U službenom upozorenju Ministarstva unutarnjih poslova Republike Hrvatske navodi se da je tijekom prosinca 2025. na veći broj adresa elektroničke pošte u Hrvatskoj dostavljena lažna poruka u kojoj se nepoznate osobe predstavljaju kao načelnik Uprave kriminalističke policije Antonio Gerovac i ravnatelj Uprave za europske poslove, međunarodne odnose i fondove Europske unije Dalibor Jurić [1]. U poruci piše da je primatelj poruke osumnjičen za više različitih kaznenih djela te se od primatelja traži da odgovori na poruku, a sve s ciljem pribavljanja protupravne imovinske koristi. Hrvatska policija upozorava da se radi o phishing kampanji, odnosno pripremnim radnjama radi počinjenja prijevare te da je poruku dovoljno obrisati i na nju ne odgovarati. Upozorenje na ovu prijevaru prenosi se kroz medijski prostor [2].

Po primitku ovakve poruke bitno je ne kliknuti na datoteku koja je stigla u privitku ili poveznicu (eng. link) koja se nalazi u poruci. Datoteke koje stignu u takvoj poruci često su slike u primjerice .jpg formatu ili dokumenti u .pdf formatu. Otvaranje takvih datoteka može biti opasno iz dva razloga:

1. Datoteke mogu biti nositelji zlonamjernih programa koji iskorištavaju ranjivosti u programu koji ih obrađuje.

2. Sadržaj datoteke može navoditi primatelja na klik na određenu poveznicu, QR kod ili vraćanje odgovora što može dovesti do krađe podataka, krađe identiteta, preuzimanje zlonamjernih programa koji omogućuju neovlaštenu kontrolu nad računalom (npr. trojanski konji) ili rade štetu nad podatcima (npr. ucjenjivački programi; eng. ransomware).

Otvaranje, preuzimanje i bilo kakav pregled ili analiza ovakvih datoteka mora se raditi u izoliranom okruženju te je preporučljivo da je provode stručne osobe iz područja informacijske sigurnosti. 

Phishing je čest oblik napada koji spada u metodu socijalnog inženjeringa. Agencija za zaštitu osobnih podataka (AZOP) definira phishing kao internetsku prijevaru u vidu lažnih e-poruka koje izgledaju kao da su ih poslale legitimne organizacije (primjerice banka, tijelo javne vlasti ili internet stranica za kupovinu), a koje primatelja navode na dijeljenje osobnih, financijskih ili sigurnosnih podataka. Na ovaj način prevaranti dobivaju pristup korisničkim imenima, lozinkama ili podacima s kreditnih kartica. U takvim e-porukama primatelja se najčešće traži da preuzme priloženi dokument ili klikne na poveznicu [3].

Poruka je poslana s adrese: Policijska jednakost . Domena korištena u adresi (tu.ac.th) je stvarna akademska domena povezana sa Sveučilištem  Thammasat u Tajlandu, ali nema nikakve veze s hrvatskim institucijama i ne služi za slanje službenih poruka MUP-a RH. To je važan detalj koji odmah ukazuje da se radi o lažnom pošiljatelju, odnosno da poruku nije poslala ni Hrvatska policija ni bilo koji njezin dužnosnik jer se u ovome slučaju koristi domena koja ne pripada hrvatskim policijskim ili državnim institucijama, niti je povezana s njima. Element prijevare u kojem se koristi adresa elektroničke pošte s krivotvorenom adresom pošiljatelja naziva se email spoofing. Iako se službena komunikacija hrvatskih državnih institucija odvija putem domena u vlasništvu državne uprave (npr. mup.hr, gov.hr), sama činjenica da poruka izgleda kao da dolazi s takve domene nije dovoljna za potvrdu njezine autentičnosti, jer je elektroničku adresu pošiljatelja moguće tehnički krivotvoriti. 

Drugi element prijevare je napad na emociju koji se provodi putem zvučnog, ali izmišljenog naziva institucije koja šalje poruku i sadržaja poruke koji stvara psihološki pritisak na primatelja. Time se primatelja tjera na strah i impulzivne radnje kao što su otvaranje ili preuzimanje datoteke u privitku i odgovora na poruku što napadaču potvrđuje da korisnik određene adrese e-pošte postoji i da odgovara na poruke. Takve reakcije napadaču potencijalno omogućuju daljnje prikupljanje osobnih i drugih povjerljivih podataka korisnika. U ovom slučaju naziv institucije je izmišljen jer se provjerom u javno dostupnim izvorima, uz pomoć internetskih tražilica i alata umjetne inteligencije, otkriva da u Hrvatskoj ne postoji službeno policijsko tijelo koje se zove Policijska jednakost. U slici priloženoj u poruku primatelja se putem krivotvorenog identiteta policijskog službenika obavještava da se unutar 72 sata mora očitovati o seksualnim prijestupima koje je napravio, radi čega je protiv njega poduzeto nekoliko pravnih radnji, a ako to ne napravi bit će registriran kao seksualni prijestupnik. Dakle, u primatelju se izaziva strah iz pozicije autoriteta i navodi ga se na impulzivnu reakciju kojom bi potvrdio da mu je adresa e-pošte aktivna, da se iza nje krije stvarna osoba te moguću predaju informacija o sebi te raznih osobnih podataka.

Analizirana poruka elektroničke pošte je lažna i zlonamjerna. Predstavljena institucija ne postoji, domena nije hrvatska, a obrazac napada karakterističan je za phishing napade.

Predmetni slučaj ogledni je primjer internetske prijevare putem phishing kampanje. Primateljima se šalju elektroničke poruke s izmišljene, ali autoritativno imenovane adrese elektroničke pošte koja može djelovati stvarno i legitimno. U poruci se upućuje na potrebu odgovora, a poruka pritom može sadržavati poveznice ili priložene datoteke. Poveznice ili priložene datoteke mogu, ali ne moraju same po sebi sadržavati zlonamjerni program. U oba slučaja, sadržaj poruke primatelja poziva na hitan odgovor i klik na poveznicu ili QR kod čime se stvaraju preduvjeti za daljnje faze prijevare, uključujući krađu identiteta, krađu osobnih podataka, financijsku štetu ili štetu po podatke na računalu.

Predmetni slučaj također potvrđuje važnu ulogu medija u informiranju korisnika o internetskim prijevarama te osnovnim sigurnosnim pravilima pri korištenju elektroničke pošte. U slučaju zaprimanja sumnjive elektroničke poruke, preporučuje se njezino brisanje bez ikakve interakcije, kao i prijava nadležnim institucijama. Poput edukacije o kretanju u prometu, danas je nužna i edukacija te podizanje svijesti o internetskim prijevarama. Povećanje znanja o oblicima kiberkriminala povećava osobnu sigurnost te sigurnost vlastitih podataka.

[1]Upozorenje o zlonamjernoj elektroničkoj pošti. Ministarstvo unutarnjih poslova, Ravnateljstvo policije, 11. 12. 2025.

(pristupljeno 30. 12. 2025.).

[2] MUP upozorava na lažne mailove. Indeks Vijesti, 11. 12. 2025.

https://www.index.hr/vijesti/clanak/mup-upozorava-na-lazne-mailove/2739430.aspx (pristupljeno 30. 12. 2025.).

[3] Phishing napadi – kako ih prepoznati i zaštititi se. AZOP - Agencija za zaštitu osobnih podataka. 

(pristupljeno 30. 12. 2025.).