Savet koji godinama kruži u krugovima sajber bezbednosti "proverite da li URL izgleda sumnjivo pre nego što kliknete" i dalje je dobar savet. Samo što više nije dovoljan.

Istraživači sajber bezbednosti dokumentovali su u februaru 2026. značajan pomak u načinu na koji napadači organizuju phishing kampanje protiv poslovnih korisnika. Umesto da prave lažne sajtove na sumnjivim domenima, sve češće koriste legitimnu infrastrukturu Microsofta, Google-a i Amazona, servise koje vaša firma ionako svakodnevno koristi i kojima opravdano veruje. To znači da dosadašnji načini prepoznavanja pretnje postaju manje pouzdani, i korisno je znati šta se promenilo.

Zašto hakeri više ne prave lažne sajtove

Dugo vremena, prepoznavanje phishing napada bilo je relativno jednostavno: pazite na čudne domene poput mircosoft-login.com ili g00gle-secure.net. Sigurnosni alati su blokirali sumnjive adrese, a zaposleni su učeni da gledaju URL pre nego što kliknu.

Ali napadači su promenili taktiku. Umesto da registruju lažne domene, oni sada iznajmljuju prostor na infrastrukturi samog Microsofta, Google-a i Amazona.

Napadi koji koriste pouzdane cloud platforme, poput Microsoft Azure Blob Storage, Google Firebase i AWS CloudFront, postaju dominantni model za napade na poslovne korisnike. Kad se zlonamerni sadržaj hostuje na domenima kao što su firebasestorage.googleapis.com ili blob.core.windows.net, tradicionalni sigurnosni pokazatelji praktično prestaju da funkcionišu.

Tri alata koja hakeri koriste kao oružje

Istraživači su identifikovali tri phishing kompleta koji su trenutno najaktivniji u napadima na kompanije, a sva tri sve više koriste legitimnu cloud infrastrukturu:

Tycoon2FA funkcioniše kao usluga dostupna na "dark web" tržištu, svojevrsni "phishing kao servis". Posebno je opasan jer je dizajniran da zaobiđe višefaktorsku autentifikaciju (MFA). U periodu od samo jedne sedmice, broj dokumentovanih Tycoon2FA napada hostovanih na Microsoft Azure infrastrukturi skoro se udvostručio.

Sneaky2FA cilja isključivo korporativne naloge. Ovaj alat čak filtrira lične Gmail i Yahoo adrese, tj. zanimaju ga samo zaposleni u firmama. Napadači koriste Base64-kodirane liste domena kako bi osigurali da samo poslovne email adrese mogu pristupiti lažnim stranicama. Najčešće se pojavljuje na Google Firebase i AWS CloudFront infrastrukturi.

EvilProxy koristi tehniku "reverse proxy" za napad na rukovodioce visokog ranga. Lažne stranice se hostuju na legitimnim Google domenima, a cilj je preuzimanje naloga direktora, finansijskih menadžera i drugih osoba s posebnim pristupom poslovnim sistemima.

Kako izgleda tipičan napad

Proces je pažljivo osmišljen da prođe kroz što više slojeva odbrane:

1. Zaposleni prima email koji izgleda legitimno
2. Klikće na link koji ga vodi kroz nekoliko preusmerenja (redirect lanaca)
3. Pre nego što stigne do lažne stranice, prolazi kroz CAPTCHA proveru, samo što ovo nije zaštita od botova, nego filter koji sprečava automatske sigurnosne skenere da otkriju napad
4. Dolazi na stranicu koja savršeno imitira Microsoft 365 ili Google Workspace prijavu, hostovanu na legitimnoj adresi
5. Unosi lozinku i eventualno MFA kod, koji napadači u realnom vremenu koriste da se prijave na pravi nalog

Sve dok žrtva vidi poruke greške koje identično odgovaraju pravim Microsoft ili Google sistemima, ne postoji vizuelni znak koji bi ukazao da se nešto loše događa.

Zašto je ovo posebno opasno za male i srednje firme

Veliki bezbednosni timovi u korporacijama imaju resurse za sofisticirane sisteme detekcije koji analiziraju ponašanje, a ne samo domene. Male i srednje firme najčešće se oslanjaju na standardna rešenja, antivirusni softver, firewall, i možda osnovne email filtere.

Nijedan od tih alata ne može pouzdano blokirati saobraćaj koji dolazi sa legitimnih Microsoft, Google ili Amazon adresa, a da pritom ne blokira i svakodnevni poslovni saobraćaj ovih kompanija. Napadi iskorišćavaju ovaj paradoks.

Uz to, cloud platforme napadačima nude:

• Valjane HTTPS sertifikate koji dolaze "u paketu" sa domenom
• Anti-analizu, CAPTCHA, geografsko filtriranje i provera user-agenta sprečavaju automatske skenere
• Brzu zamenu, ako jedan zlonamerni domen bude ugašen, novi je aktivan za nekoliko minuta, skriven iza iste infrastrukture

Šta vaša firma može da uradi

Odbrana od ove pretnje zahteva promenu pristupa.

Prebacite fokus sa adrese na ponašanje. Umesto da security alati gledaju samo koji domen šalje saobraćaj, neophodni su sistemi koji analiziraju šta taj saobraćaj radi, kako se stranica ponaša, kakve zahteve šalje, kuda odlaze uneseni podaci.

Obučite zaposlene za novu realnost. Stara pravila ("proverite URL") više nisu dovoljna. Zaposleni moraju naučiti da budu oprezni čak i kada URL izgleda savršeno legitimno, a posebno kada se od njih traži prijava na servis kroz email vezu umesto direktnim pristupom sajtu.

Koristite hardverske bezbednosne ključeve za MFA. Standardni SMS ili app-based MFA kodovi mogu biti zaobiđeni u AiTM napadima jer napadači u realnom vremenu posreduju između žrtve i pravog servisa. Fizički FIDO2 ključevi (npr. YubiKey) nisu podložni ovoj vrsti napada.

Uvedite zero-trust politike pristupa. Svaki zahtev za pristup treba da bude verifikovan, bez obzira odakle dolazi, čak i unutar korporativne mreže.

Razmotrite managed security usluge. Za firme bez IT bezbednosnog osoblja, prepuštanje monitoringa specijalizovanim partnerima može da bude isplativija i efikasnija opcija od pokušaja da se sve uradi interno.

Zaključak

Hakeri su uvek koristili poverenje koje korisnici imaju u poznate brendove. Razlika danas je u tome što više ne moraju da imitiraju Microsoft ili Google, jer doslovno koriste njihovu infrastrukturu. To je fundamentalna promena u domenu pretnji koja zahteva fundamentalnu promenu u pristupu odbrani.

Izvor: GBHackers Security. Analiza bazirana na istraživanjima platforme ANY.RUN.