[email protected] +44 (0)20 7917 9527
Varaa esittely
Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Kyberturvallisuuden eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Kyberpoliisi Osastokohtainen kyberturvallisuuskoulutus
Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Poliisivoimat

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Kyberturvallisuuden blogi Uutishuone Webcastit
Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymisen kypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Tietoturvatietoisuus
Phishing & Ransomware
eLearning
Politiikan hallinta
Vaatimustenmukaisuus
Tietosuoja, GDPR & CCPA
GRC

Pikaopas yrityssähköpostin tietoturvaloukkaukseen (BEC)

estää huijauksia

kirjoittajasta

James MacKayn kuva

James MacKay | MetaCompliance

James MacKay on MetaCompliancen COO ja tunnustettu tietoturvakoulutuksen asiantuntija. James MacKay on perehtynyt syvällisesti tehokkaan tietoturvatietoisuuskoulutuksen järjestämiseen ja on sitoutunut auttamaan organisaatioita pitämään henkilöstönsä turvassa verkossa, turvaamaan digitaalisen omaisuutensa ja suojaamaan yrityksensä mainetta. 

Jaa tämä viesti

Business Email Compromise (BEC), joka tunnetaan myös nimellä CEO-petos, on eräänlainen phishing-hyökkäys, jossa tietoverkkorikollinen esiintyy korkea-arvoisena johtajana saadakseen työntekijän, asiakkaan tai myyjän siirtämään rahaa petolliselle tilille tai luovuttamaan arkaluonteisia tietoja.

Murtautumalla virallisille sähköpostitileille rikolliset voivat seurata verkkotoimintaa ja selvittää, kenellä on valtuudet rahansiirtojen käynnistämiseen. Useimmissa tapauksissa hyökkääjät tekeytyvät toimitusjohtajiksi, talousjohtajiksi tai muiksi C-tason johtajiksi, ja tyypillisesti he yhdistävät erilaisia sosiaalisen manipuloinnin tekniikoita manipuloidakseen käyttäjää toimimaan.

Viime vuosina yrityssähköpostihyökkäysten määrä on kasvanut jyrkästi, ja sähköpostinhallintayritys Mimecastin viimeisimmän sähköpostiturvallisuusriskien arviointiraportin mukaan BEC-hyökkäykset ovat lisääntyneet 80 prosenttia pelkästään viimeisen vuosineljänneksen aikana.

Yrityssähköpostin tietoturvaloukkausten aiheuttamat maailmanlaajuiset tappiot ovat ylittäneet 12,5 miljardia dollaria, ja uhrit voivat kärsiä huomattavia tappioita, mikä on käynyt ilmi useista viimeaikaisista korkean profiilin hyökkäyksistä.

Maaliskuussa 2018 ranskalainen elokuvateatteriketju Pathé joutui kehittyneen Business Email Compromise -huijauksen uhriksi, joka maksoi sille yli 19 miljoonaa euroa.

Rohkea ryöstö onnistui, kun huijarit tekeytyivät toimitusjohtajaksi ja vakuuttivat tuotemerkin Alankomaiden toimiston toimitusjohtajan ja talousjohtajan siirtämään varat viiden peräkkäisen rahansiirron aikana.

Epäilyistä huolimatta rikolliset saivat huijauksensa näyttämään mahdollisimman vakuuttavalta luomalla sähköpostiviestejä, jotka olivat lähes identtisiä Pathén virallisen verkkotunnuksen kanssa. Yritys menetti 10 prosenttia kokonaistuloksestaan, ja molemmat johtajat saivat potkut.

Hyökkäys osoitti, miten tarkkaan verkkorikolliset kiinnittävät huomiota yksityiskohtiin tunkeutuessaan yritykseen, ja millaisia kauaskantoisia seurauksia BEC-hyökkäyksellä voi olla yritykselle.

Miten Business Email Compromise -huijaus toimii

Miten Business Email Compromise toimii

Toisin kuin perinteiset phishing-hyökkäykset, jotka kohdistuvat yleensä suureen määrään työntekijöitä, BEC-hyökkäykset ovat hyvin kohdennettuja ja kohdennettuja. Rikolliset käyttävät paljon aikaa yritysten korkeissa asemissa olevien henkilöiden tutkimiseen ennen hyökkäyksen käynnistämistä.

Jotta kirjeenvaihto vaikuttaisi mahdollisimman vakuuttavalta, huijarit käyvät läpi yritysten verkkosivustot, verkkolähteet ja sosiaalisen median sivustot, kuten LinkedIn, kerätäkseen mahdollisimman paljon tietoa mahdollisesta uhristaan.

Heti kun he ovat saaneet tutkimuksensa valmiiksi, he käyttävät kohdennettua tekniikkaa, kuten Spear Phishingiä, päästäkseen käsiksi yrityksen järjestelmiin. Kun rikolliset ovat päässeet järjestelmään, he voivat tarkkailla tarkkaan, miten maksutapahtumat tehdään, ennen kuin he aloittavat hyökkäyksen.

Tämän jälkeen rikollinen lähettää väärennetyn sähköpostiviestin, joka näyttää toimitusjohtajalta ja pyytää organisaation työntekijältä kiireellistä varainsiirtoa. Korkean tason kohdentaminen auttaa sähköpostia pääsemään roskapostisuodattimien läpi, ja väärennetyn sähköpostiosoitteen käyttö lisää pyynnön laillisuutta.

Tämä on niin yksityiskohtaista, että rikolliset päättävät usein käynnistää hyökkäyksensä silloin, kun johtava johtaja on työmatkalla eikä pysty henkilökohtaisesti tarkistamaan pyyntöä. Jos uhri on langennut huijaukseen, hänen siirtämänsä rahat lähetetään nopeasti ulkomailla sijaitseville tileille, mikä vaikeuttaa varastettujen rahojen takaisin saamista.

Tyypit Business Email Compromise huijauksia

Tyypit Business Email Compromise huijauksia

Toimitusjohtajahuijaus - Tässä hyökkäystyypissä verkkorikolliset esiintyvät toimitusjohtajana tai muuna korkean tason johtajana. Kun heidän tilinsä on hakkeroitu ja sähköpostiosoite on väärennetty, he lähettävät työntekijälle sähköpostin, jossa he pyytävät varojen siirtoa tilille, jonka he ovat erityisesti perustaneet. Sähköpostiviestit merkitään usein kiireellisiksi, jotta työntekijä ei tarkistaisi pyyntöä tai keskustelisi siitä toisen työntekijän kanssa.

Valelaskujärjestelmä - Tätä huijausta käytetään usein sellaisia yrityksiä vastaan, jotka käyttävät paljon ulkomaisia toimittajia. Yritys saa sähköpostiviestin, joka näyttää olevan yksi sen nykyisistä toimittajista ja jossa pyydetään vaihtamaan maksukohtaa. Kaikki maksut siirretään tällöin suoraan huijarin tilille.

Tilin vaarantaminen - Tämäntyyppiset hyökkäykset ovat yleisempiä pienemmissä yrityksissä, joissa laskutus hoidetaan suoraan sähköpostin kautta. Verkkorikolliset hakkeroivat työntekijän sähköpostitilin ja sieppaavat kaikki laskun sisältävät sähköpostit. Kun he ovat valinneet kohteensa, he ottavat yhteyttä myyjään ja ilmoittavat, että maksun kanssa oli ongelmia, ja pyytävät lähettämään sen uudelleen toiselle petolliselle tilille, jonka he ovat perustaneet.

Asianajajan / asianajajan esittäminen - Tässä huijauksessa rikolliset esiintyvät yrityksen lakiasiaintoimistona ja pyytävät kiireellistä varojen siirtoa oikeudellisen riidan tai maksamattoman laskun hoitamiseksi. Työntekijälle kerrotaan, että asia on ehdottoman luottamuksellinen, jotta hän ei keskustelisi pyynnöstä kenenkään muun kanssa. Hyökkäykset tapahtuvat usein työviikon lopulla, jotta työntekijä joutuisi toimimaan nopeasti.

Tietovarkaus - Tämä on ainoa BEC-huijaus, jossa ei pyydetä suoraa pankkisiirtoa. Tietovarkaushyökkäykset tapahtuvat, kun tietoverkkorikollinen murtautuu johtavan johtajan sähköpostitilille ja pyytää, että hänelle lähetetään arkaluonteisia yritystietoja. Tämäntyyppiset hyökkäykset kohdistuvat yleensä henkilöstö- ja talousosastoihin, ja ne ovat usein esiaste suuremmalle ja vahingollisemmalle verkkohyökkäykselle.

Varoitusmerkit yrityssähköpostin tietoturvaloukkauksesta

BEC-hyökkäykset

  • Suuri varainsiirto vastaanottajalle, jonka kanssa yritys ei ole koskaan aiemmin ollut tekemisissä.
  • Siirrot aloitetaan lähellä päivän / työviikon loppua.
  • Sähköpostiviestit, jotka sisältävät kiireellistä kieltä ja ovat luonteeltaan salamyhkäisiä.
  • Pienet muutokset sähköpostiosoitteeseen, joka jäljittelee laillista yritysosoitetta.
  • Vastaanottajan tilille ei ole aiemmin tehty suuria rahansiirtoja.
  • Vastaanottajatili on henkilökohtainen tili rekisteröidyn yritystilin sijaan.

Miten estää yritysten sähköpostihyökkäykset?

miten estää Business Email Compromise -hyökkäykset

  • Tietoturvakoulutus on yksi tehokkaimmista keinoista torjua BEC-hyökkäyksiä. Säännöllisellä koulutuksella varmistetaan, että henkilökunta osaa tunnistaa haitalliset sähköpostit, sosiaalisen manipuloinnin taktiikat, tunnistaa epäilyttävät pyynnöt ja noudattaa oikeita menettelytapoja rahansiirtojen käsittelyssä.
  • C-tason johtajien koulutus - On myös elintärkeää, että C-tason johtajat saavat tehtäväkohtaista koulutusta, jossa käsitellään heidän päivittäin kohtaamiaan ainutlaatuisia uhkia.
  • Työntekijöiden on kyseenalaistettava ja tarkistettava kaikki luottamukselliset pyynnöt, erityisesti ne, joita toimitusjohtaja tai muut yrityksen johtavat työntekijät pitävät kiireellisinä.
  • Minimoi niiden työntekijöiden määrä, joilla on valtuudet siirtää varoja.
  • Käytä monitekijätodennusta kaikilla sähköpostitileillä.
  • Otetaan käyttöön kaksivaiheinen varmennusprosessi kaikille maksuille, johon sisältyy muu kuin sähköpostitarkastus, kuten puhelimitse tai suullisesti suoritettava todentaminen.
  • Kehitetään kirjalliset menettelyt kaikkien rahoitustapahtumien hyväksymistä varten.
  • Lähetä kaikki sähköpostit salatun palvelimen kautta.
  • Älä julkaise arkaluonteisia tietoja yrityksen verkkosivustoilla tai sosiaalisessa mediassa.
  • Harkitse sähköpostibannerin käyttöä, joka ilmoittaa työntekijöille, jos sähköposti on tullut ulkoisesta lähteestä.

Työntekijät ovat suurin uhka organisaation turvallisuudelle, joten on tärkeää, että heillä on tarvittavat taidot verkkohyökkäysten estämiseksi. MetaLearning Fusion on seuraavan sukupolven verkko-opetusta, ja se on suunniteltu erityisesti tarjoamaan henkilöstöllesi parasta mahdollista koulutusta kyberturvallisuudesta ja yksityisyyden suojasta. Organisaatiot voivat rakentaa henkilöstölleen räätälöityjä kursseja laajasta lyhyiden eLearning-kurssien kirjastosta. Ota yhteyttä, niin saat lisätietoja siitä, miten MetaLearningin avulla voit muuttaa kyberturvallisuuskoulutusta organisaatiossasi.

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.

Pyydä demo

Pyydä maksuton esittely jo tänään ja katso, miten maailmanluokan kyberturvallisuusvalistuskoulutuksemme voisi hyödyttää organisaatiotasi.

Demo vie vain 30 minuuttia ajastasi, eikä sinun tarvitse asentaa mitään ohjelmistoja.

Lue, miten pidämme tietosi turvassa - lue meidän tietosuojakäytäntömme.

Pyydä demo

Pyydä maksuton esittely jo tänään ja katso, miten maailmanluokan kyberturvallisuusvalistuskoulutuksemme voisi hyödyttää organisaatiotasi.

Demo vie vain 30 minuuttia ajastasi, eikä sinun tarvitse asentaa mitään ohjelmistoja.

Lue, miten pidämme tietosi turvassa - lue meidän tietosuojakäytäntömme.