Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Ledelsesteam

Mød MetaCompliance-ledelsesteamet

Karrierer

Slut dig til os og gør cybersikkerhed personlig

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Phishing-angreb: Hvorfor tænker vi ikke efter, før vi klikker?

Phishing-angreb tænk dig om, før du klikker

om forfatteren

Del dette indlæg

Phishing-angreb handler lige så meget om at manipulere menneskelig adfærd som om teknologi. Dette udsagn er et godt eksempel på, hvorfor det er så svært at forhindre phishing-kampagner, der resulterer i ransomware, stjålne legitimationsoplysninger og andre cyberangreb.

Tilbage i 1970'erne var der en kampagne om spritkørsel med sloganet "Tænk, før du drikker, før du kører". Det var en effektiv kampagne, som bidrog til at reducere antallet af spritrelaterede ulykker i Det Forenede Kongerige. Det er ikke så let, som det lyder, at få folk til at "tænke", før de handler. Faktisk er det ikke at tænke og reagere i knæet på en e-mail, som phishing-kampagnerne er afhængige af. Phishing er en alvorlig sag, og en nyere rapport viser, at 95 % af it-cheferne mener, at data er i fare på grund af e-mailkanalen. 

Så hvordan kan den gennemsnitlige virksomhed håbe på at være lige så succesfuld som 70'ernes kampagne for spritkørsel, når det gælder om at imødegå de tricks, som cyberkriminelle har i ærmet?

Phishing-angreb og menneskelig adfærd

Denne vanskelighed med forebyggelse afspejles i phishing-angrebets vellykkede karakter: I perioden før pandemien i 2019 var phishing-statistikkerne forfærdelige, og forsikringsselskabet Beazley konstaterede en stigning på 105 % i ransomware-angreb i 1. kvartal 2019. Men i 2020 gik phishing-angreb ud over skalaen. FBI offentliggjorde en rapport , der viste, at phishing var langt den mest udbredte af de forbrydelser, der blev rapporteret til deres klageafdeling, IC3. En af drivkræfterne bag phishing-succesen i de sidste 12 måneder har været Covid-19-pandemien, som gav phishere muligheder i massevis for at udnytte menneskelig adfærd: Dette fremgår af en svimlende stigning på 30.000 % i Covid-19-baserede trusler i løbet af 2020; de fleste af disse angreb brugte ondsindede websteder og phishing-e-mails.

Phishing (og dens varianter, Vishing/Smishing/Pharming) er en udbredt angrebsvektor, fordi teknikken virker. Den fungerer, fordi den udnytter naturlig menneskelig adfærd til at udføre en handling, der er til fordel for den cyberkriminelle bag angrebet. At være i stand til at manipulere en legitim person til at udføre en ulovlig handling er kendetegnende for svindel, selv før de moderne teknologier kom frem. Men teknologien kan også gøre selv kyndige brugere til narkomaner, da teknologibrugsmønstre bliver "fastkodet", efterhånden som vi bliver fortrolige med et system. 

E-mail er f.eks. en dagligdags teknologi, som vi bruger konstant. I 2020 blev der dagligt sendt og modtaget 306,4 millioner e-mails. At åbne en e-mail og klikke på et link er nærmest en anden natur, en knæhastighedsadfærd i forbindelse med en almindelig opgave. Det er denne gentagelse og den manglende eftertænksomhed, der er nødvendig for at handle, som phisherne fokuserer på.

5 typiske kendetegn ved phishing

Phishing-angreb ønsker at fange folk, før de tænker for meget over det. For at gøre dette skal kampagnerne sikre, at visse kriterier er opfyldt, og at omstændighederne er optimeret:

  1. Troværdig kilde: En måde at fjerne tankeprocessen på er at få modtageren af e-mailen til at føle sig sikker. Phishing-kampagner vil typisk udgive sig for at være kendte mærker. I en undersøgelse af, hvilke mærker der bruges af phishere, kommer Microsoft gentagne gange frem som et af phishernes foretrukne mærker til at forfalske. Andre forfalskede mærker omfatter Netflix og PayPal.
  2. Klikets lokkemad: Selv om 79 % af folk siger, at de kan genkende en phishing-e-mail, vil næsten halvdelen alligevel klikke på et link i en mistænkelig e-mail. Årsagerne til denne adfærd skyldes sandsynligvis den implicitte træning, vi alle har gennemgået i at bruge internetegnet indhold. At klikke er næsten en pavlovsk reaktion, når en e-mail indeholder et link. Designere af brugeroplevelser (UX) har brugt denne form for konditionering til at hjælpe folk med at bruge teknologi lettere; cyberkriminelle bruger den samme psykologiske manipulation til at få os til at klikke på et phishing-link for at starte næste fase af phishingen.
  3. Ledelse efter opgave: At holde e-mailen fokuseret på en simpel opgave hjælper med at fjerne tankeprocessen. Gentagende og genkendelige opgaver som f.eks. nulstilling af adgangskoder er en af phishernes favoritter. Dette gør det muligt at foretage det vigtige "klik" uden at tænke alt for meget over de mulige konsekvenser. Hvis opgaven er arbejdsrelateret, er det mere sandsynligt, at der bliver klikket og phishingbegivenheden iværksat.
  4. Det haster: Ofte vil phishing-e-mails indeholde en eller anden form for drivkraft for at fremkalde auto-klik-adfærd. Disse drivkræfter er ofte truslen om en disciplinering eller en bekymring over en handling, f.eks. at betale en regning. Nogle phishing-kampagner er meget målrettede (Spear phishing). Den falske administrerende direktør sender derefter en e-mail til regnskabsafdelingen med en presserende anmodning om at overføre penge til en bankkonto. Kontoen er naturligvis ejet af en svindler.  
  5. Overbebyrdet: En undersøgelse af hospitaler, der var mål for phishing-kampagner, konkluderede, at overbelastede medarbejdere var mere tilbøjelige til at klikke på et phishing-link. Hvis du ikke har tid til at tænke dig om, vil du som standard reagere automatisk.

En bemærkning om spear phishing-angreb. Denne form for phishing kræver et dybere niveau af rekognoscering for at kunne levere mere overbevisende phishing-e-mails til målet. Dette detaljeringsniveau gør spear phishing-e-mails endnu sværere at opdage for medarbejderne. Derfor steg spear-phishing-e-mailangreb med 667 % under Covid-19-pandemien.

Sådan får du en medarbejder til at klikke på et phishing-link

Cyberkriminelle er mesterlige til at skabe betingelserne for en vellykket phishing-kampagne. De bruger alle kneb for at få en bruger til at klikke, f.eks. falske, troværdige mærker, for at gøre brugeren til en nem lokkemad. Et eksempel på dette var et Office 365 phishing-rus i 2020. Den havde alle de elementer, der manipulerer brugerne til at klikke, før de tænker sig om:

  • Der blev sendt falske e-mails, der lignede Microsoft Office 365, ud til medarbejderne. 
  • E-mailen havde titlen "COVID-19 Training for Employees":Medarbejderne blev opfordret til at følge e-mailen af arbejdsmæssige årsager.
  • Modtagerne af e-mailen blev bedt om at klikke på et link i e-mailen, som førte dem til en falsk Office 365-loginside: siden lignede en rigtig Office 365-side.
  • En bruger blev bedt om at indtaste sine Office 365-oplysninger for at logge ind og modtage certifikatet. Hvis de gjorde det, blev disse legitimationsoplysninger stjålet og derefter brugt til at logge ind på den rigtige Office 365-portal.

Sådan forhindrer du en medarbejder i at klikke på et phishing-link

Forebyggelse af fastkodet adfærd kræver specialuddannelse i bevidsthed. Teknologer har designet systemer til at være nemme at bruge og gøre det let at klikke, men denne automatiske klikreaktion skal brydes for at forhindre phishing-succes. Ved at tilbyde en velgennemtænkt, kontrolleret phishing-test kan en organisation være med til at ændre den adfærd, som cyberkriminelle er afhængige af. Simulerede phishing-tests skaber et sikkert miljø til at træne brugerne i de subtile måder, som phishere manipulerer deres adfærd på, så de kan holde øje med disse tricks. Som en del af et bredere sikkerhedsbevidsthedsprogram er phishing-simulering effektiv til at forhindre phishing-succes, der resulterer i stjålne legitimationsoplysninger, eksponering af data og ransomware-infektion. 

Den ultimative guide til phishing

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante