Znam Ja ToJasne informacije na jednom mjestu
Tehnologija / Digitalna sigurnost

Lažne poruke banaka u BiH - zaključan račun, sumnjiva prijava i „potvrdite karticu"

Lažne poruke banaka u BiH stižu kao SMS ili e-mail s porukom o zaključanom računu, sumnjivoj prijavi, verifikaciji kartice ili sigurnosnoj provjeri. Link vodi na stranicu koja izgleda kao prava prijavna stranica banke. UniCredit Bank i Raiffeisen Bank javno su upozoravale korisnike u BiH na ovakve pokušaje. Princip je jednostavan: banke u BiH ne traže broj kartice, CVV, PIN ni SMS kôd preko SMS-a, e-maila, Vibera ni telefona. Svaka poruka koja to traži je prevara.

Zadnja izmjena 19. apr 2026.11 minTema · Internet prevare u BiH i kako se zaštititi
Bankovne PrevareBankarstvoInternet PrevareDigitalna SigurnostPhishing

Zašto baš banke - i zašto poruke izgledaju toliko uvjerljivo

Banke su najčešća meta phishing napada u BiH iz jednostavnog razloga - sav novac je tu. Prevarant koji uspije izvući podatke kartice ili pristup internet bankarstvu ima direktan pristup štednji, platama i kreditnom limitu. Zbog toga su prevare koje imitiraju banke tehnički najprofesionalnije - stranice su piksel po piksel kopije pravih, logoi su autentični, jezik je polako poboljšan do nivoa gdje ga je sve teže razlikovati.

U BiH su korisnici više puta javno upozoravani - UniCredit Bank i Raiffeisen Bank izdavali su obavještenja o lažnim SMS porukama i e-mailovima koji koriste njihova imena. Napadi se ponavljaju u talasima, jednom godišnje pojača se broj prijava, onda se smiri, pa opet vrati s novim varijantama. Odbrana nije pamtiti svaku poruku, nego razumjeti šta banka ikad traži, a šta ne - pa u bilo kojoj novoj poruci odmah vidjeti da li ulazi u „nikad" kategoriju.

Tri najčešća obrasca lažnih poruka banke

1. „Vaš račun je zaključan" / „Detektovana je sumnjiva prijava"

SMS ili e-mail: „Zbog sumnjive aktivnosti, vaš račun je privremeno zaključan. Da biste ponovo aktivirali pristup, kliknite ovdje i potvrdite podatke u roku od 24 sata, inače će račun biti trajno blokiran." Tekst varira, ali suština je uvijek ista - hitnost, prijetnja da se nešto izgubi, i jedan klik koji „rješava problem".

Klikom se otvara login stranica koja izgleda kao prava banka. Korisnik unese korisničko ime i lozinku za internet bankarstvo - ti podaci odmah odlaze prevarantu. Ponekad se odmah nakon toga traži i SMS kôd za „potvrdu identiteta" - taj SMS kôd je u stvarnosti kôd od prave banke za autorizaciju transakcije koju pokreće prevarant. Predaja tog kôda završava priču.

2. „Potvrdite karticu" / „Verifikacija za online plaćanja"

Varijanta koja ne ide preko internet bankarstva, nego direktno na podatke kartice. Poruka tvrdi da kartica „nije aktivirana za online plaćanja", „zahtijeva verifikaciju zbog sigurnosnih promjena", ili da je blokirana zbog „pokušaja zloupotrebe". Klik vodi na stranicu gdje se traži broj kartice, datum isteka, CVV/CVC kôd (tri cifre na poleđini), ime na kartici, ponekad i JMBG ili broj lične karte.

Ova varijanta je posebno opasna jer banka stvarno ima proces verifikacije kartice za online plaćanja (3D Secure), i ljudi mogu pomisliti da je poruka dio tog procesa. Razlika je ključna: 3D Secure verifikacija pokreće se kroz korisnikovu banku ili mobilnu aplikaciju, ne kroz link iz SMS-a ili e-maila. Banka neće tražiti CVV kôd da bi vam „aktivirala karticu" - CVV postoji isključivo da biste vi autorizovali transakciju, ne da biste potvrđivali karticu banci koja ju je izdala.

3. „Odobren vam je povrat / bonus / isplata"

Pozitivna varijanta - umjesto prijetnje, obećanje. Poruka: „Odobren vam je povrat od 124,50 KM, kliknite da preuzmete", ili „Čestitamo, vaš nalog je izabran za godišnji bonus". Iza linka je ista priča - login stranica ili forma za podatke kartice. Pozitivna varijanta radi kod ljudi koji su oprezni prema prijetnjama ali ne prema „pozitivnim vijestima". Banka, ako vam stvarno nešto uplati, jednostavno uplati. Ne traži da kliknete link, unesete podatke i „preuzmete".

Šta banka u BiH stvarno radi - a šta nikad ne traži

Ovo je najvažnija lista u cijelom tekstu. Banke u BiH - uključujući UniCredit Bank, Raiffeisen Bank, NLB Banku, Sparkasse Bank, Ziraat Bank, ASA Banku, ProCredit Bank, Intesa Sanpaolo, i druge - kroz zvanične kanale komunikacije ne traže:

  • Broj cijele kartice kroz SMS, e-mail, chat, društvene mreže ili telefonski poziv.
  • CVV/CVC kôd (tri cifre na poleđini) - nikad, ni pod kakvim izgovorom.
  • PIN kartice - PIN se unosi isključivo na bankomatima ili na POS terminalima u trgovini.
  • Korisničko ime i lozinku za internet/mobilno bankarstvo kroz poruke.
  • SMS kôdove koje je banka poslala - ti kôdovi služe da korisnik potvrdi nešto u pravoj aplikaciji, ne da ih šalje dalje.
  • Fotografiju lične karte, pasoša ili kartice kroz SMS, Viber, WhatsApp ili e-mail.
  • Trenutnu transakciju kroz „klik na link da potvrdite" - banka autorizuje transakcije kroz svoju aplikaciju ili poziv na verifikovani broj.

Šta banka stvarno radi:

  • Šalje informativne SMS-ove o stanju računa, izvršenim transakcijama ili pristiglim uplatama - bez zahtjeva da se klikne link i nešto „potvrdi".
  • Kontaktira vas preko registrovanog broja telefona banke ili preko službenika banke koga poznajete iz filijale.
  • Šalje e-mail poruke isključivo s zvanične domene banke (najčešće završava na .ba; UniCredit BiH - @unicreditgroup.ba, Raiffeisen BiH - @raiffeisenbank.ba i slično).
  • Koristi vlastitu mobilnu aplikaciju za autorizaciju transakcija - ne šalje link u SMS da bi vi „potvrdili".
  • Ako primijeti sumnjivu transakciju, može je privremeno blokirati i pozvati vas kroz kontakt centar - ali poziv dolazi od banke, ne traži od vas da zovete vi „hitni broj" iz poruke.

Crvene zastave koje se ponavljaju

  • Poruka stvara osjećaj hitnosti - „u roku od 24 sata", „odmah", „račun će biti trajno blokiran".
  • Traži se klik na link za „rješavanje problema" ili „potvrdu identiteta".
  • Adresa linka nije zvanična domena banke - ima dodatne crtice, brojeve umjesto slova, drugi TLD (.com, .info, .net umjesto .ba).
  • E-mail pošiljaoca izgleda kao prava banka, ali domena je blago izmijenjena (unicredit-bih.com umjesto unicreditgroup.ba).
  • Poruka traži unos broja kartice, CVV, PIN, lozinke ili SMS kôda - banke to nikad ne traže.
  • Tekst ima gramatičke greške ili neobične formulacije koje zvuče kao mašinski prevod.
  • SMS stiže s nepoznatog broja, posebno inostranog - prava banka šalje s verifikovanih brojeva koji se ponavljaju.
  • Poruka sadrži pozitivnu vijest („bonus", „povrat") koja traži klik na link za „preuzimanje".

Zašto ovo radi na pametnim ljudima

Poruka o zaključanom računu ne djeluje zbog tehničke sofisticiranosti, nego zato što pogađa osnovni strah: šta ako stvarno ne mogu pristupiti novcu. Ljudi koji kliknu ove poruke kasnije često kažu isto: „Znao sam da djeluje čudno, ali nisam htio rizikovati da stvarno ne dobijem platu." Trik nije u lažiranju stranice, nego u skraćivanju vremena za razmišljanje. Hitnost u poruci ne služi da informiše, nego da isključi onaj dio mozga koji bi primijetio detalje.

Jednostavna protumjera je pauza. Poruka o zaključanom računu neće se pogoršati ako se provjeri kroz pet minuta kroz aplikaciju banke. Ako je stvarna, pojaviće se i tamo; ako ne postoji u aplikaciji - nije bila stvarna. Pet minuta pauze je najjeftinija sigurnosna mjera koja postoji.

Šta uraditi kad stigne sumnjiva poruka banke

  1. Ne klikati na link iz poruke. Ne „samo da provjerim kako izgleda" - ne klikati.
  2. Ne unositi nikakve podatke na stranicu koja se otvorila ako je klik već bio. Zatvoriti stranicu.
  3. Ne odgovarati na poruku - odgovor potvrđuje da je broj aktivan i dovodi do više sličnih poruka.
  4. Ako postoji stvarna sumnja da nešto nije u redu s računom, otvoriti banku ručno kroz vlastitu mobilnu aplikaciju ili ukucati zvaničnu adresu u browser, bez korištenja linka iz poruke.
  5. Ako sumnja ostaje, pozvati kontakt centar banke - broj je uvijek odštampan na poleđini kartice ili na zvaničnom sajtu banke.
  6. Prijaviti sumnjivu poruku banci kroz njene kanale (obično postoji e-mail adresa za prijavu phishinga), policiji i po potrebi operateru.
  7. Obrisati poruku kako je ne biste slučajno kasnije kliknuli.

Ako je greška već napravljena

  • Uneseni su podaci kartice na sumnjivoj stranici - odmah pozvati banku, blokirati karticu, zatražiti novu. Broj za hitnu blokadu obično je 24/7 dostupan.
  • Uneseno je korisničko ime i lozinka za internet bankarstvo - odmah promijeniti lozinku kroz pravu aplikaciju banke, provjeriti sve posljednje transakcije, kontaktirati banku.
  • Poslan je SMS kôd koji je banka uputila „za potvrdu" - odmah kontaktirati banku, vjerovatno je izvršena neautorizovana transakcija ili je pokušaj u toku.
  • Instalirana je aplikacija koja je stigla preko linka - deinstalirati, pokrenuti antivirusnu provjeru, promijeniti lozinke za sve osjetljive servise (banka, e-mail, društvene mreže).
  • Primijećena je neočekivana transakcija na računu - odmah prijaviti banci kao neautorizovanu, zatražiti povrat. Kod brze reakcije, banka ponekad može zaustaviti transakciju prije izvršenja.

Dalje čitanje

Često postavljena pitanja

Kako da znam da li je e-mail stvarno od banke?
Provjeriti tačnu adresu pošiljaoca (ne samo ime - ime se može lažirati). Zvanični e-mailovi banaka u BiH idu s domene banke: obično završava na .ba, rjeđe na .com ako je banka dio veće grupacije. Adresa tipa „[email protected]" ili s dodatnim znakovima je skoro sigurno lažna. Ako postoji sumnja, ne odgovarati na e-mail, nego kontaktirati banku kroz broj s kartice ili zvanične web stranice.
Banka me je zvala i traži da potvrdim broj kartice - je li to stvarno banka?
Prava banka vam može pozvati zbog sumnjive transakcije, ali neće tražiti da joj vi saopštite CVV, PIN ili SMS kôd koji vam je upravo poslala. Ako osoba koja zove traži bilo koji od tih podataka - prekinite razgovor i pozovite banku nazad na broj s poleđine kartice. Pravi službenik banke razumjet će taj oprez i ponovo će zvati kroz zvanični kanal.
Dobio sam SMS od banke s porukom o transakciji koju nisam izvršio. Šta sad?
Ako SMS dolazi sa zvaničnog broja vaše banke (obično isti broj koji uvijek dobijate informativne poruke), vjerovatno je stvarna obavijest o pokušanoj transakciji - odmah kontaktirajte banku da je blokirate. Ako SMS traži da kliknete na link ili zovete „hitni broj" iz same poruke, oprez - može biti phishing koji imitira stvarno obavještenje. U oba slučaja, reakcija je ista: pozvati banku kroz broj koji ste sami potražili (poleđina kartice, zvanična web stranica).
Da li se mogu zaraziti virusom samo otvaranjem e-maila od banke?
Samo otvaranje teksta e-maila uglavnom nije opasno. Opasnost počinje ako: kliknete link u poruci, preuzmete priloženi dokument (posebno .zip, .exe, .scr, makroe u Word/Excel fajlovima), unesete podatke na stranici koja se otvori. Ako postoji sumnja da ste otvorili sumnjiv prilog, ne ignorišite - pokrenite antivirusnu provjeru, provjerite bankarske aktivnosti, i razmislite o promjeni lozinki osjetljivih naloga.
Banka mi šalje ponudu preko e-maila - kako da razlikujem marketing od prevare?
Zvanična marketinška komunikacija obično ne traži unos osjetljivih podataka - poziva na ugovaranje usluge kroz aplikaciju, posjet filijali ili poziv kontakt centru. Ako e-mail ima link koji vodi na formu za broj kartice ili lozinku - oprez, i ne ispunjavati direktno iz linka. Umjesto toga, otići ručno na stranicu banke i tražiti istu ponudu tamo. Ako postoji i tamo - legitimna je; ako ne postoji - bila je prevara.
Zašto banka ne zaustavi prevarantske poruke prije nego stignu do mene?
Banka nema kontrolu nad vašim SMS-ovima, e-mailovima i porukama na Viberu - to je izvan njenog sistema. Prevaranti šalju poruke s inostranih brojeva, privatnih e-mail servera, lažnih domena. Banka može izdati upozorenja, prijaviti lažne stranice da budu uklonjene, ali ne može filtrirati komunikaciju korisnika. Zato je odbrana dvosmjerna: banka radi svoj dio (edukacija, detekcija neautorizovanih transakcija), korisnik mora znati da banka nikad ne traži ono što ove poruke traže.