Glas direktora više nije dokaz: deepfake prevare i kako se firma brani
5. јул 2026. · 7 min čitanja
Zamislite da vam u petak popodne zvoni telefon. Glas direktora, njegov ton, njegov način govora, čak i ona pauza koju pravi kad je nervozan. Traži hitnu uplatu dobavljaču pre kraja radnog vremena, kaže da je u pregovorima i da ne može dugo da priča. Sve zvuči tačno. Osim što direktor uopšte nije zvao.
Kloniranje glasa je nekad zahtevalo studio i stručnjaka. Danas je dovoljno nekoliko sekundi snimka, sa video sastanka, iz objave na društvenim mrežama ili sa govorne pošte, i alat koji je javno dostupan. Prevara poznata kao "CEO fraud" ili "lažni direktor" postojala je i ranije kroz mejl. AI joj je dodao glas, a sve češće i video.
Zašto je ovo opasnije od klasičnog phishinga
Phishing mejl možete da pročitate dva puta, da proverite adresu pošiljaoca, da zastanete. Telefonski poziv vas stavlja pod pritisak u realnom vremenu. Napadač kontroliše tempo razgovora, ne dozvoljava vam da razmislite i cilja tačno one situacije u kojima ljudi preskaču procedure: petak popodne, kraj meseca, direktor "na putu".
Meta nije direktor nego ljudi oko njega: finansije, računovodstvo, office manager, svako ko može da pusti uplatu ili preda pristup. Napadači unapred znaju ko je ko, jer su organizacionu strukturu pročitali sa sajta i sa LinkedIna.
Stari saveti više ne važe
Godinama je savet bio: ako mejl deluje sumnjivo, pozovi osobu telefonom i proveri. Taj savet je pisan za svet u kome je glas bio dokaz identiteta. Više nije. Isto važi i za video poziv: tehnologija za deepfake video u realnom vremenu postoji i koristi se u prevarama.
To ne znači da je svaki poziv sumnjiv. Znači da glas i lik ne mogu biti jedini osnov za odluku o novcu ili pristupu. Identitet se potvrđuje kroz kanal koji napadač ne kontroliše, a ne kroz onaj kojim je zahtev stigao.
Procedure koje realno štite
Dobra vest: odbrana ne zahteva skupu tehnologiju. Zahteva pravila koja se poštuju i kad zvuči kao da zove direktor lično.
- Pravilo povratnog poziva: svaki zahtev za uplatu ili promenu računa dobavljača proverava se pozivom na broj koji već imate u imeniku, nikad na broj iz poruke ili poziva koji je stigao.
- Dva potpisa za novac: nijedna uplata iznad definisanog praga ne ide na osnovu jednog naloga, bez obzira ko ga daje i koliko je hitno.
- Interna lozinka za hitne situacije: dogovorena reč ili pitanje koje zna uži tim, a koje napadač ne može da nađe na internetu.
- Hitnost je signal za stop, ne za brzinu: svaki zahtev koji insistira da se zaobiđe procedura "samo ovaj put" tretira se kao pokušaj prevare dok se ne dokaže suprotno.
- Promena računa dobavljača: uvek se potvrđuje kroz poznati kontakt kod dobavljača, jer je presretanje i izmena instrukcija za plaćanje jedna od najčešćih varijanti ove prevare.
Šta da uradite ako se već desilo
Ako je uplata puštena, brzina je presudna. Odmah zovite svoju banku i tražite opoziv i zamrzavanje transakcije, jer su šanse za povraćaj najveće u prvim satima. Sačuvajte sve: broj sa kog je stigao poziv, snimke ako postoje, mejlove, naloge za plaćanje. Prijavite slučaj nadležnima za visokotehnološki kriminal. I ne kažnjavajte zaposlenog koji je prijavio grešku, jer je sledeći put važnije da neko prijavi odmah nego da ćuti iz straha.
Ovo je pitanje procedura, ne tehnologije
Napadač sa kloniranim glasom pobedjuje firmu koja odlučuje na osnovu poverenja u glas. Gubi od firme u kojoj ni direktor lično ne može da izdejstvuje uplatu mimo procedure. Tu razliku ne pravi softver nego pravila koja su napisana, uvežbana i koja važe za sve.
Ako vaša firma nema definisan postupak za proveru naloga za plaćanje, ili ga ima na papiru ali nikad nije testiran, to je tačka od koje treba krenuti. Pomažemo firmama da postave i uvežbaju ove procedure pre nego što ih neko drugi testira umesto njih.
Treba vam ovo sređeno, bez drame?
INTO MSP vodi bezbednost, backup i IT za male i srednje firme. Prvi korak je kratak pregled stanja, bez obaveze.
IT Security → Kontakt