Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Hvad er quishing? Forebyggelse og sikkerhedsforanstaltninger

Hvad er quishing? Forebyggelse og sikkerhedsforanstaltninger

om forfatteren

Del dette indlæg

Quishing er et phishing-angreb, der bruger QR-koder til at narre folk til at besøge skadelige hjemmesider eller downloade malware. Cyberkriminelle udnytter QR-kodernes alsidighed, som kan indeholde links, dokumenter eller betalingsportaler, til at narre folk.

Under Covid-19-pandemien etablerede en lille, sort-hvid firkant sig solidt mellem vaccine-selfies og udgangsforbud: QR-koden. Kort forinden var den blevet anset for at være død og knap nok værd at række ud efter smartphonen, men nu blev den hurtigt til en slags universalværktøj. Hurtigtest, advarselsapps, vaccinationsattester, togbilletter, kontaktløse betalinger ... eller kort sagt: porten til det normale liv. Det er et velkendt faktum, at der ikke er noget lys uden skygge. Og derfor er det farepotentiale, der ligger i denne uanselige lille boks, skræmmende. 

Quishing: QR-kodens katastrofale comeback

QR står for "quick response code" En todimensionel stregkode, der ser ud til at være det naturlige og organiske resultat af vores ønske om at få adgang til alting så hurtigt og nemt som muligt - med alting kun en scanning væk. Den giver mulighed for øjeblikkelig overførsel af store mængder information. Både dens brugervenlighed og pandemien virkede som katalysatorer for en ny form for phishing-angreb: såkaldt quishing, et udtryk, der kombinerer "QR" og "phishing". 

I traditionelle phishing-angreb bruger cyberkriminelle tvivlsomme e-mails, chatbeskeder eller hjemmesider til at fiske efter adgangskoder og andre personlige data. 

I tilfælde af quishing-angreb udnytter kriminelle de ovennævnte egenskaber ved QR-koder til at skjule vildledende oplysninger bag de sorte og hvide felter. Quishing-e-mails er som regel designet med stor omhu - man kunne endda sige kærligt. De er lavet til at se autentiske ud. Det er åbenbart ikke længere på mode blandt cyberkriminelle at forsøge at lokke potentielle ofre til med nyheden om en arv på flere millioner dollars. Selv om nogle af de potentielle modtagere sikkert ville nyde en imaginær rejse til en drømmesommerbolig i Saint-Tropez, især i de mørke vintermåneder. 

Nutidens cyberkriminelle foretrækker en subtil tilgang. De går efter svaghederne i den menneskelige ånd. Følelsen af uudholdelig tortur, når du skal håndtere besværlige procedurer. Så de truer med at lukke en bankkonto eller brugerkontoen i en yndlingswebshop. 

Kontaktløs undfangelse efterfulgt af fald

Konventionelle sikkerhedsmekanismer scanner kun standardvedhæftninger og URL'er. Disse foranstaltninger har dog en tendens til at mislykkes med QR-koder. Blandt de mest populære ordninger er anmodninger om at acceptere en opdateret datapolitik eller anmodninger om at oprette en ny sikkerhedsprocedure. Og alt dette kan naturligvis gøres nemt og bekvemt ved at scanne en QR-kode. Den kriminelle værktøjskasse indeholder endda vigtige dokumenter, som nemt kan downloades via en QR-kode. 

Det er forståeligt, at modtagerne ønsker at slippe af med denne ubehagelige blanding af følelser så hurtigt som muligt: indtrykket af at være tvunget til handling, kombineret med ønsket om at vende sig mod sjovere ting lige nu. Men hvem kan ikke lide at nyde følelsen af produktivitet efter at have taget sig af det irriterende bankproblem? At scanne koden er kun et spørgsmål om sekunder - ofte med katastrofale konsekvenser. I modsætning til den hellige Maria kan denne kontaktløse undfangelse blive til synd.

Moræner på lur efter data

De, der efterkommer de vildledende anmodninger, havner på falske hjemmesider, der er lavet med stor omhu for detaljerne. Overskriften skal trods alt have nøjagtig samme kongeblå nuance som Volksbank-logoet, der blev stjålet fra den oprindelige hjemmeside. Der anvendes forskellige teknikker til at skjule ondsindede links og omgå advarsler. En almindelig metode består i at misbruge indholdsstyringssystemer som WordPress og deres plugins. Skjult bag falske landingssider lokker de potentielle ofre i deres fælde. Der har også været rapporter om cyberkriminelle, der bruger Googles feed-proxyserver "FeedBurner" til omdirigering. En anden almindelig praksis er brugen af et brugerdefineret domæne til omdirigeringsprocessen samt selve phishing-siden. Faren er overhængende - selv hvis malware-forsvarssystemerne ikke slår alarm. 

Når den perfekte illusion er skabt, vil cyberkriminelle kun have én ting: personlige data. Som en muræne, der ligger på lur i sin hule og venter på at få fat i brugernavne og adgangskoder. Alt for mange modtagere glemmer alle forholdsregler, når arbejdsdagen er ved at være slut, og solnedgangen kalder på dem fra terrassen. De overser det ekstra bogstav i URL'en, og kun få sekunder senere er deres data blevet indtastet i den bedragerisk realistisk udseende registreringsgrænseflade. Phishing-URL'er rettet mod Sparkasse-kunder starter ofte med 'spk-', mens 'vr-' er et almindeligt præfiks for forfalskede Volksbank-sider. 

I arbejdsmiljøer er der en særlig risiko, når private smartphones omgår en virksomheds interne sikkerhedsmekanismer. Quishing er ideelt til dette formål. Når den farlige kode er blevet scannet, trænger ondsindet indhold i al hemmelighed ind i den mobile enhed. Derfra når det hurtigt frem til e-mailindbakker, kontaktoplysninger eller dokumenter, der administreres via cloud-løsninger. Den perfekte gateway. Hvis et sådant angreb finder sted og påvirker kritiske data, vil ilden sandsynligvis sprede sig og inficere virksomhedens ressourcer. En type malware, der for nylig har tiltrukket sig særlig opmærksomhed, er ransomware. Dens trusselspotentiale er enormt. En uhyggelig nødvendighed, og ifølge BSI (det tyske forbundskontor for informationssikkerhed) mangedobles dens evne til at gøre skade, når den rammer virksomhedsnetværk. 

Skærm til quishing-prøver

Quishing af e-mails fra Volksbank & Sparkasse

Digital Reginheris

Formålet med ransomware er at kryptere brugerdata. Når denne proces er afsluttet, står offeret over for et krav om løsepenge. Antallet af berørte virksomheder er chokerende højt. Deres it- og forretningsprocesser forstyrres. Desuden truer de kriminelle ofte med at videregive eller sælge dataene. De går efter virksomheder i alle former og størrelser. Ifølge Cyber Readiness Report, som Hiscox udgav i 2022, betaler 48 % af de tyske virksomheder løsepenge efter et sådant angreb. Det afpressede beløb ligger ofte på et sekscifret eurobeløb. Ifølge BSI er der dog i nogle tilfælde blevet krævet ottecifrede beløb.

Mange ofre bliver chokerede over at opdage, at de kriminelle fortsætter med at stille krav, selv efter at de har betalt. Man skulle tro, at gerningsmændene kunne være sprunget ud af en nogenlunde spændende historisk dokumentarfilm. Disse scenarier minder om år 845, hvor vikingelederen Reginheri satte Paris under belejring. Karl den Skaldede, konge af Vestfrankrig, besluttede, at modstand var nytteløs, og betalte en sum på 7.000 pund sølv for at få de danske tropper til at trække sig tilbage. Ligesom deres kolleger i cyberspace 1.200 år senere kunne nordmændene og skjoldmøerne ikke modstå fristelsen til at afpresse yderligere betalinger. Så de fortsatte deres angreb.

Moderne forbrydere har måske ikke flettet skæg eller bærer stridsøkser på skuldrene, men de mener det alvorligt med deres krav, selv når løsesummen allerede er betalt. Uanset om de giver efter for afpresningsforsøg eller ej, er konsekvenserne som regel alvorlige for enkeltpersoner, virksomheder og offentlige institutioner. Quishing kan forårsage massiv skade: tab af data og omdømme, brud på GDPR eller økonomisk tab, for blot at nævne nogle få. 

Hvordan kan jeg beskytte mig selv mod quishing?

Spørgsmålet har måske ikke det samme filmiske potentiale som vikingeangreb, men det rummer lige så meget spænding: Hvordan kan du beskytte dig mod quishing? 

"Hvis du er i tvivl, så lad være med at scanne QR-koder" - det er et ret indlysende, men ikke desto mindre gyldigt svar. Men der opstår ofte problemer i tilfælde, hvor der ikke synes at være nogen tvivl. Cyberkriminelle er dygtige til at udnytte dybt indgroede menneskelige dispositioner og behov til at manipulere enkeltpersoner - såkaldt social engineering. Det kræver kun et stænk uvidenhed at fuldende katastrofecocktailen. Det er det, der gør det så svært at beskytte sig uden at fejle. Alligevel er der et par enkle regler, der hjælper med at minimere risikoen:   

  • Behandl QR-koder, som om de var links. Uanset om du finder dem på guerillakampagneplakater, på dokumenter eller i e-mails, er QR-koder i bund og grund links og udgør de samme risici.
  • Indtast ikke følsomme data. Anerkendte serviceudbydere vil aldrig sende en e-mail, hvor de beder dig om at angive fortrolige loginoplysninger. 
  • Tjek altid e-mailadressen eller browserens adresselinje, hvis du allerede er inde på en tvivlsom hjemmeside. 
  • Tjek e-mails og hjemmesideindhold omhyggeligt. Sjove stavefejl er ikke længere et særkende ved cyberkriminalitet. De fleste tekster er velformulerede. Alligevel nævner BSI flere karakteristika, som bør vække mistanke, selv om kun ét af dem er gældende: 
  1. Der er et presserende behov for handling  
  2. Trusler om alvorlige konsekvenser i tilfælde af manglende overholdelse. 
  3. Anmodning om at indtaste følsomme data 
  4. E-mailen indeholder links, QR-koder eller formularer 
  5. Usædvanlige anmodninger fra en kendt person eller organisation 
  • Hvis du er i tvivl, skal du dobbelttjekke via en officiel kommunikationskanal hos den pågældende tjenesteudbyder. 
  • Download eller åbn aldrig filer fra vedhæftede filer eller hjemmesider, medmindre du er helt sikker på, at de er ægte. 

Brug to- eller flerfaktorgodkendelse. Selv hvis det lykkes kriminelle at få fat i dine data, vil de stadig mangle en ekstra faktor for at logge ind. 

Ligesom billeder af rygerlunger på cigaretpakker, er skræmmekampagner og forenklede adfærdsregler kun en moderat succes - de er som regel glemt efter et par dage. Det betyder, at informationssikkerhed skal integreres i virksomhedens filosofi. Derfor er vores vigtigste tip at gennemføre løbende træning i sikkerhedsbevidsthed og fremme bevidstheden i din virksomhed. Når alt kommer til alt, er medarbejdernes uvidenhed om disse spørgsmål stadig det største problem, når det gælder de forskellige risici i forbindelse med tabnabbing eller andre cyberangreb. Udforsk, hvordan vores Cyber Training Awareness Program for medarbejdere kan styrke din organisations forsvar mod tabnabbing og forskellige andre onlinetrusler.

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante