Tokom protekle godine, većina najvećih kripto incidenata imala je isti uzrok: ljudski faktor. Samo u posljednjih nekoliko mjeseci vidjeli smo niz primjera koji to jasno potvrđuju.

Kompanija Ledger bila je primorana da upozori korisnike da privremeno obustave on-chain aktivnosti, nakon što su održavaoci npm paketa bili prevareni, što je dovelo do širenja zlonamjernih biblioteka kroz softverski ekosistem.

U drugom slučaju, Workday je objavio da je pretrpio social engineering napad koji je omogućio neovlašćen pristup podacima unutar CRM sistema treće strane.

Istovremeno, hakerske grupe povezane sa Sjevernom Korejom nastavile su sa taktikom lažnih ponuda za posao, ciljajući kripto timove kako bi isporučile malware putem naizgled legitimnih regrutacijskih procesa.

Zajednička nit u svim ovim slučajevima je ista: nije zakazala tehnologija, već povjerenje. I dok se kod može auditovati i popraviti, ljudska greška ostaje najteža linija odbrane — i najčešća tačka proboja.

Uprkos milijardama potrošenim na sajber-bezbjednost, kompanije i dalje padaju na najjednostavnije social engineering napade. Timovi ulažu ogromna sredstva u tehničke zaštite, audite i revizije koda, dok istovremeno zanemaruju operativnu bezbjednost, higijenu uređaja i osnovne ljudske faktore. Kako se sve više finansijskih aktivnosti seli on-chain, taj slijepi ugao prerasta u sistemski rizik za digitalnu infrastrukturu.

Jedini način da se uspori rast ovih napada jeste široko i dugoročno ulaganje u operativnu bezbjednost, koje smanjuje isplativost ovakvih taktika za napadače.

---

Ljudi, a ne kod, ostaju najslabija karika

Prema izvještaju Verizon iz 2025. godine (Data Breach Investigations Report), tzv. „ljudski element“ — phishing, ukradeni kredencijali i svakodnevne greške — povezan je sa oko 60% svih sigurnosnih proboja.

Social engineering funkcioniše jer cilja ljude, a ne softver. Napadi se oslanjaju na povjerenje, hitnost, poznat kontekst i rutinu. Takve prijetnje ne možeš ukloniti auditom koda niti ih je lako zaustaviti automatizovanim alatima. Revizije ne mogu spriječiti zaposlenog da odobri lažni zahtjev koji izgleda kao da dolazi od menadžera, ili da instalira „lažno ažuriranje“ koje djeluje legitimno.

Čak i najtehničkiji timovi griješe — ljudska slabost je univerzalna i tvrdokorna. Zato social engineering i dalje ostaje glavni uzrok stvarnih incidenata.

---

Kripto dodatno podiže ulog

Kod programabilnog novca, rizik je koncentrisan. U web3 svijetu, kompromitovanje seed fraze ili API tokena može biti ekvivalentno provali u bankarski trezor. Nepovratna priroda kripto transakcija dodatno pojačava greške: jednom kada sredstva odu, često nema povratka. Jedan propust u bezbjednosti uređaja ili rukovanju ključevima može izbrisati čitavu imovinu.

Decentralizovani dizajn web3-a znači i da nema help deska — korisnici su često prepušteni sami sebi.

Napadači su to prepoznali. Operacije koje se pripisuju Lazarus Group oslanjaju se upravo na social engineering: lažne ponude za posao, zatrovane PDF fajlove, kompromitovane pakete i precizno ciljane phishing kampanje. Ovi napadi su izuzetno efikasni i jeftini za izvođenje.

Za razliku od zero-day ranjivosti, koje se brzo zakrpe, iste social engineering taktike mogu se ponavljati iznova, bez velikog ulaganja u istraživanje i razvoj.

---

Operativna bezbjednost mora postati standard

Previše organizacija i dalje gleda na bezbjednost kao na checklistu za usklađenost. Rezultat su „čisti“ izvještaji i uspješni auditi, dok u pozadini postoje ozbiljni operativni rizici: administratorski ključevi na privatnim laptopima, lozinke dijeljene preko chata i mejla, zastarjeli pristupi koji se nikad ne rotiraju, ili putni laptopi korišćeni za razvoj.

Rješenje zahtijeva jasno definisanu i striktno sprovedenu operativnu bezbjednost:

• upravljani i zaštićeni uređaji

• snažna endpoint zaštita i full-disk enkripcija

• password manageri i MFA otporan na phishing

• stroga kontrola privilegija i redovne revizije pristupa

Ove mjere nijesu savršene, ali značajno smanjuju uspješnost napada i ublažavaju posljedice kada do incidenta ipak dođe.

Još važnije — zaposleni su prva linija odbrane. Ulaganje u obuku iz operativne bezbjednosti, prepoznavanje phishinga i pravilnu digitalnu higijenu mora postati standard, a ne izuzetak.

---

Bez regulative, promjene neće doći

Ne možemo očekivati da kompanije same, dobrovoljno, usvoje strože bezbjednosne standarde. Regulatori moraju postaviti obavezujuće operativne minimume. Okviri usklađenosti treba da idu dalje od dokumentacije i zahtijevaju dokazive prakse: verifikovano upravljanje ključevima, periodične revizije pristupa, hardening uređaja i testiranje spremnosti na phishing.

Bez „zuba“ u regulativi, podsticaj će uvijek ići ka dobrom izgledu — ne ka stvarnoj bezbjednosti.

---

Social engineering će biti sve gori

Razlog za hitno djelovanje je jednostavan: napadi rastu eksponencijalno. Generativna AI je dramatično snizila cijenu obmane. Phishing kampanje se danas mogu personalizovati, lokalizovati i automatizovati na industrijskom nivou, uz minimalne troškove.

AI ubrzava i izviđanje: javni tragovi, procureli podaci i open-source informacije lako se pretvaraju u detaljne profile žrtava, što napade čini još uvjerljivijim.

---

Kako usporiti talas napada

Social engineering cvjeta tamo gdje povjerenje i praktičnost pobjeđuju provjeru. Organizacije moraju usvojiti defanzivan stav i polaziti od pretpostavke da su stalno na meti.

To znači:

• primjenu zero-trust principa u svakodnevnom radu

• stalnu obuku zaposlenih

• identifikovanje tačaka gdje povjerenje još postoji u procesima — i dodavanje dodatnih zaštita

Social engineering neće nestati, ali ga možemo učiniti mnogo manje efikasnim i mnogo manje razornim. Kako industrija jača odbranu, ovi napadi postaće manje isplativi, a njihov intenzitet će konačno početi da opada — prekidajući ciklus koji danas izgleda beskonačno.