Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Cyber Security eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymiskypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

Johtajuus

Tapaa MetaCompliance-johtoryhmä

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Social engineering -hyökkäys: 5 merkittävää esimerkkiä sosiaalisesta suunnittelusta

Social Engineering: 5 esimerkkiä sosiaalisesta manipuloinnista

kirjoittajasta

Jaa tämä viesti

Mitä on social engineering? Tutustu artikkelissa viiteen kuuluisaan esimerkkiin sosiaalisesta manipuloinnista ja selvitä, miten nämä taktiikat huijaavat ihmisiä. Todellakin, ihmiset ovat luonnostaan sosiaalisia olentoja, jotka nauttivat seurustelusta, viestinnästä, työstä ja yhteisistä aktiviteeteista. Tämä luottamukseen perustuva sosiaalisuus helpottaa yhteistyötä ja rinnakkaiseloa ihmisryhmissä.

Verkkorikolliset käyttävät kuitenkin hyväkseen juuri näitä sosiaalisia piirteitä ja pyrkivät aiheuttamaan vahinkoa. Social Engineering -hyökkäykset hyödyntävät näitä haavoittuvuuksia ja käyttävät petosta ja henkilöitymistä manipuloidakseen ihmisiä toimimaan huijarin tavoitteiden mukaisesti.

Tämä käy ilmi Verizon Data Breach Investigations Report (DBIR) -raportista vuodelta 2023, jonka mukaan 82 prosentissa tietomurroista on mukana inhimillinen tekijä.

Seuraavassa tarkastellaan, miten sosiaalista manipulointia hyödyntävät hyökkäykset tapahtuvat ja mitä voit tehdä estääkseen henkilökuntasi joutumisen sosiaalisen manipuloinnin kohteeksi.

Miten social engineering -hyökkäykset tapahtuvat?

Tuoreen raportin mukaan keskimääräinen organisaatio joutuu kokemaan 700 sosiaaliseen manipulointiin liittyvää hyökkäystä vuodessa. Sosiaalisen manipuloinnin hyökkäyksiä on monenlaisia, ja ne kehittyvät uusiksi, jotta ne eivät paljastuisi.

Sosiaalisen suunnittelun hyökkäyksen tarkoituksena on saada joku tekemään jotain, joka hyödyttää verkkorikollista. Esimerkiksi henkilön huijaaminen paljastamaan taloudellisia tietoja, joita käytetään sitten petosten tekemiseen.

Sosiaalinen manipulointi ei ole vain digitaalisten menetelmien käyttöä. Sosiaaliset insinöörit turvautuvat mihin tahansa taktiikkaan rakentaakseen ihmisten huijaamiseen tarvittavat rakenteet. Tämä voi tarkoittaa esimerkiksi puhelimen käyttöä tai toimistoon kävelemistä ja keskustelua henkilökunnan kanssa.

Tämänhetkisiä suosikkitemppuja ovat mm:

Pretexting ja tailgating: hyökkääjät teeskentelevät olevansa työtoveri tai auktoriteettihenkilö, esimerkiksi poliisi. He käyttävät tätä valepukua luodakseen luottamuksen kohteeseen digitaalisen menetelmän, puhelimen tai henkilökohtaisen tapaamisen kautta. Kun luottamus on luotu, huijari yrittää saada tietoja, kuten henkilötietoja tai taloudellisia yksityiskohtia.

Lisäksi hännänvartijat tekevät usein fyysisiä hyökkäyksiä yrityksiin ja keksivät keinoja päästä rakennukseen, livahtaa sisään huomaamatta tai jopa kutsuttuna. Kun he ovat päässeet rakennukseen, he voivat käyttää helposti saatavilla olevia työkaluja, kuten RubberDucky USB:tä, jota lailliset tunkeutumistestaajat käyttävät, varastamaan tietoja, kuten kirjautumistietoja.

Phishing: Phishing on monenlaista, kuten sähköpostia, puhelinsoittoja, sosiaalisen median viestejä ja tekstiviestejä. Phishing-hyökkäysviesteissä käytetään sosiaalista manipulointia, teeskentelyä, luottamusta ja klikkailunhalua, jotta vastaanottajat paljastaisivat henkilökohtaisia tietoja, kuten salasanoja ja luottokorttitietoja.

Yhdistyneen kuningaskunnan hallituksen tekemässä verkkoturvallisuutta koskevassa tutkimuksessa todettiin, että valtaosa (83 %) yrityksistä, jotka havaitsivat verkkohyökkäyksen, kertoi, että hyökkäyksen ensisijainen kohde oli tietojenkalasteluhyökkäys.

Spearphishing on kohdennettu phishing-muoto, jossa sosiaalinen manipulointi on menestyksekkäimmillään. Spearphishing-sähköposteja on vaikea erottaa laillisista sähköposteista, koska huijarit näkevät paljon vaivaa saadakseen ne näyttämään realistisilta ja luovat usein luottamuksellisia suhteita kohteeseensa. Spearphishing on vuoden 2018 DBIR:n mukaan 93 prosentin kyberhyökkäysten takana.

Baiting: Tässä sosiaalisen manipuloinnin hyökkäyksessä käytetään houkutusta tai pelkoa siitä, että menetetään jotain (FOMO), kannustamaan tiettyyn käyttäytymiseen. Työntekijälle saatetaan esimerkiksi tarjota ilmaisia lahjoja, jos hän antaa henkilökohtaisia tai yrityksen tietoja tai salasanoja.

Miksi social engineering -hyökkäykset ovat tehokkaita?

Ihmiset ovat kehittyneet toimimaan ja käyttäytymään tietyllä tavalla luodakseen vahvoja ja yhtenäisiä sosiaalisia rakenteita. Luottamuksen kaltaiset elementit ovat yhtenäisten yhteiskuntien elintärkeitä osia. Ilman luottamusta suhteet epäonnistuvat.

Huijarit ymmärtävät ihmisten käyttäytymistä ja tarvetta rakentaa luottamuksellisia suhteita. He ymmärtävät myös, miten manipuloida ihmisiä esiintymällä luotettavana henkilönä tai rakentamalla luottamusta.

Tietoverkkorikolliset käyttävät hyväkseen myös muita inhimillisiä käyttäytymismalleja, kuten halua tehdä hyvää työtä, olla joutumatta vaikeuksiin tai olla jäämättä paitsi hyvästä asiasta. Kaikki nämä luonnolliset toimet, joita teemme päivittäin koti- ja työelämässä, ovat alttiita tietoverkkorikollisten hyväksikäytölle, kun he pyrkivät varastamaan tietoja ja pääsemään verkkoihin pahansuovien tekojen toteuttamiseksi.

5 esimerkkiä Social Engineering -hyökkäyksistä

Esimerkkejä sosiaalisesta manipuloinnista julkaistaan säännöllisesti lehdistössä, mutta tässä on viisi esimerkkiä, jotka antavat sinulle esimakua siitä, miten sosiaalinen manipulointi toimii:

Marriott-hotelli: Hakkeriryhmä käytti sosiaalista manipulointia varastamaan 20 gigatavua henkilökohtaisia ja taloudellisia tietoja Marriott-hotellista. Hakkerit huijasivat Marriott-hotellin työntekijän antamaan hakkeriryhmälle pääsyn työntekijän tietokoneelle.

Yhdysvaltain työministeriö (DoL ): kyseessä oli sosiaalisesti manipuloitu hyökkäys, jossa varastettiin Office 365 -kirjautumistiedot. Hyökkäyksessä käytettiin kehittynyttä phishing-toimintoa, joka perustui taitavasti väärennettyihin verkkotunnuksiin, jotka näyttivät aivan lailliselta DoL:n verkkotunnukselta. Sähköpostiviestit näyttivät olevan peräisin DoL:n vanhemmalta työntekijältä, joka kehotti jättämään tarjouksen hallituksen hankkeesta. Tarjouksen painikkeen napsauttaminen vei työntekijän phishing-sivustolle, jota käytettiin tunnistetietojen varastamiseen.

Zoom-käyttäjät: työntekijöihin kohdistettu phishing-kampanja vaikutti ainakin 50 000 käyttäjään. Sosiaaliset insinöörit käyttivät irtisanomisen pelkoa rohkaistakseen työntekijöitä klikkaamaan linkkiä, jotta he voisivat tavata HR:n kanssa Zoomin kautta. Linkkiä napsauttamalla työntekijä siirtyi väärennetylle Zoom-kirjautumissivustolle, jonka tarkoituksena oli varastaa salasanat.

FACC (itävaltalainen lentokonevalmistaja): FACC menetti noin 42 miljoonaa euroa , kun yritys joutui kehittyneen BEC-huijauksen (Business Email Compromise) uhriksi. Yrityksen toimitusjohtajan sähköpostitili väärennettiin ja sitä käytettiin lähettämään "kiireellinen" sähköpostipyyntö rahansiirrosta. Sähköpostiviesti huijasi tilivelvollista työntekijää, joka vastasi pyyntöön ja maksoi rahat huijarin tilille.

Crowdstrike callback: Jopa tietoturvatoimittajat tuntevat sosiaalisen manipuloinnin voiman. Crowdstrikesta on tullut tietämättään pelinappula sosiaalisten insinöörien pelissä. Huijarit käyttävät Crowdstriken ja muiden tietoturvatoimittajien luotettavaa brändiä lähettääkseen työntekijöille phishing-sähköposteja. Sähköposti sisältää tietoja mahdollisesta haittaohjelmatartunnasta ja puhelinnumeron, johon on soitettava asennetun haittaohjelman poistamiseksi. Jos työntekijä soittaa numeroon, hänet huijataan antamaan hyökkääjälle pääsy tietokoneeseensa.

Miten suojautua sosiaalisilta insinöörityön hyökkäyksiltä

Sosiaalinen manipulointi onnistuu, koska tekniikka manipuloi jokapäiväisiä toimintojamme. Tämän vuoksi työntekijöiden on vaikea huomata, että he ovat osa sosiaaliseen manipulointiin liittyvää hyökkäystä.

Sosiaalisen manipuloinnin on oltava osa tietoturvatietoisuutta koskevaa keskustelua, ja tietoturvakäytäntöjen olisi heijastettava tätä. On kuitenkin olemassa käytännöllisiä keinoja varmistaa, että työntekijät ovat ajan tasalla sosiaalisten huijareiden tempuista:

Tee sosiaalisesta manipuloinnista osa turvallisuuskulttuuriasi:

  1. Pyydä henkilöstöä säännöllisesti päivittämään tietoja sosiaalisesta manipuloinnista ja sen toiminnasta.
  2. Varmista, että sosiaalinen manipulointi on osa säännöllistä tietoturvatietoisuuskoulutusta.
  3. Sisällytä sosiaalinen manipulointi tietoturvatietoisuuskuukauden julisteisiin ja lähetä henkilöstölle uutiskirjeitä sosiaalisen manipuloinnin aiheuttamista ongelmista.

Phishing-simulaatioiden käyttöönotto: käytä kehittynyttä simuloitua phishing-alustaa kouluttaaksesi henkilöstöä siitä, miltä phishing-sähköpostit näyttävät, ja testataksesi heidän reaktiotaan phishing-sähköpostiin. Räätälöi nämä sähköpostiviestit organisaatiosi eri rooleille ja perustu simulaatioihin, jotka perustuvat huijareiden käyttämiin tunnettuihin taktiikoihin.

Testaa yritystäsi ja henkilöstöäsi: laadi erilaisia testiskenaarioita, jotta näet, miten hyvin henkilöstö reagoi mahdollisiin sosiaalisen manipuloinnin yrityksiin. Tähän voi sisältyä testejä, joissa selvitetään, kuinka helppoa (tai vaikeaa) on päästä rakennukseen.

Testaa myös henkilökuntaa ja heidän reaktioitaan tuntemattomiin henkilöihin. Esitä testaajia esimerkiksi siivoojina tai urakoitsijoina ja katso, kuinka pitkälle he pääsevät yrityksesi tietojen keräämisessä tai tietokoneen käyttöoikeuden pyytämisessä.

Social engineering -hyökkäys: 5 merkittävää esimerkkiä sosiaalisesta suunnittelusta
phishing French img

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.