Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Hvad er Credential Stuffing?

Hvad er Credential Stuffing?

om forfatteren

Del dette indlæg

Credential stuffing har domineret overskrifterne i de seneste år og er hurtigt blevet den foretrukne angrebsmetode for cyberkriminelle.

Mellem den 1. januar 2018 og den 31. december 2019 registrerede Akamai Technologies mere end 88 milliarder angreb på tværs af alle brancher. Dette tal forventes kun at stige med stigningen i databrud og det massive skift til onlinetjenester under Covid-19-pandemien.

Credential stuffing-angreb forekommer, når kriminelle bruger store mængder stjålne brugernavne og adgangskoder til at få adgang til brugerkonti på bedragerisk vis. Disse oplysninger fås typisk på dark web som følge af et af de mange databrud i virksomheder.

Ved hjælp af store bots og specialiserede automatiseringsværktøjer kan hackere derefter bruge disse stjålne legitimationsoplysninger til at forsøge at foretage flere loginforespørgsler på forskellige websteder. Denne type angreb er relativt let at udføre og er i høj grad afhængig af, at folk genbruger den samme adgangskode.

Det er i virkeligheden en form for brute force-angreb, men i stedet for at gætte tilfældige adgangskodekombinationer bruger det legitime legitimationsoplysninger, hvilket forbedrer den samlede succesrate.

Som de fleste cyberangreb er den primære motivation økonomisk. Hackerne vil forsøge at tjene penge på de kompromitterede konti ved at få adgang til tilknyttede bankkonti, eller de vil bruge de personlige data til at begå identitetstyveri.

Hvad er årsagen til væksten i angreb med fyldte legitimationsoplysninger?

Hvad der giver næring til væksten i angreb med fyldte legitimationsoplysninger

Det er ganske enkelt de milliarder af kompromitterede legitimationsoplysninger, der er let tilgængelige at købe på det mørke net. Webstedet HaveIBeenPwned.com sporer over 8,5 milliarder kompromitterede legitimationsoplysninger fra over 400 databrud, og nogle af disse brud er helt kolossale.

Det mest bemærkelsesværdige eksempel på dette er mega-bruddet i Collection #1. Bruddet kom frem i 2019 og afslørede 1,2 milliarder unikke e-mailadresser og adgangskodekombinationer, 773 millioner unikke e-mailadresser og 21 millioner adgangskoder.

Denne nemme adgang til store datamængder gør det muligt for hackere at teste millioner af forskellige kombinationer af e-mail og kodeord i håb om, at brugerne har genbrugt det samme kodeord.

De stadig mere sofistikerede værktøjer, som hackere nu bruger til at iværksætte disse angreb, har også gjort det lettere at forsøge at foretage flere login-forsøg, mens det ser ud til at stamme fra forskellige IP-adresser.

Hvilke brancher er berørt af Credential Stuffing-angreb?

Alle brancher er mål for angreb med legitimationsoplysninger, men nogle er mere udsatte end andre. De mest udsatte områder er e-handel, detailhandel, finansielle tjenesteydelser, underholdning, videregående uddannelser og sundhedstjenester.

Finanssektoren er blevet særlig hårdt ramt, og i september i år udsendte FBI en advarsel til organisationer i den finansielle sektor om stigningen i antallet af disse angreb. Agenturet fandt ud af, at 41 % af alle angreb i den finansielle sektor mellem 2017 og 2020 skyldtes credential stuffing, hvilket resulterede i tab af millioner af dollars.

Disse typer angreb kan have ødelæggende konsekvenser for virksomheder, herunder tab af indtægter, driftsstop, tab af omdømme, økonomiske sanktioner og tab af kunder.

Eksempler på nylige angreb med fyldte legitimationsoplysninger

Der er sket en markant stigning i antallet af databrud som følge af angreb på legitimationsoplysninger. Nogle af de seneste eksempler omfatter:

  • Dunkin Donuts - I februar 2019 bekræftede Dunkin Donuts, at de havde været udsat for et angreb med fyldte legitimationsoplysninger, det andet inden for tre måneder. I begge angreb brugte hackere stjålne legitimationsoplysninger, der var blevet lækket fra andre websteder, til at få adgang til DD Perks-belønningskonti. Når de først var kommet ind, kunne de få adgang til brugernes for- og efternavn, e-mailadresse, DD Perks-kontonummer og DD Perks QR-kode. I dette specifikke angreb var det ikke brugerens personlige oplysninger, som hackerne var ude efter, men selve kontoen, som de derefter solgte på det mørke net.
  • Nintendo - I april 2020 meddelte Nintendo, at 160.000 konti var blevet krænket i et angreb med fyldte legitimationsoplysninger. Ved hjælp af tidligere afslørede bruger-id'er og adgangskoder kunne hackere få adgang til brugerkonti, så de kunne købe digitale genstande ved hjælp af lagrede kort. De var også i stand til at se følsomme data, herunder navn, e-mailadresse, fødselsdato, køn og land.

Sådan forhindrer du fyldning af legitimationsoplysninger

Stærk adgangskode-sikkerhed

Forebyg legitimationsoplysninger Fyldning af stærke adgangskoder

Vi ved alle, hvor vigtigt det er at bruge stærke og unikke adgangskoder, men ifølge en nyere sikkerhedsundersøgelse fra Google bruger 65 % af brugerne den samme adgangskode på flere konti.

Dette er en ekstremt risikabel praksis, da credential stuffing-angreb i høj grad er baseret på, at vi bruger de samme gamle genbrugte adgangskoder. Det er måske noget, som du bliver ved med at have lyst til at gøre, men det er værd at rydde op digitalt og oprette unikke adgangskoder til hver af dine onlinekonti.

En god måde at skabe en længere og mere kompleks adgangskode på er at bruge en passphrase. En passphrase er en sætningslignende ordstreng, som du kan huske, men som er svær for andre at knække. Det første bogstav i hvert ord danner grundlaget for din adgangskode, og bogstaverne kan erstattes med tal og symboler for at gøre den endnu mere sikker.

Brug en adgangskodeadministrator

Hvis tanken om at skulle huske flere forskellige adgangskoder gør dig bange, kan en adgangskodeadministrator være løsningen. En password manager er et centralt og krypteret sted, hvor du kan gemme alle dine passwords sikkert.

Adgangskodeadministratorer gemmer loginoplysninger for alle de websteder, du bruger, og logger dig derefter automatisk ind, hver gang du vender tilbage til et websted. Det første skridt, når du bruger en adgangskodeadministrator, er at oprette en hovedadgangskode. Hovedadgangskoden styrer adgangen til hele din adgangskode-database. Denne adgangskode er den eneste, du skal huske, så det er vigtigt at gøre den så stærk og sikker som muligt.

Adgangskodeadministratorer kan også beskytte mod phishing-angreb, da de udfylder kontooplysninger baseret på dine registrerede webadresser. Det betyder, at hvis du tror, at du er på din banks websted, men at adgangskodeadministratoren ikke automatisk logger dig ind, kan du utilsigtet være havnet på et phishing-websted.

Implementer multifaktor-autentifikation

Forebyg legitimationsoplysninger MFA

Multifaktorgodkendelse, også kendt som MFA, er en af de bedste måder at beskytte sikkerheden på dine onlinekonti på. Ifølge Microsoft er der faktisk mere end 99,9 % mindre sandsynlighed for, at din konto bliver kompromitteret, hvis du bruger MFA.

I stedet for blot at bekræfte din identitet med et simpelt brugernavn og en adgangskode skal du angive to eller flere autentificeringsfaktorer, som kun du har adgang til. Dette mindsker risikoen for, at en hacker let kan få adgang til dine konti.

Der findes mange forskellige autentificeringsteknologier, der kan bruges til at bekræfte din identitet, og de er normalt baseret på noget, du ved, noget du har, eller noget, du er.

Nogle af disse verifikationsmetoder er uden tvivl mere sikre end andre, men i bund og grund betyder det, at selv hvis nogen stjæler eller gætter din adgangskode, vil de ikke kunne få adgang til din konto uden en anden godkendelsesfaktor.

Overvåg og blokér mistænkelige login-forsøg

Når hackere forsøger at kompromittere konti via credential stuffing, bruger de ofte bots eller andre automatiserede værktøjer til at indtaste tusindvis af legitimationsoplysninger hurtigt efter hinanden. Disse er normalt spredt over flere IP-adresser, hvilket gør det svært at afgøre, om der er tale om legitime loginforsøg eller tegn på et koordineret angreb.

Men hvis der er flere mislykkede login-forsøg i løbet af en relativt kort periode, kan det være et tegn på, at der foregår et angreb med fyldte legitimationsoplysninger (credential stuffing). For at forhindre dette kan it-afdelinger sætte en grænse for antallet af loginforsøg, som en enkelt IP-adresse kan foretage inden for en bestemt tidsramme. De kan også spore logins, der resulterer i svindel, og sortliste disse IP-adresser.

Cyber Security Awareness for Dummies

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante