Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Cyber Security eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymiskypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

Johtajuus

Tapaa MetaCompliance-johtoryhmä

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Phishing email: 5 yleistä phishing-sähköpostia

5 yleistä phishing-emailiä | Metacompliance

kirjoittajasta

Jaa tämä viesti

Phishing kaikissa muodoissaan, haitallisista sähköpostiviesteistä SMS-phishingiin (tekstiviestipyynnöt), sosiaalisessa mediassa tapahtuvaan phishingiin ja Vishingiin (puhelinsoittopyynnöt), on nykyään osa organisaation jokapäiväistä elämää.

Tietokalastussähköpostit ovat kuitenkin ylivoimaisesti yleisin tietojenkalastelumuoto.

Mitä ovat phishing-sähköpostit (phishing email)?

Phishing-sähköpostit ovat vilpillisiä viestejä, joita verkkorikolliset lähettävät laillisina tahoina esiintyen ja joiden tarkoituksena on huijata vastaanottajia luovuttamaan arkaluonteisia tietoja tai suorittamaan haitallisia toimia, kuten napsauttamaan haitallisia linkkejä tai lataamaan haittaohjelmia.

Ciscon "2021 Cybersecurity Threat Trends Report" -tutkimuksen mukaan noin 90 prosenttia tietomurroista alkaa phishing-sähköpostilla. Huolestuttavaa on, että raportin mukaan 86 prosentissa organisaatioista ainakin yksi henkilö klikkaa phishing-linkkiä. Mutta tietysti vain yksi klikkaus riittää siihen, että saatetaan saada lunnasohjelmatartunta tai altistua arkaluonteisille tiedoille jne.

Tietoverkkoriskien vähentämisessä auttaa se, että ymmärrät, millaisia taktiikoita käytetään eräissä yleisimmissä phishing-sähköpostihyökkäyksissä ja miten työntekijät voivat välttää niitä. Seuraavassa on viisi esimerkkiä phishing-sähköpostiviesteistä ja siitä, miten estetään työntekijöitä ottamasta riskejä.

Väärennetty lasku huijaus

Väärennetyt laskut ovat huijareiden suosikkihuijaus. Huijarit lähettävät sähköpostiviestejä, jotka sisältävät väärennettyjä laskuja, ja toivovat saavansa tietämättömän työntekijän kiinni. Jos väärennetty lasku maksetaan tai jos huijarille tehdään laskuun liittyvä kysely, rahat tai henkilötiedot todennäköisesti varastetaan.

Fishing-sähköpostiviestien sisältämien laskujen tyyppi vaihtelee, mutta esimerkkejä ovat seuraavat:

Tietoturvatuotteiden, kuten virustorjuntaohjelmistojen, laskutus.

  • Erääntyneet laskut väärennetyiltä toimittajilta
  • Verkkotunnuksen maksun päättymissähköpostit, joissa varoitetaan, että jos et toimi, verkkosivustosi ja sähköpostisi eivät ole käytettävissä. 
  • Rahankerääjät ja hyväntekeväisyysjärjestöjen laskut, joissa usein tarjotaan mainospaikkaa tai artikkelia hyväntekeväisyysjulkaisussa.
  • Business Email Compromise (BEC) on erittäin kehittynyt ja kohdennettu väärennettyjen laskujen huijausten muoto.

Miten välttää väärennettyjä laskujen huijauksia?

Laskuhuijaukset voivat olla hyvin kehittyneitä, ja huijarit kohdistuvat tiettyihin henkilöihin, kuten kirjanpidossa työskenteleviin tai talousjohtajiin. Sähköpostiviestit näyttävät aidoilta ja sisältävät usein kiireellisen "maksa nyt tai kärsi seurauksista" -tyyppisen viestin.

Käytä simuloitua phishing-koulutusta, joka tarjoaa roolipohjaista koulutusta, jotta voit kohdistaa sen käyttäjiin, jotka ovat suurimmassa vaarassa joutua väärennettyjen laskujen huijausten kohteeksi. Rooliin perustuvien phishing-simulaattoreiden avulla voit räätälöidä simuloidut phishing-kampanjat vastaamaan tosielämän haasteita, joita tietyt osastot ja henkilöstö kohtaavat.

esimerkki 1

Väärennetyt teknisen tuen sähköpostit

Kiireen tunteen luominen ja sääntöjen noudattaminen ovat kaksi huijareiden käyttämää manipulointitekniikkaa, joilla he huijaavat työntekijöitä klikkaamaan haitallisia linkkejä tai lataamaan saastuneita liitetiedostoja. Esimerkki tällaisesta käyttäytymisen manipuloinnista on phishing-sähköpostiviesteissä, jotka teeskentelevät olevansa teknisen tuen lähettämiä.

Alla olevassa esimerkissä henkilöstöä kehotetaan siirtymään uuteen verkkoportaaliin, josta se pääsee käsiksi tärkeisiin henkilökohtaisiin ja yritystietoihin - myös palkkatietoihin. Sähköpostiviestissä muistutetaan henkilöstöä siitä, että heillä on vain 24 tuntia aikaa noudattaa sääntöjä.

Sähköposti sisältää linkin haitalliselle verkkosivustolle. Jos työntekijä napsauttaa linkkiä ja siirtyy verkkosivustolle, häntä pyydetään syöttämään olemassa olevat kirjautumistiedot ja henkilötiedot. Jos hän tekee niin, nämä tiedot varastetaan, ja huijarit käyttävät kirjautumistietoja kirjautuakseen sisään varsinaiseen portaaliin.

Miten välttää väärennettyjä teknisen tuen sähköposteja?

Tämäntyyppiset yleiset spekulatiiviset phishing-sähköpostiviestit ovat riskialttiita koko henkilöstölle. Yleisen tietoturvatietoisuuskoulutuksen avulla olisi koulutettava kaikkia työntekijöitä kaikilla osastoilla siitä, miten verkossa voi olla turvassa.

Koulutus siitä, miten verkkorikolliset manipuloivat ihmisten käyttäytymistä, on ratkaisevan tärkeää koulutettaessa työntekijöitä huijareiden käyttämistä taktiikoista phishing-sähköposteja luotaessa. Tehokkaissa tietoturvatietoisuuskoulutusohjelmissa käytetään tarpeen mukaan tapahtuvaa oppimista, jossa käytetään tilaisuuksia huonon tietoturvakäyttäytymisen uudelleenkouluttamiseen.

Yleistä tietoturvatietoisuuskoulutusta olisi käytettävä yhdessä simuloitujen tietojenkalasteluharjoitusten kanssa, joissa käsitellään erityisesti tämäntyyppisiä tietojenkalasteluhyökkäyksiä. Tämä tarkoittaa sähköpostiviestejä, jotka näyttävät olevan sisäisiltä osastoilta ja joissa käytetään taktiikoita, kuten kiireellisyyttä ja kurinpidon uhkaa, jos niihin ei tartuta. 

esimerkki 2

Verohuijaukset

Verohuijaukset lisääntyvät usein verokauden aikana, mutta niitä voi tapahtua milloin tahansa. Usein näissä sähköposteissa tarjotaan veronpalautusta. HMRC toteaa kuitenkin nimenomaisesti verkkosivuillaan: "HMRC ei koskaan lähetä sähköpostitse ilmoituksia veronpalautuksista tai veronpalautuksista".."

Verohuijaussähköpostit ovat tyypillisesti realistisen näköisiä ja usein hyvin koostettuja. Huijaajat käyttävät HMRC:n logoa ja siihen liittyvää tuotemerkkiä saadakseen phishing-sähköpostit näyttämään laillisilta. Sähköpostiviestissä on yleensä linkki HMRC:n Gateway-kirjautumissivulle. Verkkosivu, jolle linkki johtaa, on väärennetty verkkosivusto, jota käytetään tietojen keräämiseen ja niiden lähettämiseen huijauksen takana oleville huijareille. Joskus nämä verkkosivustot sisältävät myös haittaohjelmia, ja kuka tahansa, joka navigoi kyseiselle verkkosivustolle, voi päätyä saastuneeseen laitteeseen.

Miten välttää verohuijauksia

Verohuijaukset voivat olla kohdentamattomia ja ne voidaan lähettää kenelle tahansa organisaatiossa. Tehokkaimmat verohuijaukset lähetetään kuitenkin tietyille talousosastojen työntekijöille. Vaikka onkin tärkeää sisällyttää verohuijaukset kaikille suunnattuihin simuloituihin phishing-harjoituksiin, sinun olisi myös keskityttävä kouluttamaan kaikkia talousosaston työntekijöitä niistä. Kouluttakaa verokauden kynnyksellä työntekijöitä, erityisesti talousosaston työntekijöitä, jotta he ovat valmiita näiden phishing-sähköpostien todennäköiseen hyökkäykseen.

"Sähköpostitili ongelma" phishing email

Oletetaan, että työntekijä saa kiireelliseltä kuulostavan sähköpostiviestin, jossa hänelle ilmoitetaan, että hänen sähköpostitilinsä on keskeytymässä tai että se on päivitettävä kiireellisesti. Tällöin hän saattaa tuntea itsensä pakotetuksi klikkaamaan linkkiä "ongelman" korjaamiseksi. Tämä sähköposti voi kuitenkin olla phishing-huijaus, joka johtaa varastettuihin tunnuksiin.

Alla olevassa phishing-sähköpostiesimerkissä näkyy, miten Microsoftin tuotemerkkiä on käytetty lisäämään painoarvoa väitteelle, jonka mukaan käyttäjän sähköpostitili on vaarassa. Sähköpostissa oleva linkki on haitallinen ja vie käyttäjän verkkosivustolle, joka näyttää Microsoft Office 365:n kirjautumissivulta.

Microsoft on usein viiden eniten väärennettyjen tuotemerkkien joukossa, joita käytetään phishing-viesteissä. Ciscon mukaan viisi suurinta väärennettyä tuotemerkkiä vuoden 2022 ensimmäisellä neljänneksellä ovat:

  1. LinkedIn (liittyy 52 prosenttiin kaikista phishing-hyökkäyksistä maailmanlaajuisesti).
  2. DHL (14 %)
  3. Google (7 %)
  4. Microsoft (6 %)
  5. FedEx (6 %)

Kuinka välttää "Microsoft Email Problem" -phishing-sähköposti

Huijarit käyttävät usein Microsoftia ja muita tunnettuja tuotemerkkejä antaakseen työntekijöille väärän turvallisuuden tunteen. Tuotemerkkiuskollisuutta ja luottamusta käytetään varmistamaan, että uhrit tarttuvat sähköpostiviestiin ja napsauttavat haitallista linkkiä. Simuloitujen phishing-harjoitusten avulla työntekijät voidaan opettaa varomaan merkkisähköposteja, jotka sisältävät käyttäytymisen manipulointitaktiikoita, kuten kiireellisyyttä.

esimerkki 3

Google Docs huijaus

Yritykset käyttävät säännöllisesti Google docsia asiakirjojen ja ideoiden tallentamiseen ja yhteistyöhön kollegoiden kanssa. Vuonna 2020 Googlen GSuite-palveluun oli liittynyt yli 6 miljoonaa yritystä. Nämä lukuisat käyttäjät tekevät Googlesta halutun kohteen huijareille.

Äskettäinen uudenlainen phishing-pohjainen hyökkäys, jossa GSuitea käytetään kohteen koukuttamiseen, osoittaa, kuinka innovatiivisia hakkerit voivat olla. Tässä huijauksessa huijari luo Google-dokumentin ja kommentoi sitä @-merkinnällä kohdistaakseen hyökkäyksen tiettyyn käyttäjään. Tämä saa Googlen lähettämään kohteen postilaatikkoon ilmoituksen kommentista. Googlen sähköposti on aito, mutta siihen on upotettu kommentti. Tämä kommentti sisältää yleensä haitallisia linkkejä, joita napsauttamalla työntekijä siirtyy haitalliselle verkkosivustolle.

Google on hiljattain päivittänyt kommentit niin, että ihmiset näkevät, kuka kommentin on jättänyt. Huijaajat päivittävät kuitenkin jatkuvasti taktiikkaansa, ja uusi GSuite-huijaus saattaa ilmestyä pian.

Miten välttää GSuite Comment (ja vastaavia) huijauksia?

Taitavasti naamioidut phishing-sähköpostit voivat käyttää apuna laillisia sähköposteja ja vastaavia palveluja, kuten GSuite-kommenttihuijaus. Näiden hienostuneiden huijausten vuoksi työntekijöiden on vaikea tunnistaa huijausta.

Turvallisuustietoisuuskoulutuksessa olisi otettava huomioon yrityksen käytännöt, mukaan lukien pilvipohjaisten asiakirjavarastojen käyttö ja se, kuka voi tehdä yhteistyötä yrityksen asiakirjojen kanssa ja kuka ei. Kun toteutat tietoturvakoulutusta, varmista, että sinulla on uusimmat huijaustiedot ja että sisältö vastaa uusimpia huijauksia.

Käytä tietoturvatietoisuuskoulutusta ja simuloitua phishing-alustaa, joka tarjoaa erinomaista tukea koulutusohjelmien rakentamiseen, jotka ovat roolipohjaisia ja jotka tarjoavat useita kieliä ja esteettömyystuen.

On myös tärkeää tiedostaa, että petostentekijät muuttavat säännöllisesti taktiikkaansa välttääkseen paljastumisen. Siksi on tärkeää järjestää säännöllisesti tietoturvatietoisuuskoulutusta ympäri vuoden.

Lunnasohjelmien riski

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.