• Rezultati Niso Bili Najdeni

Vzroki uspešnosti phishing kampanj v podjetjih

N/A
N/A
Protected

Academic year: 2022

Share "Vzroki uspešnosti phishing kampanj v podjetjih"

Copied!
77
0
0

Celotno besedilo

(1)

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE

Matic Virant

Vzroki uspešnosti phishing kampanj v podjetjih

Magistrsko delo

Ljubljana, 2021

(2)

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE

Matic Virant

Mentor: doc. dr. Uroš Svete Somentorica: prof. dr. Tina Kogovšek

Vzroki uspešnosti phishing kampanj v podjetjih

Magistrsko delo

Ljubljana, 2021

(3)

Vzroki uspešnosti phishing kampanj v podjetjih

V magistrski nalogi preverjam učinkovitost phishing kampanje v enem izmed slovenskih podjetij. Najprej je potrebno definirati kaj sploh phishing je, kakšen je proces phishing napada in kakšne posledice prinaša uspešen phishing napad. V magistrski nalogi navajam tudi nekatere podobne oblike phishing napadov, ki so potencialno lahko še bolj učinkovite in imajo tudi širše posledice. Omenjam tudi nekatere obrambne mehanizme, katerih implementacija in uporaba do neke mere varuje posameznike pred phishing napadi. Obrambnih mehanizmov je več, vendar implementacija in uporaba le enega pogosto ni dovolj za učinkovito obrambo pred phishing napadi, zato se za večjo varnost pred phishing napadi priporoča kombinacija več obrambnih mehanizmov. Pred izvedbo simuliranega phishing napada odkrivam kakšni so vzroki uspešnosti phishing kampanj in zakaj so phishing kampanje tako uspešne. Simulacija phishing napada je bila izvedena na vzorcu približno stotih zaposlenih v neimenovanem slovenskem podjetju.

Zaposlene v podjetju sem na koncu razdelil po oddelkih. Kot hipotezi magistrske naloge sem si zadal, da bo simulacija phishing napada vsaj 10% uspešna, prav tako pa sem napovedal, da bo oddelek prodaje najbolj neuspešen pri prepoznavanju phishing napada.

Ključne besede: phishing, obrambni mehanizmi, phishing kampanje

Reasons for the success of phishing campaigns in companies

In my master's thesis I am checking the effectiveness of a phishing campaign in one of the Slovenian companies. First of all, it is necessary to define what phishing is, what the process of a phishing attack is and what the consequences of a successful phishing attack are. In my master's thesis, I also list some similar forms of phishing attacks, which can potentially be even more effective and also have wider consequences. I also mention some defense mechanisms, which through use and implementation are used to, some extent, protect individuals from phishing attacks. There are several defense mechanisms, but the implementation and use of just one is often not enough to effectively defend against phishing attacks, therefore a combination of several defense mechanisms is recommended for greater security against phishing attacks.

Before carrying out a simulated phishing attack, I discover the reasons for the success of phishing campaigns and why phishing campaigns are so successful. The simulation of the phishing attack was performed on a sample of about a hundred employees in an unnamed Slovenian company. I divided the company’s employees by departments. As a master’s thesis hypothesis, I set the goal that a simulation of a phishing attack would be at least 10% successful, and I also predicted that the sales department would be most unsuccessful in recognizing a phishing attack.

Key words: phishing, defense mechanisms, phishing campaigns

(4)

4 Kazalo vsebine

1 Uvod ... 7

2 Raziskovalni vprašanji in hipotezi ... 9

3 Phishing ... 12

3.1 Opredelitev ... 12

3.2 Socialni inženiring ... 15

3.3 Spear-phishing ... 16

3.4 Phishing v organizacijah ... 18

4 Razlogi za uspešen phishing napad ... 21

4.1 Pomanjkanje znanja ... 21

4.2 Vizualna prevara ... 22

4.3 Omejena pozornost ... 23

5 Različice phishing napadov ... 24

6 Orodja phisherjev ... 26

6.1 Boti ... 26

6.2 Phishing kompleti ... 27

6.3 Tehnološka prevara - osnovno prikrivanje url povezav... 27

6.3.1 HTML preusmeritev ... 28

6.3.2 Uporaba .jpeg slik ... 28

6.3.3 Uporaba različnih kodirnih shem ... 28

6.3.4 Registracija podobnih domenskih imen ... 28

6.3.5 Uporaba »Klikni tukaj« povezav ... 29

7 Phishing proces ... 30

8 Taksonomija phishing napada ... 32

8.1 Komunikacijski mediji ... 32

8.1.1 E-pošta ... 32

8.1.2 Spletne strani ... 32

8.1.3 Takojšnje sporočanje ... 33

(5)

5

8.1.4 Spletna družbena omrežja ... 33

8.1.5 Blogi in forumi ... 34

8.1.6 Mobilni mediji ... 34

8.1.7 Internetna telefonija ... 36

8.2 Ciljna okolja ... 36

8.3 Napadalne tehnike ... 38

8.3.1 Inicializacija napada ... 38

8.3.2 Zbiranje informacij ... 40

8.3.3 Prodiranje sistema ... 41

9 Obrambni mehanizmi ... 43

9.1 Zaznava phishinga ... 43

9.2 Preprečevanje phishinga ... 44

9.3 Avtomatizirana zaznava phishinga ... 44

9.4 Varnostni kazalniki ... 46

9.5 Učenje in izobraževanje posameznikov ... 47

9.5.1 Zavedanje in ozaveščanje ... 49

9.5.2 Vključevanje posameznikov pri prepoznavanju phishing gradiva ... 50

9.5.3 Ujemanje profilov ... 51

9.6 Vzpostavitev obrambnih mehanizmov ... 53

9.6.1 Uporabniško področje ... 54

9.6.2 Strežniško področje ... 56

10 Izhodiščne raziskave ... 58

11 Phishing kampanja... 62

11.1 Pričakovanja ... 63

11.2 Rezultati ... 63

12 Zaključek ... 67

13 Viri ... 69

14 Priloge ... 73

Priloga A ... 73

(6)

6 Kazalo tabel

Tabela 11.1: Prikaz rezultatov prepoznave izraza Phishing (v %) ... 63

Tabela 11.2: Prikaz rezultatov prepoznave domene podjetja (v %) ... 64

Tabela 11.3: Prikaz rezultatov samoocene skrbi za varnost (v %) ... 64

Tabela 11.4: Prikaz rezultatov phishing kampanje za vse oddelke podjetja skupaj (v %) ... 65

Tabela 11.5: Prikaz rezultatov phishing kampanje po oddelkih podjetja (v %) ... 65

Tabela 11.6: Število zaposlenih po oddelkih podjetja (v %) ... 65

(7)

7 1 Uvod

Sporočilo, da je varnost bistvena, bi moralo biti jasno vsem uporabnikom elektronskih naprav.

Uporabniki računalnikov, telefonov, tablic in podobnih naprav igrajo pomembno vlogo pri zagotavljanju in ohranjanju varnega kibernetskega prostora, sploh v času razvoja internetnih tehnologij. Internetna tehnologija je danes tako razširjena, da predstavlja hrbtenico modernega življenja; posameznikom omogoča nakupovanje, socializacijo in zabavo, vse preko osebnih elektronskih naprav. Tako kot se povečuje človeška odvisnost od internetnih tehnologji, se hkrati povečuje tudi možnost hekanja in varnostnih vdorov.

Varnostni vdori lahko vključujejo kibernetske grožnje, kot so na primer računalniški programi, ki motijo normalno vedenje računalniških sistemov (virusi), zlonamerno programsko opremo (angl. »malware«), neželeno elektronsko pošto (angl. »spam«), nadzorno programsko opremo (angl. spyware), motnje uporabe nujnih sredstev za predvidene uporabnike (DoS napadi), umetnost hekanja uporabnikov (socialni inženiring) in spletno krajo identitete (angl.

»phishing«) (Arachchilage in Love, 2014).

Phishing je globalen problem, ki prizadane tako podjetja kot tudi posameznike. Podjetje MessageLabs je leta 2007 ocenilo, da se je v njihovih sistemih dnevno pojavilo vsaj 3.3 milijard phishing e-sporočil, kar je znašalo 0.8% vse e-pošte. Podjetje Microsoft je leta 2009 ocenilo, da je vsaj 0.4% prejemnikov postalo žrtev phishing e-pošte. Po podatkih, ki jih navajajo Sheng in drugi (2009), pa naj bi nastali stroški zaradi phishing napadov tako posameznikom kot tudi podjetjem samo v ZDA znašali med 350 milijoni in 2 milijardami ameriških dolarjev.

Phishing napadi bi potencialno lahko povzročili hude posledice svojim žrtvam, kot na primer že prej omenjeno finančno izgubo, izgubo intelektualne lastnine, odtekanje občutljivih informacij, ogroženost nacionalne varnosti ter izgubo zaupanja (na primer v podjetje). Sodeč po poročilu, ki ga je izdal CYREN leta 2015, so v prvem četrtletju istega leta opazili 51%

povečanje v številu phishing spletnih strani v primerjavi s prejšnjim letom. RSA je aprila 2014 poročal o številu 52.554 phishing napadov, ki se je povečalo za 24% v primerjavi z mesecem marcem istega leta (Aleroud in Zhou, 2017).

Phishing, vključno s spear-phishingom, je zaradi svoje razširjenosti postal velik družben problem, za katerega tako raziskovalci kot tudi varnostni strokovnjaki iščejo učinkovite rešitve, ki bi ublažile njegov vpliv (Aleroud in Zhou, 2017).

(8)

8

Magistrsko delo sestavlja predstavitev phishinga, spear-phishinga in socialnega inženiringa, kateremu sledi še prisotnost phishinga v podjetjih in razlogi za uspešen phishing napad.

Nadaljujem z orodji, katere uporabljajo phisherji pri izvajanju svojih napadov, procesom phishing napada in njegovo taksonomijo. Nato preidem na obrambne mehanizme proti phishing napadom in na izhodiščne raziskave za namen izvedbe phishing kampanje. Temu sledi prikaz rezultatov phishing kampanje ter zaključek.

(9)

9 2 Raziskovalni vprašanji in hipotezi

Preslepitev nič-hudega slutečih posameznikov v deljenje njihovih osebnih podatkov za zlonamerni namen ni nič novega. Napadi socialnega inženiringa so se pojavljali na internetu ves čas tekom njegovega obstoja. Pred dobo interneta so nepridipravi uporabljali druge tehnologije tistega časa, kot je na primer telefon, in se predstavljali kot zaupanja vredni akterji z namenom pridobivanja informacij njihovih tarč ali žrtev. Pojem phishing ima korenine v 90- ih letih 20. stoletja, ko je bil uporabljen za opis nelegalnega pridobivanja posameznikovih podatkov, hranjenih pri ponudnikih internetnih storitev. Do danes pa se je pojem razvil in zajema vse vrste napadov, katerih primarna tarča so osebni podatki (Milletary, 2005).

Phishing je vrsta semantičnega napada, pri katerem želijo nepridipravi pod pretvezo zaupanja vrednega akterja prepričati nič-hudega slutečega posameznika v različne aktivnosti, kot na primer v vnos osebnih podatkov ali v prenos škodljive programske opreme preko lažnih spletnih strani. Namen in cilj teh napadov je največkrat denarna dobrobit, saj nepridipravi izrabijo pridobljene žrtvine osebne podatke za obogatitev lastnega kapitala. Problem tovrstnih semantičnih napadov je, da zanj ne obstajajo učinkovita sredstva, ki bodo 100% učinkovito preprečila napad.

Obstaja sicer veliko rešitev, ki so implementirane že v samih internetnih brskalnikih, ki prepoznajo in blokirajo veliko število lažnih in potencialno zlonamernih spletnih povezav. Prav tako je veliko anti-virusnih programov sposobnih prepoznati lažne spletne strani in o tem pravočasno opozoriti posameznika. Kljub temu pa se vsakodnevno pojavi veliko število novih phishing strani, ki se izmuznejo prepoznavi in se znajdejo v e-poštnih nabiralnikih posameznikov. Posamezniki, ki niso dovolj ozaveščeni glede tovrstnih napadov ali ki niso dovolj digitalno vešči, ne prepoznajo znakov phishinga in podležejo nepridipravovi prevari.

Škoda, ki je storjena na individualnem nivoju, morda ni velika, vendar je škoda lahko bistveno večja, če je phishing uspešen znotraj podjetja. Nepridiprav se lahko v tem primeru dokoplje do pomembnih uporabniških računov podjetja ali celo do njihovega računovodstva.

Cilj magistrske naloge je izvesti s člani uprave predhodno dogovorjeno phishing kampanjo znotraj izbranega podjetja, v kateri bi preveril, v kolikšni meri bi bil phishing v izbranem podjetju lahko učinkovit in kateri oddelek znotraj podjetja je najbolj ranljiv. V magistrski nalogi bom tudi odkrival, zakaj so phishing kampanje tako uspešne in kateri so glavni vzroki za uspešnost teh kampanj.

(10)

10

Hipotezi, ki ju poskušam preveriti v magistrski nalogi, sta:

H1: Dhamija in drugi (2006) so v svoji phishing raziskavi ugotovili, da je 23% sodelujočih v raziskavi spregledalo vse varnostne kazalnike (različen url naslov od originalnega in zaklenjena ključavnica), ki so nakazovale, da gre za phishing spletno stran. Odstotek vseh sodelujočih, ki niso prepoznali lažnih spletnih strani je bil 40%. V raziskavi, ki so jo izvedli na Univerzi Exeter, so pokazali, da je med 10% in 20% ljudi zelo ranljivih na phishing prevare. Nekateri ljudje znotraj te skupine so nagnjeni k temu, da večkrat podležejo tovrstnim prevaram (Halevi in drugi, 2015). Gartner (Chaudry in drugi, 2016) je ocenil, da je leta 2004 v ZDA izmed 57 milijonov ljudi približno 19% le-teh kliknilo na povezavo znotraj prejetih phishing sporočil, 3% ljudi pa je phisherjem posredovalo svoje finančne ali osebne podatke. Parmar omenja statistiko, ki so jo opravili SearchSecurityChannel leta 2006, v industriji IT infrastrukture (Parmar, 2012), ki izpostavlja uspešnost spear-phishing napadov. Le-ti so uspešni v 19%, medtem ko so standardni phishing napadi uspešni v 5%. Ranljivost posameznikov in uspešnost phishing sporočil dokumentirajo tudi Mohebzada in drugi (2012) v svoji raziskavi, v kateri je 1.000 (10%) izmed 10.000 sodelujočih v raziskavi nasedlo eksperimentalnemu phishing sporočilu. Na podlagi naštetih raziskav, predvidevam, da bo phishing kampanja v okviru magistrske naloge vsaj 10% uspešna. Kar pomeni, da bo na povezavo znotraj phishing sporočila kliknilo vsaj 10% prejemnikov phishing sporočila, hkrati pa bo vsaj 10% vseh prejemnikov phishing sporočila na lažno spletno stran, kamor vodi povezava znotraj phishing sporočila, vneslo svoje podatke o e-poštnem naslovu in geslu.

H2: Halevi in drugi (2015) pravijo, da je tehnično nerazumevanje najbolj pogost razlog, da posameznik nasede phishing sporočilu. V svoji raziskavi so Dhamija in drugi (2006) ugotovili, da večina posameznikov ne pozna varnostnih kazalnikov, kot je razlikovanje med lažnim in pristnim url naslovom ali ikono zaklenjene ključavnice, ki nakazuje varno povezavo. Prav tako so ugotovili, da večina posameznikov niti ni pozorna na varnostne kazalnike oziroma jih ne opazi.

Z e-pošto, ki je dandanes nepogrešljivo orodje vsakega zaposlenega, zaposleni operirajo pri svojih vsakodnevnih zadolžitvah. Zaradi vsakodnevne uporabe e-pošte in povečanega števila pošiljanja in prejemanja sporočil so zaposleni manj pozorni na sumljiva sporočila znotraj e- poštnega klienta. Hkrati pa prisotnost zaposlenih na spletnih družbenih omrežjih dodatno negativno vpliva na varnost, saj so informacije o zaposlenih prostodostopne. Prostodostopne informacije na spletnih družbenih omrežjih dandanes predstavljajo pravo zakladnico

(11)

11

informacij, na podlagi katerih lahko phisherji sestavijo čedalje bolj prepričljiva sporočila, s katerimi prepričajo svoje potencialne žrtve (Parmar, 2012). Zaradi manj zahtevnega tehničnega znanja v oddelku prodaje, v primerjavi z ostalimi oddelki, in večji izpostavljenosti zunanjemu svetu, na podlagi dostopnosti s strani potencialnih strank, predvidevam, da bo oddelek prodaje najbolj izpostavljen phishing kampanji in da bodo zaposleni oddelka bolj dovzetni za phishing prevaro.

V magistrski nalogi poskušam odkriti tudi odgovor na raziskovalni vprašanji:

R1: Zakaj so phishing kampanje (tako) uspešne?

R2: Kateri so vzroki uspešnosti phishinga?

(12)

12 3 Phishing

Phishing se je kot pojem sicer prvič pojavil leta 1996, čeprav se je v praksi dogajal že prej.

Prvič se je phishing v praksi zgodil v zgodnjih 90-ih letih kot eno izmed orodij pridobivanja America Online oziroma AOL računov. Takrat se je AOL uporabniški račun kreiral z (navidezno) legitimno številko kreditne kartice. Ko so AOL uslužbenci začeli preverjati vnesene informacije kreditnih kartic so se prvič pojavili phisherji, ki so se svojim potencialnim žrtvam predstavljali kot AOL zaposleni, da bi lahko prišli do uporabnikovih računov ter njihovih gesel (Chaudry in drugi, 2016).

Oxfordski slovar definira phishing kot zlonamerno prakso pošiljanja e-sporočil, pri čemer se pošiljatelj predstavlja kot eno izmed znanih podjetij z namenom prepričevanja prejemnika, da ta pošiljatelju razkrije svoje osebne podatke, kot so na primer uporabniško ime, geslo in / ali številka kreditne kartice (Jansson in Von Solms, 2013).

3.1 Opredelitev

Raziskovalci phishing opisujejo kot tip kibernetskega kriminala, pri katerem je cilj pretentati žrtev v razkritje svojih osebnih ali finančnih informacij oziroma v prenos finančnih sredstev neposredno phisherjem. Pri tem je phishing napad navadno izveden preko e-sporočila, ki vsebuje povezavo na zavajajočo spletno stran. Spletna stran sicer izgleda legitimna, vendar z njo v resnici upravlja phisher (Chaudry in drugi, 2016). Phishing pa v današnjem času ni omejen le na e-pošto, temveč je lahko izveden preko SMS sporočil, takojšnjih sporočil, družbenih omrežij in celo prekoiger za več igralcev. Nekateri opredeljujejo phishing kot zločin socialnega inženiringa, saj je v nekaterih primerih zelo semantičen, njegov cilj pa je kraja identitete. Kot so to izpostavili že Chaudry in drugi (2016), je cilj phishinga pridobitev oziroma kraja zaupnih informacij, kot so na primer uporabniška imena, gesla ali pa celo informacije o kreditnih karticah posameznikov. Pri phishingu se to navadno zgodi preko domnevno legitimnega vabila s strani phisherja, ki posameznika poziva h kliku na povezavo znotraj e-sporočila. Phisher pred tem ustvari lažno spletno stran, ki na prvi pogled daje vtis legitimne spletne strani (Arachchilage in Love, 2014). Tekom časa so se lažna sporočila in lažne spletne strani vedno bolj razvijale (in razvile) v tehnično bolj zahtevne primere, ki od raziskovalcev zahtevajo več kot le hitro in rutinirano preiskavo (Miletary, 2005).

(13)

13

Aleroud in Zhou (2017) še malo bolj podrobno opišeta bančne primere phishinga, pri katerih se ponavadi phisher »zamaskira« v ali spletno banko ali katerokoli drugo spletno stran, preko katere potekajo transakcije, kot na primer PayPal. Phishing napad se torej izvede v več korakih:

1) najprej mora phisher prevzeti vlogo legitimne osebe ali identitete, 2) prevzemanje identitete mora vključevati tudi navidezno legitimno spletno stran prevzete legitimne osebe ali identitete, hkrati pa mora biti phishing sporočilo takšno, da se razlikuje od že izvedenih, in 3) phisher mora zavoljo legitimnosti podati vsaj nekaj informacij, ki bi nakazovale, da je sporočilo poslala legitimna oseba ali identiteta. Vse bolj pa se v phishing sporočilih kažejo tudi pristopi socialnega inženiringa. Ti na primer vključujejo izpolnitev kratke ankete za spletno banko z denarno nagrado, če izpolnjevalec vpiše tudi svoje osebne podatke, ali e-sporočila, katerih pošiljatelji naj bi bili ponudniki hotelskih storitev, ki sprašujejo po potrditvenih podatkih o kreditni karticah, in podobno (Miletary, 2005).

Phishing je postal velik problem za vse uporabnike interneta in internetnih storitev, ker mu je težko slediti in se obraniti pred njim. Phishing se ne predstavlja nujno kot očitno zlonameren, temveč se to lahko izkaže šele kasneje. V današnjem svetu si delovanja brez interneta pač ne predstavljamo in ravno zato, ker se vse informacije zdaj prenašajo nanj, je njihova varnost še toliko bolj ogrožena. Phishing je v zgodbi razvoja internetnih tehnologij eno izmed najstarejših in hkrati najbolj enostavnih orodij za krajo osebnih podatkov.

Kot je bilo omenjeno že prej, je phishing postal zelo kompleksno orodje, ki zato predstavlja še večjo nevarnost ingrožnjo vsakemu uporabniku interneta. Ko phisherji zberejo majhno količino informacij o žrtvi, so v tistem trenutku zmožni ustvariti personalizirano in zelo prepričljivo e- sporočilo (Kumar in Vayansky, 2018). Tudi phisherjev samih ne gre podcenjevati, saj bodo, če sledimo trendom ostalih kibernetskih napadov, v prihodnje phishing napadi čedalje bolj sofisticirani in bodo vsebovali vedno več elementov, ki bodo pripomogli k njihovi uspešnosti in hkrati predstavljali večjo nevarnost družbi.

Jagatic in drugi (2007) ponudijo primer, ko je phisher zmožen izvesti motnjo storitve na enem od pogosto uporabljenih sredstev uporabnika, na primer z zaklepom uporabnikovega računa zaradi večkratnih napak pri preverjanju pristnosti. V tem primeru bi lahko phisher uporabnika obvestil, da je uporabnik žrtev varnostne grožnje. Uporabnik bi to sporočilo pričakoval in bi bil tako spodbujen k razkritju osebnih podatkov. V drugem primeru phishinga pa bi lahko phisher pridobil zaupanje svojih žrtev s pridobitvijo podatkov njihove licitacijske zgodovine ali

(14)

14

nakupovalnih preferenc (ki so prosto dostopne na eBay-u) ali njihovih bank (ki so dostopne preko uporabnikove zgodovine brskanja).

Glede na to da phisherji izkoriščajo tako tehnične kot tudi družbene ranljivosti, obstaja vrsta različnih načinov, kako pridobiti dovolj informacij o želenih žrtvah. Eden izmed teh načinov je tudi pridobivanje prosto dostopnih informacij preko družbenih omrežij. Ideja uporabe žrtvinih družbenih kontaktov za namen povečanja uspešnosti napada je zelo podobna načinu širjenja

»ILOVEYOU« virusa. Ta je namreč izkoriščal žrtvine imenike, da se je širil naprej.

Za rudarjenje po informacijah o uporabnikovih odnosih in skupnih interesih se phisher lahko obrne na eno izmed rastočih družbenih omrežij, na primer Facebook, Twitter ali LinkedIn. Vsa ta družbena omrežja nudijo krog poznanstev, ki jih phisherji zlahka izrabijo za pridobitev velike količine zanesljivih informacij. Dejstvo, da imajo družbena omrežja zapisane pogoje uporabe, ki ne dovoljujejo izrabe deljenih informacij s strani uporabnikov za namen distribuiranja neželenih sporočil, phisherjev ne zanima. Obstajajo pa tudi bolj dostopni viri, ki jih uporabljajo blogerske skupnosti, ki nudijo strojno berljivo semantično specifikacijo spletnega formata, ki opisuje povezave med ljudmi (Jagatic in drugi, 2007).

Prav tako phisherjev ni mogoče tako hitro (ali sploh) uloviti, saj se skrivajo za številom zastopniških (angl. »proxy«) strežnikov. Proxy strežniki so strežniki, katere phisher izrablja, da se predstavlja v njihovem imenu. Proxy strežnike phisherji izrabljajo za distribucijo svojih zlonamernih e-sporočil, in s tem ohranjajo svojo anonimnost. Ena izmed tehnik izmikanja, ki jo uporabljajo tudi phisherji, se imenuje tehnika hitrega pretoka (angl. »fast flux«). Le-ta izkorišča prostor proxy strežnikov in url naslovov, ki zakrivajo pravo lokacijo phishing spletne strani. Z uporabo te tehnike je oteženo označevanje spletne strani in strežnika, ki se uporablja za izvajanje phishing napadov. Obstaja pa tudi možnost povezovanja med phisherji. Na primer eden izmed njih je zelo dober pri kreiranju lažnih spletnih strani in bi ustvaril komplet orodij (angl. »toolkit«), ki bi ga lahko uporabili tudi drugi, vendar bi za uporabo orodja od drugih zahteval, da mu hkrati posredujejo tudi ukradene podatke. To bi pomenilo, da je ustvarjalec orodja predal svoje orodje neizkušenim phisherjem, ki bi bili v primeru odkritja odgovorni za izveden napad, ustvarjalec orodja pa bi pridobil vse ukradene informacije in ostal skrit (Kumar in Vayansky, 2018).

(15)

15 3.2 Socialni inženiring

Prepričevanje posameznikov v deljenje njihovih zasebnih informacij in izraba le-teh v zlonameren namen ni nič novega. Napadi preko socialnega inženiringa so se dogajali preko interneta ves čas tekom njegovega obstoja. Še pred izumom interneta pa so se nepridipravi preko telefona izdajali za verodostojne osebe različnih institucij, da so pridobili osebne podatke nič hudega slutečih posameznikov. Pojem phishing ima sicer zametke v polovici 90-ih let, ko je bil uporabljen za razlago pridobivanja informacij od uporabnikov internetnih storitev. Do danes se je phishing precej spremenil, saj vključuje vrsto različnih orodij, s katerimi phisherji prežijo na posameznikove zasebne informacije. Eno izmed teh orodij je prav gotovo tudi socialni inženiring (Miletary, 2005).

Socialni inženiring se nanaša na psihološko manipulacijo ljudi z namenom razkrivanja informacij ali izvajanja želenega dejanja. Eden izmed načinov manipulacije je na primer družbeni dokaz (angl. »social proof«), ki pomeni prepričevanje posameznika v neko dejanje, katerega naj bi izvedli oziroma izvajali tudi ostali. V kontekstu phishinga so takšna e-sporočila, v katerihje zapisano, da so bila ta dejanja že izvedena s strani sodelavcev ali prijateljev, še bolj prepričljiva. Naslednji način manipulacije je ustvarjanje videza omejenosti ali pomanjkanja (angl. »scarcity«). To na primeru pomeni, da so ljudem bolj mamljiva sporočila, v katerih je predstavljena časovno omejena ponudba. Še en način manipulacije pa se nanaša na avtoriteto, kar pomeni, da so ljudje bolj nagnjeni k izvajanju nekaterih dejanj, če so navodila navidezno prišla s strani priznane avtoritete. V phishing primeru bi to pomenilo, da je e-sporočilo bolj učinkovito, če je domnevno poslano s strani direktorja, kot pa če bi bilo poslano s strani manj pomembne osebe. Butavicius in drugi (2015) na podlagi pol leta trajajoče ankete, ki je bila izvedena leta 2013, ugotavljajo, da sta bili avtoriteta in videz omejenosti najbolj prepričljiva načina manipulacije pri tehniki socialnega inženiringa, pri kateri so v napadih nepridipravi želeli pridobiti informacije uporabniških računov.

V phishing napadih preko e-pošte phisherji torej uporabljajo različne tehnike socialnega inženiringa in poosebljajo domnevne avtoritativne osebe z namenom kraje osebnih podatkov in / ali gesel posameznikov, ki jih nadalje uporabijo v zlonamerne namene. Socialni inženiring se močno zanaša na človeško interakcijo in pogosto vključuje psihološke trike, s katerimi nepridipravi poskušajo prepričati posameznike v dejanja, ki jih ti drugače ne bi nikoli naredili.

Z izkoriščanjem človekovega omejenega znanja o varnosti phisherji zavajajo spletne uporabnike, da jim le-ti razkrijejo svoje občutljive informacije, ali pa jih prepričajo v prenos

(16)

16

sumljivih (in ponavadi zlonamernih) vsebin na njihove elektronske naprave (Aleroud in Zhou, 2017).

Nepridipravi torej ciljajo na pridobitev uporabnikovih informacij, iz katerih nato profitirajo, sploh zaradi povečane uporabe spletnih storitev za vsakodnevne aktivnosti, naj bo to bančništvo, nakupovanje ali prostočasna dejavnost. Vsi uporabniki teh storitev so potencialna tarča, saj morebiti posedujejo dragocene informacije. S povečanjem števila potencialnih tarč nepridipravi lažje najdejo posameznika, ki ga uspejo prepričati z izkoriščanjem njegovega nezavedanja potencialne grožnje in nezavedanja organizacijske politike. Če se uporabniki ne zavedajo potencialne grožnje, jim manjka neka mera perspektive, ki je potrebna za prepoznavanje znakov bodisi socialnega inženiringa bodisi phishinga, enako pa velja za tiste, ki se ne zavedajo organizacijskih politik. Nepridipravi tako prežijo na tiste, ki niso posebej seznanjeni s procedurami, ki se tičejo na primer vzdrževanja računa ali preiskovanja goljufije (Miletary, 2005).

3.3 Spear-phishing

Phishing napadi uporabljajo vrsto različnih tehnik, med drugim recimo tudi zgoraj omenjeni socialni inženiring. Hkrati pa se lahko tudi iz phishinga razvejajo različne tehnike in ena izmed teh tehnik je spear-phishing. Phishing večina strokovnjakov za kibernetsko varnost smatra kot enega izmed boljših načinov Nigerijske prevare ali goljufije s predplačilom, medtem ko jespear- phishing bolj sofisticirana oblika le-te (Kwak in drugi, 2020).

Spear-phishing se od phishinga razlikuje predvsem v tem, da targetira specifično skupino ljudi ali oddelek v podjetju, ki se mu nato pošlje specializirano e-sporočilo. Phisher ponavadi spear- phishing sporočilo pošilja z navidezno legitimnega e-poštnega naslova. Takšna sporočila lahko, prav tako kot pri phishingu, vsebujejo zlonamerne spletne povezave, ki vodijo na lažne spletne strani znanih podjetij, ali pa vsebujejo zlonamerno programsko opremo, ki jo želijo phisherji z manipulacijo prejemnika naložiti na žrtvino elektronsko napravo. Zlonamerna programska oprema v primerih phishinga in spear-phishinga seveda variira. Primer je morda zlonamerna programska oprema, preko katere phisher pridobi oddaljeni dostop do posameznikove elektronske naprave. Lahko gre tudi za programsko opremo, ki beleži udarce na tipkovnici oziroma »keylogger«. Vse to phisherjem omogoča dostop do posameznikovih elektronskim naprav, in z vidika podjetja to lahko pomeni prost dostop do omrežja posameznega podjetja.

(17)

17

Parmar (2012) izpostavi primer, kako težko je pravzaprav spear-phishing izsledljiv in kako preprosto phisher lahko uspe. Zgodba izvira iz podjetja Google. Znotraj podjetja Google si je phisher izbral posameznika, za katerega je ocenil, da ima dostop do informacij, ki jih je phisher smatral kot izredno vredne. Phisher je opazoval posameznikove spletne dejavnosti in zbral osebne podatke preko spletnih družbenih omrežij v nekaj mesečnem časovnem obdobju. Nato je preko računa posameznikovega prijatelja na spletnem družbenem omrežju, ki ga je pridobil preko zlonamerne programske opreme, poslal posamezniku sporočilo z zlonamerno povezavo, s katero je posameznik okužil svojo elektronsko napravo. Posameznik je neveden kliknil na povezavo, saj je verjel, da je legitimna ravno zaradi tega, ker je prišla s strani njegovega prijatelja. Bolj odmevni primeri spear-phishinga vključujejo tudi napad na Sony Pictures Entertainment in na Demokratični nacionalni odbor, ki je pokopal predsedniško kampanjo Hillary Clinton leta 2016 (Kwak in drugi, 2020).

Ker lahko phisherji za targetirane napade ustvarijo bolj osebno in prepričljivo e-sporočilo, ni nič čudnega, da spear-phishing napadi beležijo višjo stopnjo uspešnosti kot phishing. Parmar (2012) izpostavlja statistike iz leta 2011 in 2012, ki kažejo, da so spear-phishing napadi v 19%

učinkoviti, medtem ko so navadni phishing napadi v povprečju uspešni v 5%. Še manj uspešna od teh pa so navadna spam sporočila, ki so uspešna zgolj v 1%. Spear-phishing je tako tip kibernetskega kriminala, ki je v porastu. In najbolj očiten razlog za njegov vzpon je ta, da ponuja veliko večjo finančno korist v primerjavi z navadnim phishingom. Čeprav spear-phishing terja veliko več časa za izvedbo napada, je bolj zapleten in je zaradi tega tudi dražji za phisherja, očitno vse to odtehta v velikosti »nagrade«. Spear-phishing kampanja naj bi bila v povprečju vsaj petkrat dražja v primerjavi z navadno phishing kampanjo, izkupiček pa je lahko tudi do desetkrat večji, morda celo več (Parmar, 2012).

Spear-phishing se uporablja tudi pri targetiranju oseb na visokih položajih, kot na primer oseb na direktorskih položajih v uspešnih podjetjih ali vladnih uradnikov. Ponavadi si phisherji takšne tarče izberejo zaradi njihovega dostopa do občutljivejših informacij, saj ti uporabniki razpolagajo s privilegiranimi uporabniškimi računi. Takšen tip napada spear-phishinga se imenuje tudi »whaling« (Butavicius in drugi, 2015, Chaudry in drugi, 2016).

Spear-phishing napadi so bili in so še vedno resen problem v današnji družbi, saj so velikokrat vir varnostnih vdorov. Kot je že bilo izpostavljeno, ti napadi posameznikom predstavljajo večjo grožnjo kot navadni phishing napadi, saj uporabljajo osebne informacije za prepričevanje njihovih ciljnih prejemnikov. Izraba osebnih informacij pripomore k večji verjetnosti, da bo

(18)

18

prejemnik storil želeno dejanje. Te napade je tudi težko izslediti, zato predstavljajo grožnjo vsem internetnim uporabnikom (Halevi in drugi, 2015). Vseeno pa se je treba zavedati, da so spear-phishing napadi le bolj sofisticirana oblika phishing napadov, kar pomeni, da sporočila obeh vsebujejo enaka polja oziroma točke, pri katerih mora biti posameznik previden, da lahko loči legitimno sporočilo od zlonamernega (Wang in drugi, 2012).

3.4 Phishing v organizacijah

Organizacije so vedno bolj na udaru s strani phisherjev, ki se poskušajo vtihotapiti v njihove računalniške sisteme z izkoriščanjem vedenjskih navad posameznikov. Williams in drugi (2018) v luči vdorov v podatkovne baze organizacij izpostavljajo statistiko Cyber Incident Report iz leta 2016, ki nakazuje, da je v letu 2015 več kot 2000 organizacij izkusilo vdor v njihovo bazo podatkov. Izmed vseh teh organizacij je največ vdorov zabeležil finančni sektor s kar 795 vdori. Iz poročila je tudi razvidno, da približno eden od desetih zaposlenih v organizaciji klikne na sumljivo povezavo ali odpre priponko v phishing sporočilu.

Eden izmed načinov, ki se ga poslužujejo v organizacijah za povečanje zavedanja med zaposlenimi glede phishing in spear-phishing prevar, je simuliran phishing test. Pri simuliranem phishing testu organizacija pošlje phishing sporočilo, katerega ciljna skupina so vsi zaposleni v organizaciji. Namen tega testa je opazovati, koliko zaposlenih in kateri zaposleni kliknejo na phishing spletno povezavo oziroma odprejo priponko znotraj phishing sporočila. Izbira vsebine priponke ali povezave je odvisna od želja organizacije. V phishing sporočilih, pa naj bodo testna ali dejanska phishing sporočila, ima pošiljatelj namreč na voljo več različnih pristopov, s katerimi poskuša prepričati prejemnika v klik na povezavo ali odprtje priponke, priložene v sporočilu. Pristopi prepričevanja vključujejo avtoriteto, nujnost, recipročnost, družbeni dokaz, nagrado, izgubo ali omejenost. Pri avtoritativnem pristopu se pošiljatelj predstavlja kot avtoritativna oseba ali institucija in želi s tem prepričati prejemnika v določeno dejanje, pri pristopu nujnosti pošiljatelj poskuša prepričati prejemnika, da ima le-ta na voljo le omejen čas za odgovor, pri pristopu recipročnosti pošiljatelj poskuša prepričati prejemnika, da le-temu ponuja uslugo, pri pristopu družbenega dokaza poskuša pošiljatelj prejemnika prepričati, da so se na sporočilo drugi že odzvali, pri pristopu nagrade pošiljatelj poskuša prepričati prejemnika, da mu bo pošiljatelj poslal nagrado, če le-ta stori, kar ga pošiljatelj prosi, pri pristopu izgube pošiljatelj poskuša prepričati prejemnika, da bo le-ta imel neke vrste izgubo, v kolikor ne stori

(19)

19

željenega dejanja, pri pristopu omejenosti pa pošiljatelj poskuša prepričati prejemnika, da mu je bila poslana priložnost oziroma ponudba, ki je na voljo le kratek čas.

Kadar so phishing napadi uspešni, je lahko organizacijam povzročena precejšnja škoda.

Organizacija lahko utrpi izgubo ugleda, monetarno škodo, izgubo intelektualne lastnine, izgubo občutljivih informacij in popačenje kritičnih informacij. Ravno to tveganje potencialne škode je privedlo do razvoja izobraževalnih anti-phishing iger, formalnih simulacijskih phishing testov in različnih iniciativ oblikovanja vmesnikov z namenom, da se poveča zavedanje zaposlenih o potencialnih nevarnostih, s katerimi so lahko dnevno v stiku, ter da se jih izobrazi, kako ravnati v primeru prepoznave phishing sporočil in celo kako zmanjšati potencialno nastalo škodo (Butavicius in drugi, 2015, Williams in drugi, 2018).

Navkljub povečani usmerjenosti v izobraževanje in usposabljanje ter ozaveščanje tako zaposlenih kot tudi vseh uporabnikov interneta, poročilo PhishMe iz leta 2016 (Williams in drugi, 2018) vseeno kaže, da so zaposleni še vedno zelo ranljivi pred phishing napadi.

Ugotavlja, da je od vseh posameznikov, ki so enkrat že nasedli phishing prevari, med njimi 67% takih, ki so oziroma bodo ponovno nasedli drugi phishing prevari.

Zaradi nenehne ranljivosti številnih organizacij zaradi phishing napadov je britanski Nacionalni center za kibernetsko varnost izdal posebna navodila za organizacije, kako naj se branijo pred phishing napadi.

Zaradi pandemije virusa SARS_CoV-2 pa se dogaja tudi tehnološki premik delovnega okolja v domače okolje. Zaradi razširjenosti internetne tehnologije lahko zaposleni prosto delajo doma ali domov prinesejo nedokončano delo iz službe. To pa povečuje možnost odprtja zadnjih vrat (angl. »backdoor«) v sistem organizacije. Za razliko od zaposlenih v organizacijah, zaposleni, ki svoje delo opravljajo v domačem okolju, bodisi nimajo primerne informacijske infrastrukture bodisi nimajo implementirane stroge informacijske varnostne politike, ki bi jih varovala pred kibernetskimi grožnjami. Posamezniki v večini niso strokovnjaki na področju informacijske varnosti in nimajo dovolj visokega nivoja računalniške pismenosti, da bi sami sebi postavili varni računalniški sistem. Nadaljnji primeri posameznikovega pomanjkanja varnostne ozaveščenosti pa vključujejo tudi brskanje po nevarnih spletnih straneh, prenos sumljive programske opreme, deljenje gesel med družinskimi člani in sovrstniki ter uporaba nezaščitenega domačega omrežja (Arachchilage in Love, 2014).

(20)

20

Williams in drugi (2018) še posebej izpostavijo tudi ranljivost zaposlenih v organizacijah zaradi organizacijske hierarhije. V organizacijah je navadno čas za izvedbo zadeve zelo pomemben in, kadar je zadeva nujna, so prejemniki phishing in spear-phishing sporočil še posebej dovzetni za sporočila, ki vsebujejo pristop avtoritete ali nujnosti.

(21)

21 4 Razlogi za uspešen phishing napad

Kaj torej naredi lažno spletno stran legitimno oziroma kredibilno? To vprašanje se je večkrat pojavilo in bilo predmet raziskav raziskovalcev, ki preučujejo interakcijo med človekom in računalnikom. Vprašanje zastavlja dodatna vprašanja tudi razvijalcem uporabniških vmesnikov, saj phisherji in anti-phisherji svoje bitke bijejo ravno v prostoru uporabniškega vmesnika. Uspešni phisherji ne morejo svojim potencialnim žrtvam predstaviti možno legitimne spletne strani, temveč jih morajo prepričati, da gre resnično za legitimno spletno stran, tako da njihove žrtve ne prepoznajo varnostnih mehanizmov, ki so nameščeni v spletnih brskalnikih.

Dhamija in drugi (2006) se sklicujejo na podatke iz leta 2003, ki nakazujejo, da so phishing napadi uspešno prepričali 5% žrtev, da so posredovale svoje občutljive informacije na lažne spletne strani. Od tega je 2 milijona posameznikov, ki so posredovali informacije lažnim spletnim stranem, bankam in izdajateljem debetnih in kreditnih kartic povzročilo neposredne izgube v vrednosti 1,2 milijarde ameriških dolarjev.

Da bi spletni brskalniki, spletne strani in druga orodja učinkovito ščitili uporabnike pred phishing napadi, je treba razumeti, kakšne napadalne strategije so uspešne in kolikšen del internetnih uporabnikov le-te uspešno zavedejo. Dhamija in drugi (2006) za povečan uspeh phishing napadov krivijo pomanjkanje znanja, nepozornost na vizualne prevare in omejeno pozornost uporabnikov internetnih storitev.

4.1 Pomanjkanje znanja

Razlog pomanjkanja znanja se deli na dva dela. Prvi del predstavlja pomanjkanje znanja glede računalniškega sistema, drugi pa pomanjkanje znanja glede varnostnih kazalnikov oziroma pomanjkanje znanja o informacijski varnosti nasploh. Pri pomanjkanju znanja glede računalniškega sistema nekateri posamezniki ne vedo oziroma ne razumejo, kako operacijski sistemi, aplikacije, e-pošta in internet delujejo in kako jih med seboj razlikovati. Nekateri uporabniki na primer ne poznajo pomena sintakse domenskih imen in tako ne znajo ločiti legitimne spletne povezave od lažne ali pa na primer pri zaglavju e-pošte nimajo znanja in / ali veščin, da bi razlikovali med legitimnim in lažnim pošiljateljem.

(22)

22

Mnogi posamezniki tudi ne razumejo ali ne prepoznajo varnostnih kazalnikov. Primer tega je ikona zaklenjene ključavnice v internetnih brskalnikih poleg url naslova. Ikona zaklenjene ključavnice nakazuje na varen komunikacijski kanal med brskalnikom in strežnikom, na katerem gostuje spletna stran. Ta ikona nakazuje tudi na to, da je povezava na spletno stran zakriptirana z uporabo https enkripcije in ima SSL/TLS (angl. »Secure Socket Layer«,

»Transport Layer Security«) certifikat. Pri ikoni zaklenjene ključavnice se je treba zavedati, da ta kazalnik ni vedno dovolj za ločevanje med legitimno in lažno spletno stranjo, saj so tudi zlonamerne spletne strani lahko zakriptirane s https enkripcijo. V tem primeru ikona zaklenjene ključavnice pomeni, da je posameznik le »varno« povezan na ciljno spletno stran.

Phisherji prav tako lahko izrabijo posameznikovo nerazumevanje postopka preverjanja SSL certifikatov. Mnogi posamezniki ne znajo preveriti SSL certifikatov v spletnih brskalnikih in ne razumejo informacij, ki se nahajajo v SSL certifikatu. V enem izmed primerov sporočil s ponarejenim e-naslovom pošiljatelja (angl. »spoofing«) lažna spletna stran prikazuje pečat izdajatelja certifikata, ki ob kliku nanj preusmeri posameznika na spletno stran izdajatelja certifikata.

4.2 Vizualna prevara

Phisherji uporabljajo vizualne trike, ki na prvi pogled pri lažni spletni strani dajejo vtis , kot da je le-ta legitimna. Uporabljajo enak tekst, kot ga uporabljajo podjetja ali spletne storitve, ter enake slike, logotipe in okna za prikaz sporočil ali obvestil. Celo posamezniki z ustreznim znanjem glede varnostnih kazalnikov lahko podležejo tovrstnim prevaram.

Eden izmed tovrstnih trikov je vizualno zavajajoč tekst. Posameznike tako lahko zavede sintaksa imena domene, kjer zadošča že ena spregledana črka. Primer je recimo www.paypai.com ali pa www.paypa1.com, kjer so znaki podobni mali tiskani črki »l«.

Drugi trik je maskiranje spletnih povezav, pri katerem phisherji spletno povezavo, ki vodi na njihovo phishing spletno stran, zakrijejo v sliko. Slika (na primer navidezno legitimen logotip) v e-sporočilu tako deluje kot hiperpovezava na lažno spletno stran.

Tretji trik je maskiranje oken. Phisherji v vsebini spletne strani uporabljajo slike, ki posnemajo okna brskalnika ali pogovorna okna. Ker slika izgleda identična pogovornemu oknu, je lahko posameznik zaveden, razen če poskusi premakniti ali povečati/pomanjšati sliko.

(23)

23

Četrti trik je postavitev lažnih oken, ki zakrivajo legitimna okna. Pogosta phishing tehnika je postavitev lažnih brskalniških oken pred ali poleg legitimnih oken. Če okna izgledajo podobna legitimnim oknom v ozadju, posameznik morda privzame v ospredje postavljeno okno kot legitimno. V najslabšem primeru pa posameznik morda niti ne opazi drugega okna. Brskalniki, ki omogočajo pojavna okna brez robov, to phishing tehniko naredijo še bolj uspešno.

Peti trik je zavajajoč videz in občutek (angl. »look and feel«). Kadar so slike in logotipi perfektno kopirani, posamezniku ne preostane drugega, kot da je pozoren na druge znake potencialne prevare, kot so na primer tipkarske napake ali drugi znaki neprofesionalnega komuniciranja med podjetjem in stranko. Kadar phishing spletna stran zelo dobro kopira legitimno spletno stran, je včasih edini znak, na katerega je lahko posameznik pozoren, količina in tip informacij, ki jih spletna stran od posameznika zahteva.

4.3 Omejena pozornost

Tudi če imajo posamezniki vse ustrezno znanje in znajo opaziti znake vizualne prevare, so še vedno lahko zavedeni, če ne opazijo varnostnih kazalnikov ali njihove odsotnosti.

Varnost je ponavadi za posameznike sekundarni cilj. Kadar so posamezniki osredotočeni na svoje primarne aktivnosti, se lahko zgodi, da ne opazijo varnostnih kazalnikov ali ne preberejo varnostnih opozoril. Pozornost posameznika na razliko med url naslovom, ki se prikaže v spletnem brskalniku, in povezavo znotraj e-sporočila bi lahko preprečila marsikateri poskus phishinga, vendar to od posameznika zahteva visok nivo pozornosti. Podobno je z ikono zaklenjene ključavnice, saj nekateri posamezniki le preletijo spletno stran in poiščejo ikono, niso pa na primer pozorni na njeno pozicijo ter so tako zavedeni, da gre za legitimno spletno stran.

Prav tako posamezniki marsikdaj ne opazijo, da varnostni kazalniki manjkajo. Primer tega je odsotnost ikone z zaklenjeno ključavnico, kar nakazuje na spletno stran z nezaščiteno komunikacijo, torej brez SSL enkripcije. Posamezniki niso vedno pozorni na tovrstne varnostne kazalnike, hkrati pa je za phisherje tudi izvedljivo, da vstavijo lažno sliko varnostnega kazalnika na mesto, na katerem le-ta sploh ne bi smel biti.

(24)

24 5 Različice phishing napadov

Pri klon phishingu se uporablja že poslano legitimno e-sporočilo za kloniranje zlonamernega e- sporočila. Zlonamerno e-sporočilo ponavadi vsebuje povezavo na phisherjevo spletno stran.

Povezave v takšnih sporočilih so ponavadi prikrite z zamenjanimi znaki (namesto velike tiskane črke O se pojavi številka 0).

Phishing, osnovan na zlonamerni programski opremi (angl. »malware«), se nanaša na napad, katerega cilj je inštalacija in zagon zlonamerne programske opreme na žrtvini elektronski napravi. Navadno je zlonamerna programska oprema v e-sporočilih priložena v obliki priponke, ki jo je možno prenesti na elektronsko napravo. Najbolj pogosta zlonamerna programska oprema v phishing napadih vključuje program zajema udarcev po tipkovnici (angl. »key logger«) in program zajema slike zaslona (angl. »screen grabber«). V esenci gre za vohunsko programsko opremo ali »spyware«. Namen tovrstnih phishing napadov je pridobitev nadzora nad žrtvino elektronsko napravo. Okužena elektronska naprava lahko služi za izvajanje nadaljnjih phishing napadov, sploh nad znanci žrtve.

Zlonamerna programska oprema se lahko uporablja tudi v ugrabitvah seje, kjer phisher spremlja posameznikova spletna dejanja, dokler posameznik ne vzpostavi prijave v določen uporabniški račun. Ko se prijava vzpostavi, se zažene zlonamerna programska oprema, ki izvaja nepooblaščene akcije, na primer prenos denarnih sredstev, brez vednosti posameznika.

Phishing napadi pogosto usmerijo posameznike k spletnim trojancem ali kloniranim spletnim stranem, ki delujejo takrat, kadar se posameznik poskuša povezati na njih. Ti trojanci so sposobni prestrezanja posameznikovih poverilnic, ki jih nato posredujejo phisherju. Spletne strani ponavadi vključujejo kopiran grafični prikaz, prav tako pa pogosto vsebujejo tudi ikono zaklenjene ključavnice (varna SSL enkripcija) ter storitve preverjanja (na primer povezavo na spletno stran legitimne uporabe).

Pri phishingu spletnih brskalnikov phisherji ustvarijo lažno spletno stran in jo indeksirajo s spletnimi brskalniki. Iskanje preko spletnih brskalnikov tako nič hudega sluteče posameznike vodi na lažne spletne strani, na katerih le-ti morebiti vpišejo svoje osebne informacije v prepričanju, da dostopajo do legitimne spletne strani. Na voljo obstajajo tudi kompleti za optimizacijo spletnih brskalnikov, ki lahko hitro omogočijo, da se lažno spletno mesto pojavi na vrhu iskalnih zadetkov na spletnih brskalnikih. Glede na časovni zamik med ustvarjanjem

(25)

25

spletnega mesta in dostopom do njega se ta tehnika običajno uporablja za usmerjanje uporabnikov z enega zlonamernega spletnega mesta na drugega.

Obstajajo tudi še drugi napadi, ki so usmerjeni bolj proti posameznikovim elektronskim napravam ali njegovi internetni povezavi kot pa proti posamezniku samem. Ti napadi vključujejo sistemske ponastavitve in pharming. Zaradi striktno tehnološkega vidika, ki ne vsebuje socialnega inženiringa, pa je vprašanje, ali se lahko takšne napade sploh uvrsti med phishing (Chaudry in drugi, 2016).

(26)

26 6 Orodja phisherjev

Phishing prevare so bile v zadnjih letih zelo uspešne zaradi ugodnih tehnoloških in ekonomskih pogojev. Tehnična sredstva, ki so potrebna za izvedbo phishing napadov, so lahko dostopna preko javnih ali zasebnih virov. Nekatera tehnična sredstva so bila tudi poenostavljena in avtomatizirana, kar omogoča izvedbo phishing napadov tudi ne-tehničnim tipom phisherjev.

Zaradi tega je phishing tako ekonomsko kot tudi tehnično izvedljiv in dostopen večji populaciji manj izkušenih in sofisticiranih phisherjev (Miletary, 2005).

Včasih je bilo ustvarjanje phishing sporočil in lažnih phishing spletnih strani dolgotrajno delo, danes pa si lahko tako izkušeni kot tudi neizkušeni phisherji pomagajo z različnimi zbirkami orodij (angl. »toolkits«). Dandanes je phishing postal prava industrija, saj so zbirke orodij na voljo tako v brezplačnih oblikah kot tudi proti plačilu. Poleg trga zbirk orodij obstaja tudi trg vseh podatkov, ki so bili pridobljeni preko različnih phishing kampanj in vdorov tako v pravne kot tudi v fizične osebe (Chaudry in drugi, 2016).

Miletary (2005) opaža, da phisherji v svoji »orožarni« največkrat operirajo z boti, phishing kompleti in tehnološkimi prevarami. Ob tem pa ne izključuje tudi ugrabitve sej, zlorabe domenskih imenskih strežnikov (DNS) in specializirane zlonamerne programske opreme.

6.1 Boti

Boti so programi, ki so nameščeni na elektronski napravi in zagotavljajo phisherju dostop na daljavo preko različnih protokolov, kot so internetni klepet IRC (angl. »internet relay chat«), http, takojšnje sporočanje ali soležnik-do-soležnik (angl. »peer-to-peer«) (P2P). Kadar se uporablja več kot enega bota za upravljanje na daljavo, se to imenuje mreža botov (angl.

»botnet«). Boti svojemu nadzorniku nudijo funkcije, s katerimi lahko le-ta izvaja različne škodljive akcije, kot so izraba okužene elektronske naprave za pošiljanje spam in phishing e- sporočil ali zlonamernih povezav, posodobitve za obstoječo zlonamerno programsko opremo, nastavitev dodatne zlonamerne programske opreme, izvedba motnje delovanja storitve (angl.

»distributed denial of service«) (DDoS), izraba botov za proxy storitve, okoriščanje s »plačaj na klik« (angl. »pay-per-click«) storitvami, skeniranje ranljivosti in izkoriščanje le-teh, ter spremljanje in opazovanje okužene elektronske naprave.

(27)

27

Poleg okužbe elektronskih naprav preko vdelanih sposobnosti skeniranja in izkoriščanja ranljivosti so lahko boti nameščeni tudi preko prevar socialnega inženiringa. Te navadno vključujejo množično pošiljanje e-pošte, storitve oziroma programe z možnostjo deljenja datotek in omrežja takojšnjega sporočanja (Fette in drugi, 2006).

6.2 Phishing kompleti

Pojav phishing kompletov nakazuje na to, da je phishing postal čedalje bolj sofisticiran in organiziran tip kriminala. En kazalnik organiziranosti je nedvomno razvoj kompletov, ki vsebujejo vnaprej generirane HTML (ali katerekoli druge) strani in e-poštne naslove bolj znanih bank in ponudnikov storitev, skripte za obdelavo vnesenih nizov, sezname poštnih in proxy strežnikov ter celo storitve gostovanja, ki se uporabljajo za postavitev phishing spletnih strani.

Takšni ponudniki storitev gostovanja se pogosto oglašujejo kot zelo zanesljivi, pa čeprav pri njih phisherji že mnoga leta koristijo njihove storitve. Phishing kompleti so bili včasih večinoma na voljo na črnih trgih na temnem spletu, seveda za določeno ceno. Sčasoma pa so se začeli pojavljati tudi brezplačni kompleti, ki so na voljo vsakomur. Phishing kompleti tako predstavljajo nizko vstopno oviro v svet kibernetskega kriminala in znižujejo nivo tehničnega znanja, ki ga potrebuje posameznik za izvedbo phishing prevare (Fette in drugi, 2006).

6.3 Tehnološka prevara - osnovno prikrivanje url povezav

Zaradi čedalje višjega nivoja zavedanja, znanja in prepoznavanja phishing prevar so phisherji prisiljeni izpopolnjevati svoje tehnike prepričevanja in zakrivanja očitnih znakov phishing prevar. S tem namenom se phisherji poslužujejo tehnik prikrivanja url povezav, saj tako povezave izgledajo bolj legitimne. Hkrati pa phisherji tudi iščejo ranljivosti v spletnih brskalnikih ter jih izkoriščajo za prenos zlonamerne programske opreme s sumljivih spletnih strani.

Osnovno prikrivanje url povezav pomeni prepričevanje posameznika, da je prikazana spletna povezava in / ali spletna stran legitimna in zaupanja vredna. Takšna metoda je sicer tehnično preprosta a zelo učinkovita ter se zelo pogosto uporablja v današnjih phishing prevarah (Fette in drugi, 2006).

(28)

28 6.3.1 HTML preusmeritev

Ena izmed najpreprostejših tehnik prikrivanja ciljnih hiperpovezav je uporaba legitimne url povezave s href elementom, ki kaže na zlonamerno spletno stran. V praksi to pomeni, da povezava izgleda legitimna, vendar se ob kliku nanjo zgodi preusmeritev na phishing spletno stran. Prevaro je sicer mogoče opaziti, saj spletni brskalniki prikažejo ciljno povezavo hiperpovezave, ko se posameznik z miško premakne čez povezavo. Prav tako je ta podatek viden v brskalnikovi statusni vrstici. Na primeru HTML phishing e-pošte, pri kateri bi se pošiljatelj predstavljal na primer v imenu PayPay-a, bi bilo to vidno kot <a href="http://www.badsite.com"> http://www.paypal.com</a> (Fette in drugi, 2006).

6.3.2 Uporaba .jpeg slik

Phisherji v svoja phishing sporočila namesto vidne povezave vključujejo tudi slike .jpeg formata. Uporabljene slike v phishing prevarah navadno pripadajo znanim podjetjem ali bankam, za katere se predstavljajo phisherji. Te slike pa ob kliku na njih preusmerijo posameznika na lažno spletno stran podjetja ali banke. Tako kot pri primeru preproste HTML preusmeritve je tudi tukaj mogoče opaziti ciljno povezavo s premikom miške čez sliko (Fette in drugi, 2006).

6.3.3 Uporaba različnih kodirnih shem

Imena gostiteljev in IP naslovov so lahko predstavljena v različnih kodirnih formatih, da so neprepoznavna večini ljudi. Alfa-numerični znaki so na primer lahko spremenjeni v šestnajstiške znake, kar bi na primer pretvorilo spletno stran https://www.test.com v niz 68 74 74 70 73 3a 2f 2f 77 77 77 2e 74 65 73 74 2e 63 6f 6d ali IP naslov 69.172.200.109 v niz 36 39 2e 31 37 32 2e 32 30 30 2e 31 30 39. Spletni brskalniki znajo prebrati nize v obeh oblikah (Fette in drugi, 2006).

6.3.4 Registracija podobnih domenskih imen

Ker posamezniki občasno preverijo naslov spletne strani v naslovni vrstici spletnega brskalnika, se phisherji pogosto poslužujejo tega, da registrirajo podobno domeno spletne strani, kot je domena spletne strani, ki jo uporabljajo v svojih phishing sporočilih. S podobno registrirano

(29)

29

domeno tako poskušajo prelisičiti nič hudega slutečega posameznika, da ob obisku phishing spletne strani verjame, da je obiskal legitimno spletno stran. Najbolj pogoste tovrstne prevare uporabijo enak korenski del ciljne spletne strani kot na primer https://www.nlb.si/ ->

https://www.nlb.online.si/ (Fette in drugi, 2006).

6.3.5 Uporaba »Klikni tukaj« povezav

Čedalje več phishing sporočil zakriva del, ki vodi na phishing spletno stran, v na primer »Klikni tukaj za posodobitev računa« ali v besedilo v podobnih oblikah. Celotno sporočilo mora dajati občutek legitimnosti in navadno se v takšnih sporočilih nahajajo tudi legitimne povezave, ki vodijo na spletno stran politike zasebnosti ali pravne informacije organizacije, za katero se predstavlja phisher (Fette in drugi, 2006).

(30)

30 7 Phishing proces

Aleroud in Zhou (2017) razdelita celoten phishing proces glede na pretok informacij phishing napada v posamezni fazi. Faze vključujejo pripravo napada, pošiljanje zlonamernega payloada preko vektorja širjenja (na primer zavajajoče e-sporočilo), izzivanje posameznikove reakcije, preko katere lahko phisher ukrade njegove občutljive informacije, poziv posamezniku k prostovoljni izdaji njegovih občutljivih informacij, kompromitiranje občutljivih informacij, prenos kompromitiranih občutljivih informacij phisherju, predstavljanje phisherja v posameznikovem imenu in na koncu finančno korist phisherja. Na podlagi podobnosti vseh možnih različic phishing napadov imajo le-ti tri obsežnejše faze napada, in sicer pripravo napada, izvedbo napada in izkoriščanje rezultatov napada.

V fazi priprave napada si phisherji izberejo komunikacijski medij, preko katerega bo napad izveden. Najbolj pogost komunikacijski medij je e-pošta, obstajajo pa seveda tudi drugi komunikacijski mediji, kot so takojšnje sporočanje (angl. »instant messaging«), mobilne aplikacije ter družbeni in glasovni mediji. V tej fazi napadalci določijo tudi svoje ciljne naprave (na primer pametni telefoni). Komunikacijski medij in ciljne naprave predstavljajo osnovo za nadaljevanje. Nato si phisherji izberejo tehniko phishing napada, to je recimo ponarejanje spletne strani, za zaključek pa pripravijo semantični material in material za nadaljnjo distribucijo. Priprava napada je lahko izvedena ročno ali pa s pomočjo avtomatiziranih orodij, kot so recimo phishing kompleti. Phishing kompleti lahko vključujejo vnaprej pripravljene lažne spletne strani za popularna podjetja, skripte za zbiranje posameznikovih poverilnic in mehanizme gostovanja za phishing spletne strani. Priprava materiala je odvisna od ciljnega okolja. V kolikor gre za e-sporočilo, bo material vseboval e-sporočilo in zlonamerno programsko opremo, ki jo je mogoče podtakniti v e-sporočilo.

Faza izvedbe napada je sestavljena iz treh delov, in sicer iz distribucije napadalnega materiala, zbiranja informacij od potencialnih žrtev in vdora v ciljne informacije. Napadalni material je lahko distribuiran enemu ali več posameznikom, odvisno od predvidenega obsega napada.

Zbiranje informacij od potencialnih žrtev se začne šele takrat, ko se žrtev odzove na prejeti napadalni material. Phisherji lahko v zadnji fazi izvedbe napada kompromitirajo sistemske vire, ki olajšajo proces zbiranja informacij, na primer z vrivanjem skript na spletne strani, ki jih obiskuje žrtev.

(31)

31

Izkoriščanje rezultatov napada je zadnja faza napada, v kateri so vse pridobljene informacije žrtve, kot na primer njene poverilnice, izrabljene z namenom predstavljanja phisherja v imenu svoje žrtve (Aleroud in Zhou, 2017).

(32)

32 8 Taksonomija phishing napada

Taksonomija phishing napada tega opisuje v naslednjih štirih dimenzijah: komunikacijski mediji, ciljna okolja, napadalne tehnike in protiukrepi.

8.1 Komunikacijski mediji

Komunikacijski mediji so mediji človeške interakcije, katerih aplikacije so tarče napada.

Komunikacija prav tako pokriva vmesne poti, preko katerih posamezniki med seboj komunicirajo. Aleroud in Zhou (2017) na podlagi preučene literature ocenjujeta, da gre za sedem tipov komunikacijskih medijev. To so e-pošta, spletne strani, takojšnje sporočanje (angl.

»instant messaging«), spletna družbena omrežja, blogi in forumi, mobilni mediji in internetna telefonija (angl. »voice over internet protocol«). Izmed vseh naštetih komunikacijskih medijev sta e-pošta in spletne strani najbolj pogosto uporabljena.

8.1.1 E-pošta

Pogosta phishing praksa v e-pošti je pozivanje posameznikov k posodobitvi informacij njihovih računov. Če se posameznik zapelje z miško čez povezavo znotraj e-sporočila, lahko vidi, da povezava ne vodi na spletno stran organizacije ampak na phishing spletno stran (Aleroud in Zhou, 2017).

8.1.2 Spletne strani

E-sporočilo, v katerem phisher daje posamezniku občutek, da je e-sporočilo poslala legitimna oseba (angl. »spoofed e-mail«), lahko vsebuje informacije, ki so tipične za socialni inženiring in s katerimi phisher prepričuje posameznika, da naj dostopi do lažne spletne strani. Lažna spletna stran in ustrezna legitimna spletna stran sta lahko vizualno podobni. Lažna spletna stran se od legitimne loči po url naslovu, pri katerem phisherji ponavadi uporabljajo http namesto https. Kot že omenjeno, gre pri https url naslovu za kriptirano komunikacijo preko SSL certifikata, ki preprečuje prisluškovanje komunikaciji z in na strežnik. Lažne spletne strani je mogoče prepoznati tudi po odsotnosti ikone zaklenjene ključavnice, ki nakazuje, da je spletna

(33)

33

stran varna oziroma nevarna, ter po prisotnosti lažnih domen v url naslovih, kot na primer gmall.com (Aleroud in Zhou, 2017).

8.1.3 Takojšnje sporočanje

Pri takojšnjem sporočanju so phishing napadi ponavadi izvedeni preko sumljivih url naslovov.

Phisherji poskušajo pridobiti gesla in informacije, vezane na posameznikova varnostna vprašanja. Phisherji poskušajo s prevzeto identiteto pridobiti zaupanje potencialne žrtve preko glasovnega klepeta, tekstovnega klepeta ali kombinacije obeh.

Empirična študija, ki sta jo izvedla Moore in Clayton leta 2015, nakazuje, da je 14 milijonov posameznikov v obdobju dveh let kliknilo na sumljive url naslove. Izmed vseh, ki so kliknili na url naslov, je 95% posameznikov okužilo svoje elektronske naprave z zlonamerno programsko opremo. Poleg teh alarmantnih podatkov pa sta raziskovalca izvedela še, da se od 50 do 110 zlonamernih url naslovov, zbranih preko t.i. honeypotov, ki vodijo na phishing spletne strani, ni pojavilo na t.i. črnih listah (Aleroud in Zhou, 2017). Honeypot je varnostni računalniški mehanizem oziroma navidezni sistem, zasnovan za odkrivanje ali preprečevanje nepooblaščenega dostopa, ter uporabe informacijskega sistema. Ime honeypot se uporablja predvsem za nastavljanje pasti nepooblaščenim uporabnikom, kot so hekerji ali drugi zlonamerni uporabniki (TechTerms, 2013). Sistem je sestavljen iz računalnika, aplikacij in podatkov, ki simulirajo podatke realnega sistema, saj izgleda kot del omrežja (Lutkevich, Clark in Cobb, 2021). Navzven deluje kot oslabljen oziroma ranljiv sistem, ki vsebuje veliko nepristnih datotek in map, z namenom, da privabi potencialne napadalce k poskusu vdora, zraven pa beleži vse aktivnosti (Žužek, 2015).

8.1.4 Spletna družbena omrežja

Spletna družbena omrežja beležijo hitro rast phishing napadov zaradi naslednjih razlogov:

preprostega predstavljanja osebe pod drugim imenom, slepega zaupanja posameznikov in popularnosti spletnih družbenih omrežij. Študija, ki jo je izvedel Stern leta 2014, kaže, da 22%

vseh phishing prevar targetira spletno družbeno omrežje Facebook. Stern izpostavi še dejstvo, da phishing spletne strani, ki imitirajo spletna družbena omrežja, predstavljajo več kot 35%

vseh primerov, ki so jih zaznale anti-phishing organizacije (Aleroud in Zhou, 2017).

(34)

34 8.1.5 Blogi in forumi

Po podatkih Microsoftovega centra za varnost iz leta 2016 so za phishing napade najpogosteje izrabljene skupine z novicami in spletne reklame, še toliko bolj pa v času naravnih nesreč ali nacionalnih volitev. Najpogostejše prevare, prisotne na blogih in forumih, so v obliki lažnih e- kartic, spletnih prevar v povezavi z iskanjem zaposlitve in spletnih prevar v povezavi z donacijami. Pri primeru prevare, povezane z iskanjem zaposlitve, phisherji prežijo na poverilnice iskalcev zaposlitve. Splošno gledano so to oglasne pasice (angl. »ad banner«), ki uporabljajo lažne spletne strani, predstavljajo pa se kot legitimne oganizacije, in ki se pojavijo na spletnih straneh, ki so namenjene iskalcem zaposlitve. V kolikor posameznik pokaže zanimanje in klikne na oglasno pasico, je takoj zatem vprašan po poverilnicah ali celo po informacijah o svoji kreditni kartici pod pretvezo, da gre za plačljivo storitev. Pri prevarah z donacijami pa so izrabljeni družbeni, politični ali naravni dogodki, v zvezi s katerimi phisherji prosijo za donacijo. V kolikor posamezniki nasedejo prevari z donacijo, so vprašani po podatkih o svoji kreditni kartici (Aleroud in Zhou, 2017).

8.1.6 Mobilni mediji

Mobilni uporabniki so lahko tarča phishing napadov prav tako kot uporabniki osebnih računalnikov. Phishing napade na mobilnih napravah posamezniki težje prepoznajo, saj težje ločijo med legitimno in lažno spletno stranjo. To gre pripisati predvsem manjšemu zaslonu, na katerem ni razviden celoten url naslov. V teh primerih phisherji delujejo predvsem preko mobilnih aplikacij in preko mobilnega takojšnjega sporočanja (angl. »mobile instant messaging«). Phisherji preko zlonamernih url naslovov preusmerjajo posameznike na lažni grafični vmesnik mobilne aplikacije, na katerem od posameznika zahtevajo njegove poverilnice. Aleroud in Zhou (2017) klasificirata phishing napade na mobilne aplikacije v naslednjih pet kategorij: podobnostni napadi, posredovalni napadi, napadi v ozadju, obveščevalni napadi in plavajoči napadi.

8.1.6.1 Podobnostni napadi

Pri podobnostnih phishing napadih ima phishing aplikacija na grafičnem vmesniku podobne funkcije kot legitimna aplikacija. Ta kategorija je bila zaznana tako na mobilnih napravah, ki

(35)

35

uporabljajo Android operacijski sistem, kot tudi na mobilnih napravah, ki uporabljajo iOS operacijski sistem.

8.1.6.2 Posredovalni napadi

Pri posredovalnih phishing napadih phisherji izkoriščajo posredovalno funkcijo na mobilnih napravah, ki podpirajo Android operacijski sistem. Primer posredovalnega napada je, ko sumljiva aplikacija vpraša posameznika za dovoljenje deljenja njegovega najboljšega rezultata na spletnih družbenih omrežjih preko gumba, ki se pojavi na ekranu. V primeru, da bi uporabnik s pritiskom na gumb to akcijo potrdil, sumljiva aplikacija ne bi zagnala aplikacije za spletno družbeno omrežje temveč phishing aplikacijo (Aleroud in Zhou, 2017).

8.1.6.3 Napadi v ozadju

Pri phishing napadih v ozadju phishing aplikacija deluje v ozadju in uporablja funkcijo »Activity Manager« na Android mobilnih napravah, s katero kontrolira delovanje vseh ostalih delujočih aplikacij. Ko posameznik zažene legitimno aplikacijo, se v ozadju sproži phishing aplikacija, ki posamezniku v ospredje prikaže phishing grafični vmesnik (Aleroud in Zhou, 2017).

8.1.6.4 Obveščevalni napadi

Pri obveščevalnih phishing napadih phisher predstavi lažno obvestilo kot legitimno in z njim nato nagovarja posameznika k vpisu njegovih poverilnic.

8.1.6.5 Plavajoči napadi

Pri plavajočih phishing napadih phisher izkorišča Androidove funkcije, ki dovoljujejo prekrivanje aplikacij eno čez drugo. S to funkcijo lahko phisher legitimno opozorilo aplikacije prekrije z lažnim phishing oknom, ki se pojavi v ospredju pred legitimnim opozorilom. Ker aplikacije med seboj ne zaznavajo pozicije na ekranu, je legitimno opozorilo še vedno v ozadju, medtem ko se v ospredju pokaže le del phishing aplikacije, ki od posameznika zahteva vnos poverilnic (Aleroud in Zhou, 2017).

Reference

POVEZANI DOKUMENTI

Glede na to, da tandemska orodja zagotavljajo izdelavo različnih izdelkov na vsaki strani orodja, je treba pri zagonu orodja opraviti optimalno Slika 1: Primeri izdelkov, ki

Letošnji teden mladih bo z vsemi dogodki in aktivnostmi mlade na- govarjal in spodbujal, da preko udeležbe v različnih razpravah o prihodnosti Evropske unije oblikujejo

Njegova hipoteza je, da z opazovanjem MD5 izvleˇckov datotek, ki vplivajo na izkuˇsnjo spletne strani, kot so .jpg in .gif datoteke, prav tako pa tudi .css in .js datoteke,

Kot ogrodje za upravljanje odnosov s strankami ga uporabljajo predvsem v podjetjih, ki se ukvarjajo z oglaševanjem, marketinških agencijah, medijskih hišah, ter

V nadaljevanju diplomskega dela smo pojasnili pojem spletne strani in proces izdelave spletne strani, od načrtovanja, oblikovanja, do programiranja odzivne spletne strani za

Glede na to, da so pri generiranju obiska na spletno stran še kako pomembne njene pozicije na iskalnikih, je eden temeljnih pogojev uspešnosti tudi optimizacija spletne strani

Oblasti, ki se želijo znebiti odgovornosti za znanje ljudi, lahko uporabljajo tudi ohlapnejše izrazje (v tem primeru vseživ- ljenjsko učenje), če s tem dosežejo svoj

Zaradi širitve področja delovanja tako pri poučevanju slovenščine kot TJ na različnih tečajih kot tudi pri poučevanju slovenščine kot J2 znotraj