Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Identifikation af et Spear Phishing-angreb

Phishing attack: 10 måder at beskytte mod phishing angreb

om forfatteren

Del dette indlæg

Spear phishing er en alvorlig trussel mod organisationer verden over, men denne meget målrettede phishing kan være svær at forhindre.

En rapport fra sikkerhedsfirmaet Ivanti fremhæver succesraten for spear phishing: næsten tre fjerdedele (73 %) af organisationerne fortalte Ivanti, at it-medarbejdere er mål for spear phishing, og næsten halvdelen af forsøgene (47 %) lykkes.

Hvad er spear phishing?

Spear phishing er en meget målrettet form for phishing. En phishingkampagne sender typisk en masse-e-mail til mange mennesker, men spear phishing-kampagner fokuserer på en eller få personer; disse personer arbejder normalt for eller er tilknyttet en bestemt organisation.

Spear phishing kommer ofte via e-mail, men kan også være phishing via telefon (Vishing) eller phishing via mobilbeskeder (SMShing).

Ved spear phishing anvendes avancerede social engineering-taktik til at udarbejde en effektiv spear phishing-kampagne baseret på indsamlede oplysninger om et mål. De oplysninger, der er nødvendige for at perfektionere en spear phishing-e-mail, indsamles på enhver måde, herunder ved hjælp af indlæg på sociale medier, virksomhedens websteder, hackede onlinekonti osv.

Cyberkriminelle har endda været kendt for at etablere et forhold til deres mål via e-mail eller telefon, vinde medarbejderens tillid og opfordre dem til at dele personlige oplysninger eller virksomhedsoplysninger. Når cyberkriminelle har tilstrækkelige oplysninger om et mål, opretter de en personlig e-mail, der ser legitim ud.

Målet med et spear phishing-forsøg er typisk at stjæle loginoplysninger. Disse legitimationsoplysninger kan derefter bruges til at få adgang til et virksomhedsnetværk. Resultatet af en medarbejders social engineering er en malware-infektion, herunder ransomware, datatyveri, Business Email Compromise (BEC) og andre former for cyberangreb.

Selv om brugen af multi-faktor-autentifikation (MFA) kan hjælpe med at reducere risikoen for et angreb, er det ingen garanti: En nyere phishing-kampagne rettet mod Office 365-brugere kunne omgå enhver MFA, som medarbejderne brugte.

Hvordan cyberkriminelle bruger spear phishing-angreb

Cyberkriminelle bruger spear phishing til at fokusere et angreb på en bestemt virksomhed. Disse kampagner kan være direkte (en medarbejder) eller indirekte, dvs. fokusere på en leverandør i forsyningskæden for at angribe en organisation højere oppe i forsyningskæden.

Ofte er spear phishing-angreb en del af en cyklus af angreb, hvor data, herunder adgangskoder, stjæles; dette fører til malware-infektion, yderligere tyveri af legitimationsoplysninger og stjålne data. Processen begynder med en e-mail, Vishing eller SMShing. Spear phishing indebærer ofte strategisk planlægning på højt niveau, som kan kræve flere koreograferede trin for at nå hackerens mål.

Eksempler på spear phishing-angreb

Spear Vishing: Et spear phishing-angreb på Twitter i 2020 skabte overskrifter, da det lykkedes hackere at sende tweets fra flere højt profilerede konti, herunder Joe Biden, Barack Obama, Bill Gates og Elon Musk. Twitter-angrebet var centreret omkring et phishing-telefonopkald (Vishing) til målrettede medarbejdere, indtil en af dem gav angriberne loginoplysningerne til interne værktøjer til angriberne. Disse legitimationsoplysninger blev derefter brugt til at eskalere privilegier til et højere niveau.

Spear phishing-e-mail: En spear phishing-e-mail udgav sig for at være Det amerikanske arbejdsministerium (DoL) for at ramme flere organisationer. Målet med den falske e-mail var at stjæle loginoplysninger til Office 365. E-mailen var baseret på snedigt forklædte domæner for at få e-mailen til at se ud som om den var legitimt fra DoL.

Desuden foregav e-mailen at være fra en højtstående DoL-medarbejder, der opfordrede modtagerorganisationen til at afgive et bud på et regeringsprojekt. Ved at klikke på "budknappen" blev medarbejderen ført til et phishing-websted, hvor Office 365-loginoplysningerne blev stjålet.

Sådan opdager du en spear Phishing-e-mail

Disse e-mails er notorisk svære at opdage, simpelthen fordi der er lagt så meget arbejde i deres udarbejdelse. Der er dog nogle punkter, der kan hjælpe medarbejderne med at identificere afslørende tegn.

  1. Ofte udnytter spear phishing-e-mails autoritetspositioner, f.eks. IT-support, til at tvinge en medarbejder til at foretage en handling, f.eks. at indtaste en adgangskode på en falsk webside. Kontroller afsenderens e-mailadresse. Den kan ligne den rigtige, men med nogle subtile forskelle.
  2. Passer e-mailformatet til det, du er vant til? Hvis e-mailen f.eks. angiveligt er fra IT-support, er den så skrevet og formateret på samme måde som tidligere e-mails fra IT-support?
  3. Kræver e-mailen, at der skal indtastes for mange data eller oplysninger, der virker unødvendige? Bliver du f.eks. bedt om at logge ind på en cloud-app i virksomheden efter at have klikket på et link i en e-mail uden nogen tvingende grund - virker det bare mistænkeligt?

En anden lavteknologisk ting, du kan gøre for at forhindre en spear phishing-hændelse, er at dobbelttjekke med den formodede afsender af e-mailen: ring dem op for at kontrollere, at e-mailen virkelig er fra dem.

Beskyt dig mod et angreb

Flere beskyttelseslag er den bedste måde at håndtere truslen fra spear phishing på. Her er de seks bedste måder at beskytte dig selv og din virksomhed mod et angreb på:

Del ikke for meget på de sociale medier

Cyberkriminelle indsamler de oplysninger, der er nødvendige for at skabe troværdige e-mails, fra mange kilder, herunder sociale medier. Indfør derfor en politik, der forklarer farerne ved at dele for mange data på sociale medier.

Klik ikke på mistænkelige links i phishing-e-mails

Dette bør blive et mantra på alle arbejdspladser. Selv hvis en medarbejder ikke følger op og indtaster legitimationsoplysninger efter at have klikket på et ondsindet link, vil hackeren sandsynligvis have en oversigt over, hvem der har klikket, og vil fortsætte med at sende stadig mere sofistikerede phishing-e-mails til den pågældende organisation.

Brug robust autentificering

Selv om det ikke er fejlsikkert, hjælper en robust autentificering med en lagdelt tilgang til phishing. Opret stærke, unikke adgangskoder, og tilføj MFA, hvor det understøttes.

Del aldrig følsomme oplysninger online

Det siger sig selv, at deling af følsomme personlige oplysninger eller virksomhedsoplysninger ikke bør ske offentligt og online, da de vil blive indsamlet og brugt til at phish'e medarbejdere eller tilknyttede leverandører af forsyningskæden.

Vær forsigtig og årvågen

Uddan alle medarbejdere og samarbejdspartnere i de taktikker, som cyberkriminelle bruger. Sørg for, at denne uddannelse gennemføres regelmæssigt, og brug en simuleret phishing-platform til at sende simulerede phishing-beskeder til de medarbejdere, der er mest udsatte.

Opmuntre medarbejderne til at rapportere hændelser

Når du har trænet dine medarbejdere i at opdage de afslørende tegn på phishing, skal du opfordre dem til at rapportere hændelser. Dette hjælper med at opbygge cybermodstandsdygtighed, opretholde overholdelse af lovgivningen og give de oplysninger, der er nødvendige for at handle hurtigt, før en hændelse bliver til et fuldbyrdet cyberangreb.

Risiko for ransomware

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante