Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Kyberturvallisuuden eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymisen kypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Mitä on Credential Stuffing?

Mikä on Credential Stuffing

kirjoittajasta

Jaa tämä viesti

Tunnusten täyttäminen on ollut otsikoissa viime vuosina, ja siitä on tullut nopeasti verkkorikollisten valitsema hyökkäysmenetelmä.

1. tammikuuta 2018 ja 31. joulukuuta 2019 välisenä aikana Akamai Technologies kirjasi yli 88 miljardia hyökkäystä kaikilla toimialoilla. Tämän luvun odotetaan vain kasvavan tietomurtojen lisääntyessä ja massiivisen siirtymisen verkkopalveluihin Covid-19-pandemian aikana.

Tunnusten täyttämishyökkäykset tapahtuvat, kun rikolliset käyttävät suuria määriä varastettuja käyttäjätunnuksia ja salasanoja saadakseen vilpillisesti pääsyn käyttäjätileille. Nämä tiedot saadaan yleensä pimeästä verkosta jonkin monista yritysten tietomurroista seurauksena.

Käyttämällä laajamittaisia botteja ja erikoistuneita automatisointityökaluja hakkerit voivat sitten käyttää varastettuja tunnistetietoja useisiin kirjautumispyyntöihin eri sivustoilla. Tämäntyyppinen hyökkäys on suhteellisen helppo toteuttaa, ja se perustuu pitkälti siihen, että ihmiset käyttävät samaa salasanaa uudelleen.

Kyseessä on oikeastaan eräänlainen brute force -hyökkäys, mutta satunnaisten salasanayhdistelmien arvaamisen sijasta siinä käytetään laillisia tunnistetietoja, mikä parantaa yleistä onnistumisprosenttia.

Kuten useimmilla verkkohyökkäyksillä, niiden ensisijainen motiivi on taloudellinen. Hakkerit pyrkivät hankkimaan rahaa vaarantuneilta tileiltä saamalla pääsyn linkitetyille pankkitileille tai käyttävät henkilötietoja identiteettivarkauksiin.

Mikä ruokkii Credential Stuffing -hyökkäysten kasvua?

Mikä ruokkii tunnistetietojen täyttämishyökkäysten kasvua?

Kyse on yksinkertaisesti miljardeista vaarantuneista valtakirjoista, jotka ovat helposti ostettavissa pimeästä verkosta. HaveIBeenPwned.com-sivustolla seurataan yli 8,5 miljardia vaarantunutta tunnistetietoa yli 400 tietomurrosta, ja jotkut näistä murroista ovat aivan valtavia.

Merkittävin esimerkki tästä on Collection #1: n megamurto. Tietomurto tuli julki vuonna 2019 ja paljasti 1,2 miljardia yksilöllistä sähköpostiosoitetta ja salasanayhdistelmää, 773 miljoonaa yksilöllistä sähköpostiosoitetta ja 21 miljoonaa salasanaa.

Näin helpolla pääsyllä valtaviin tietomääriin hakkerit voivat testata miljoonia erilaisia sähköpostiosoite- ja salasanakombinaatioita siinä toivossa, että käyttäjät ovat käyttäneet samaa salasanaa uudelleen.

Hakkerien hyökkäyksiin käyttämien työkalujen kehittyminen on myös helpottanut useiden kirjautumisyritysten tekemistä, kun ne näyttävät olevan peräisin eri IP-osoitteista.

Mitä toimialoja valtakirjojen täyttämishyökkäykset koskevat?

Kaikki toimialat ovat tunnistetietojen täyttämishyökkäysten kohteita, mutta jotkin alat ovat alttiimpia kuin toiset. Yleisimpiä kohteita ovat sähköinen kaupankäynti, vähittäiskauppa, rahoituspalvelut, viihde, korkeakoulutus ja terveydenhuolto.

Rahoituspalveluala on kärsinyt erityisen pahasti, ja tämän vuoden syyskuussa FBI varoitti rahoitusalan organisaatioita näiden hyökkäysten lisääntymisestä. Virasto havaitsi, että 41 prosenttia kaikista finanssialan hyökkäyksistä vuosina 2017-2020 johtui valtakirjojen täyttämisestä, minkä seurauksena menetettiin miljoonia dollareita.

Tämäntyyppisillä hyökkäyksillä voi olla tuhoisia seurauksia yrityksille, kuten tulojen menetys, toiminnan keskeytyminen, maineelle aiheutuva vahinko, taloudelliset seuraamukset ja asiakkaiden menettäminen.

Esimerkkejä viimeaikaisista Credential Stuffing -hyökkäyksistä

Valtakirjahyökkäyksistä johtuvien tietomurtojen määrä on lisääntynyt huomattavasti. Viimeaikaisia esimerkkejä ovat mm:

  • Dunkin Donuts - Helmikuussa 2019 Dunkin Donuts vahvisti, että se oli joutunut toisen kerran kolmen kuukauden sisällä hyökkäyksen kohteeksi. Molemmissa hyökkäyksissä hakkerit käyttivät muilta sivustoilta vuotaneita varastettuja tunnistetietoja päästäkseen käsiksi DD Perks -palkkiotileihin. Sisään päästyään he saivat käyttöönsä käyttäjien etu- ja sukunimet, sähköpostiosoitteen, DD Perks -tilinumerot ja DD Perks -QR-koodin. Tässä nimenomaisessa hyökkäyksessä hakkerit eivät halunneet käyttäjän henkilökohtaisia tietoja, vaan itse tilin, jonka he sitten myivät pimeässä verkossa.
  • Nintendo - Huhtikuussa 2020 Nintendo ilmoitti, että 160 000 tiliä oli murtauduttu tunnistetietojen täyttämishyökkäyksessä. Käyttämällä aiemmin paljastettuja käyttäjätunnuksia ja salasanoja hakkerit pääsivät käsiksi käyttäjätileihin, jolloin he pystyivät ostamaan digitaalisia tuotteita tallennetuilla korteilla. He pystyivät myös näkemään arkaluonteisia tietoja, kuten nimen, sähköpostiosoitteen, syntymäajan, sukupuolen ja maan.

Kuinka estää tunnistetietojen täyttäminen

Vahva salasanaturvallisuus

Estä Credential Stuffing vahvat salasanat

Me kaikki tiedämme, että on tärkeää käyttää vahvoja ja yksilöllisiä salasanoja, mutta Googlen äskettäin tekemän tietoturvatutkimuksen mukaan 65 prosenttia ihmisistä käyttää samaa salasanaa useilla tileillä.

Tämä on erittäin riskialtis käytäntö, sillä tunnusten täyttämishyökkäykset perustuvat pitkälti siihen, että käytämme samoja vanhoja, uudelleen käytettyjä salasanoja. Saattaa olla, että sinun on tarkoitus tehdä niin, mutta kannattaa tehdä digitaalinen siivous ja luoda yksilölliset salasanat jokaiselle verkkotilillesi.

Erinomainen tapa luoda pidempi ja monimutkaisempi salasana on käyttää salasanaa. Tunnuslause on lauseen kaltainen sanajono, joka jää mieleesi mutta jota muiden on vaikea murtaa. Kunkin sanan ensimmäinen kirjain muodostaa salasanasi perustan, ja kirjaimet voidaan korvata numeroilla ja symboleilla, jolloin salasanasta tulee entistäkin turvallisempi.

Käytä salasanahallintaa

Jos ajatus useiden salasanojen muistamisesta pelottaa sinua, salasanahallinta voi olla ratkaisu. Salasanahallinta tarjoaa keskitetyn ja salatun paikan, jossa kaikki salasanasi ovat turvassa.

Salasanojen hallintaohjelmat tallentavat kaikkien käyttämiesi verkkosivustojen kirjautumistiedot ja kirjautuvat sisään automaattisesti aina, kun palaat sivustolle. Ensimmäinen vaihe salasanahallintaa käytettäessä on luoda pääsalasana. Pääsalasanalla valvotaan pääsyä koko salasanatietokantaasi. Tämä salasana on ainoa, joka sinun on muistettava, joten on tärkeää tehdä siitä mahdollisimman vahva ja turvallinen.

Salasanojen hallintaohjelmat voivat myös suojata phishing-hyökkäyksiltä, sillä ne täyttävät tilitiedot rekisteröityjen verkko-osoitteiden perusteella. Tämä tarkoittaa, että jos luulet olevasi pankkisi verkkosivustolla, mutta salasanahallinta ei kirjaudu sisään automaattisesti, olet saattanut vahingossa eksyä phishing-sivustolle.

Ota käyttöön monitekijätodennus

Estää valtakirjojen täyttämisen MFA

Monitekijätodennus, joka tunnetaan myös nimellä MFA, on yksi parhaista tavoista suojata verkkotilisi turvallisuus. Microsoftin mukaan tilisi vaarantuminen on yli 99,9 prosenttia epätodennäköisempää, jos käytät MFA:ta.

Sen sijaan, että vahvistaisit henkilöllisyytesi pelkällä käyttäjätunnuksella ja salasanalla, sinun on annettava kaksi tai useampia todennustekijöitä, joita vain sinä voit käyttää. Tämä vähentää hakkerin mahdollisuutta päästä helposti käsiksi tileihisi.

Henkilöllisyytesi vahvistamiseen voidaan käyttää monia erilaisia todennustekniikoita, ja ne perustuvat yleensä johonkin, jonka tiedät, jollain, joka sinulla on, tai johonkin, joka olet.

Jotkin näistä varmistusmenetelmistä ovat epäilemättä turvallisempia kuin toiset, mutta pohjimmiltaan se tarkoittaa, että vaikka joku varastaisi tai arvaisi salasanasi, hän ei pääse tilillesi ilman toista todentavaa tekijää.

Seuraa ja estä epäilyttävät kirjautumisyritykset

Kun hakkerit yrittävät murtautua tileille tunnusten täyttämisen avulla, he käyttävät usein botteja tai muita automatisoituja työkaluja syöttääkseen tuhansia tunnuksia nopeasti peräkkäin. Tunnukset ovat yleensä jakautuneet useisiin IP-osoitteisiin, minkä vuoksi on vaikea määrittää, ovatko ne laillisia kirjautumisyrityksiä vai merkkejä koordinoidusta hyökkäyksestä.

Jos kirjautumisyrityksiä kuitenkin epäonnistuu useita suhteellisen lyhyen ajanjakson aikana, se voi olla merkki siitä, että kyseessä on tunnusten täyttämishyökkäys. Tämän estämiseksi IT-osastot voivat asettaa rajoituksen kirjautumisyritysten määrälle, jonka yksittäinen IP-osoite voi tehdä tietyn ajan kuluessa. Ne voivat myös seurata kirjautumisia, jotka johtavat petokseen, ja laittaa nämä IP-osoitteet mustalle listalle.

Tietoturvatietoisuus Dummiesille

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.