - samo da vidim kako stranica izgleda?
Ne. Savremene phishing stranice mogu pokrenuti automatsko preuzimanje malvera, iskoristiti ranjivosti u browseru, ili ubaciti skripte koje prate pokrete miša, kopirani tekst, slično. Rizik „samo da provjerim" je stvaran, posebno na uređajima koji nisu ažurirani. Pravilo je jednostavno: sumnjiv link se ne klika, nego se poruka obriše.
Šta ako sam već kliknuo i vidio stranicu, ali nisam ništa unio?
U većini slučajeva sam klik ne vodi do krađe - opasnost počinje s unosom podataka. Ipak, vrijedi provjeriti Download folder (da li je nešto automatski preuzeto), pokrenuti antivirusnu provjeru, i obratiti pažnju na ponašanje uređaja u sljedećim danima (usporavanje, sumnjive notifikacije, nepoznate aplikacije). Ako se pojavi nešto neobično, razmisliti o resetu uređaja na fabrička podešavanja i o promjeni lozinki osjetljivih naloga.