[email protected] +44 (0)20 7917 9527
Book din demo
Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Cyberpoliti Uddannelse i cybersikkerhed for afdelinger
Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Politiets styrker

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Blog om cybersikkerhed Nyhedsrum
Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Adfærdsmæssig modenhedsmodel for cybersikkerhed

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Cybersikkerheds-awareness
Phishing og ransomware
eLearning
Forvaltning af politikker
Compliance
Privatliv, GDPR og CCPA
GRC

En hurtig guide til kompromittering af virksomheders e-mail (BEC)

forhindre svindel

om forfatteren

James MacKay | MetaCompliance

James MacKay | MetaCompliance

James MacKay er COO hos MetaCompliance og en anerkendt ekspert inden for cyber security uddannelse. James har en dyb forståelse for at levere effektiv Security Awareness Training og er dedikeret til at hjælpe organisationer med at holde deres personale sikkert online, sikre deres digitale aktiver og beskytte deres virksomheds omdømme 

Del dette indlæg

Business Email Compromise (BEC), også kendt som CEO-svindel, er en type phishing-angreb, hvor en cyberkriminel udgiver sig for at være en højtstående leder for at overbevise en medarbejder, kunde eller sælger om at overføre penge til en bedragerisk konto eller videregive følsomme oplysninger.

Ved at kompromittere officielle e-mail-konti kan de kriminelle overvåge onlineaktivitet og finde ud af, hvem der har adgangsoplysningerne til at iværksætte pengeoverførsler. I de fleste tilfælde udgiver angriberne sig for at være CEO, CFO eller en anden C-Level Executive, og de kombinerer typisk en række social engineering-teknikker for at manipulere brugeren til at handle.

I de seneste år har der været en kraftig stigning i antallet af Business Email Compromise-angreb, og ifølge den seneste rapport om risikovurdering af e-mailsikkerhed fra e-mailadministrationsfirmaet Mimecast er BEC-angreb steget med 80 % alene i det sidste kvartal.

De globale tab som følge af Business Email Compromise har oversteget 12,5 milliarder dollars, og ofrene kan lide betydelige tab, hvilket har været tydeligt i en række nylige højt profilerede angreb.

I marts 2018 blev den franske biografkæde Pathé offer for et sofistikeret svindelnummer med Business Email Compromise, som kostede dem over 19 millioner euro.

Det dristige røveri blev gennemført, da svindlere udgav sig for at være CEO og overbeviste den administrerende direktør og økonomidirektøren for brandets nederlandske kontor om at overføre pengene over en række af fem på hinanden følgende pengeoverførsler.

På trods af mistanken lykkedes det de kriminelle at få deres svindelnummer til at virke så overbevisende som muligt ved at skabe e-mails, der var næsten identiske med det officielle Pathé-domæne. Virksomheden mistede 10 % af sin samlede indtjening, og begge chefer blev fyret fra deres job.

Angrebet viste, hvor omhyggelige cyberkriminelle er med at infiltrere en virksomhed, og hvilke vidtrækkende konsekvenser et BEC-angreb kan have for en virksomhed.

Sådan fungerer et svindelnummer i forbindelse med kompromiserende virksomhedse-mail

Sådan fungerer kompromittering af virksomheders e-mail

I modsætning til traditionelle phishing-angreb, der har tendens til at ramme et stort antal medarbejdere, er BEC-angreb meget fokuserede og målrettede. Kriminelle bruger meget tid på at undersøge personer i højtstående stillinger i virksomheden, før de iværksætter et angreb.

For at få korrespondancen til at virke så overbevisende som muligt, gennemtrawler svindlerne virksomhedens websteder, onlinekilder og sociale medier som LinkedIn for at indsamle så mange oplysninger som muligt om deres potentielle offer.

Så snart de har afsluttet deres research, bruger de en målrettet teknik som f.eks. Spear Phishing til at få adgang til virksomhedens systemer. Når de har fået adgang, kan de kriminelle nøje observere, hvordan finansielle transaktioner gennemføres, inden de iværksætter et angreb.

Den kriminelle sender derefter en falsk e-mail fra noget, der ser ud til at være den administrerende direktør, og beder om en hurtig overførsel af penge fra en medarbejder i organisationen. Den høje målretning hjælper e-mailen med at slippe igennem spamfiltre, og brugen af en forfalsket e-mailadresse gør anmodningen yderligere legitim.

Detaljeringsgraden er så høj, at de kriminelle ofte vælger at iværksætte deres angreb, når den øverste leder er på forretningsrejse og ikke selv kan bekræfte anmodningen. Hvis offeret er faldet for svindlen, vil alle penge, som de har overført, hurtigt blive sendt til konti i udlandet, hvilket gør det vanskeligt at kræve de stjålne penge tilbage.

Typer af svindel med virksomheders e-mail

Typer af svindel med virksomheders e-mail

CEO-svindel - I denne type angreb udgiver cyberkriminelle sig for at være den administrerende direktør eller en anden højtstående leder på højt niveau. Når deres konto er blevet hacket, og deres e-mailadresse er blevet forfalsket, sender de en e-mail til en medarbejder og beder om overførsel af penge til en konto, som de specifikt har oprettet. E-mails vil ofte blive markeret som hasteforsendelser for at afskrække medarbejderen fra at bekræfte anmodningen eller drøfte den med en anden medarbejder.

Falske fakturaer - Denne form for svindel bruges ofte mod virksomheder, der bruger mange udenlandske leverandører. Virksomheden modtager en e-mail fra en af deres nuværende leverandører, som ser ud til at være en af dem, og beder dem om at ændre betalingsdestinationen. Alle betalinger vil derefter blive overført direkte til svindlernes konto.

Kontokompromittering - Denne type angreb er mere almindeligt forekommende i mindre virksomheder, hvor fakturering håndteres direkte via e-mail. De cyberkriminelle hacker en medarbejders e-mail-konto og opsnapper alle e-mails, der indeholder en faktura. Når de har valgt deres mål, kontakter de leverandøren og informerer ham om, at der var et problem med betalingen, og beder ham sende den videre til en anden bedragerisk konto, som de har oprettet.

Advokat/advokatudtryk - I denne form for svindel udgiver kriminelle sig for at være et advokatfirma og anmoder om hurtig overførsel af penge for at løse en retstvist eller en ubetalt regning. Medarbejderen får at vide, at sagen er strengt fortrolig for at mindske risikoen for, at han/hun drøfter anmodningen med andre. Angrebene finder ofte sted i slutningen af arbejdsugen for at skabe ekstra pres på medarbejderen for at få ham til at handle hurtigt.

Datatyveri - Dette er den eneste BEC-svindel, der ikke kræver en direkte bankoverførsel. Datatyveriangreb opstår, når en cyberkriminel trænger ind på en ledende leders e-mail-konto og anmoder om at få tilsendt følsomme virksomhedsoplysninger. Disse typer angreb har tendens til at være rettet mod HR- og finansafdelinger og er ofte forløberen for et større og mere skadeligt cyberangreb.

Advarselstegn på et angreb på en virksomheds e-mailkompromittering

BEC-angreb

  • Overførsel af store beløb til en modtager, som virksomheden aldrig tidligere har haft med at gøre.
  • Overførsler, der iværksættes mod slutningen af dagen/arbejdsugen.
  • E-mails, der indeholder presserende sprog og er hemmelighedsfulde af natur.
  • Små ændringer i en e-mailadresse, der efterligner en legitim virksomhedsadresse.
  • Modtagerkontoen har ikke tidligere modtaget store pengeoverførsler.
  • Modtagerkontoen er en personlig konto i stedet for en registreret erhvervskonto.

Sådan forebygger du angreb på virksomheders e-mail

hvordan man forhindrer angreb på virksomheders e-mailkompromittering

  • Uddannelse i sikkerhedsbevidsthed er et af de mest effektive værktøjer til at bekæmpe BEC-angreb. Regelmæssig træning sikrer, at personalet kan genkende ondsindede e-mails, social engineering-taktik, identificere mistænkelige anmodninger og følge de korrekte protokoller for håndtering af pengeoverførsler.
  • Uddannelse for ledere på C-niveau - Det er også vigtigt, at ledere på C-niveau får en rollespecifik uddannelse, der tager højde for de unikke trusler, de står over for i hverdagen.
  • Medarbejderne bør stille spørgsmål og kontrollere alle fortrolige anmodninger, især dem, der anses for at være hastende af den administrerende direktør eller andre ledende medarbejdere i virksomheden.
  • Minimer antallet af medarbejdere, der har beføjelse til at overføre midler.
  • Brug multifaktorgodkendelse på alle e-mail-konti.
  • Indføre en totrinsbekræftelsesproces for alle betalinger, som omfatter en kontrol uden for e-mail, f.eks. telefonisk eller mundtlig bekræftelse.
  • Udarbejde skriftlige procedurer for godkendelse af alle finansielle transaktioner.
  • Send alle e-mails via en krypteret server.
  • Du må ikke lægge følsomme oplysninger ud på virksomhedens websteder eller på sociale medier.
  • Overvej at bruge et e-mail-banner, der informerer medarbejderne om, at en e-mail kommer fra en ekstern kilde.

Medarbejderne udgør den største trussel mod en organisations sikkerhed, så det er vigtigt, at de er udstyret med de nødvendige færdigheder til at forhindre et cyberangreb. MetaLearning Fusion er den næste generation af eLearning, og den er specielt designet til at give dine medarbejdere den bedst mulige uddannelse i cybersikkerhed og privatlivets fred. Organisationer kan opbygge skræddersyede kurser til deres personale fra et omfattende bibliotek af korte eLearning-kurser. Kontakt os for at få yderligere oplysninger om, hvordan MetaLearning kan bruges til at ændre Cyber Security-uddannelsen i din organisation.

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante

Anmod om en demo

Anmod om en gratis demo i dag og se, hvordan vores uddannelse i cybersikkerhedsbevidsthed i verdensklasse kan gavne din organisation.

Demoen tager kun 30 minutter af din tid, og du behøver ikke at installere nogen software.

Find ud af, hvordan vi beskytter dine data - læs vores privatlivspolitik.

Anmod om en demo

Anmod om en gratis demo i dag og se, hvordan vores uddannelse i cybersikkerhedsbevidsthed i verdensklasse kan gavne din organisation.

Demoen tager kun 30 minutter af din tid, og du behøver ikke at installere nogen software.

Find ud af, hvordan vi beskytter dine data - læs vores privatlivspolitik.