Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Cyber Security eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymiskypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

Johtajuus

Tapaa MetaCompliance-johtoryhmä

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Kuusi tapaa, joilla verkkorikolliset käyttävät Social Engineering -tekniikkaa

sosiaalisen manipuloinnin hyökkäyksen merkit

kirjoittajasta

Jaa tämä viesti

Verizonin vuonna 2022 julkaiseman Data Breach Investigations Report (DBIR ) -raportin kaltaisissa raporteissa ihmisen katsotaan olevan keskeinen tekijä 82 prosentissa tietoverkkohyökkäyksistä. Huijaajat käyttävät sosiaaliseen suunnitteluun perustuvia tekniikoita huijatakseen ihmisiä suorittamaan toimia, jotka hyödyttävät hakkeria.

Sosiaalinen manipulointi on sateenvarjotermi, joka kattaa monia taktiikoita, joita käytetään työntekijöiden ja muiden käyttäjien manipulointiin. Seuraavassa esitellään kuusi yleisintä sosiaalisen manipuloinnin tyyppiä ja kerrotaan, miten voit estää hakkereita hyödyntämästä niitä onnistuneesti organisaatiossasi.

Kuusi yleisintä Social Engineering -hyökkäystä

1. Phishing ja sosiaalinen manipulointi

Spear-phishing, kohdennettu tietojenkalastelumuoto, on mukana 93 prosentissa verkkohyökkäyksistä vuoden 2018 DBIR-tietokannan mukaan. Ciscon mukaan vähemmän kohdennettu phishing on edelleen toiseksi yleisin verkkohyökkäystaktiikka.

Phishing on täydellinen väline, jonka avulla hakkerit voivat manipuloida ihmisiä, joten se kuuluu sosiaalisen manipuloinnin piiriin. Phishing ilmenee useissa eri muodoissa. Jo aiemmin mainittiin phishing ja spear phishing, mutta hakkerit käyttävät mitä tahansa viestintävälinettä, kuten tekstiviestejä ja puheluita (SMShing ja Vishing), rohkaistakseen ihmisiä klikkaamaan linkkiä haitalliselle verkkosivustolle, antamaan henkilökohtaisia tietoja tai lataamaan saastuneen liitetiedoston.

2. Sosiaalinen media sosiaalista manipulointia varten

Sosiaalinen media tarjoaa kultakaivoksen tietoa, jota verkkorikolliset voivat käyttää hyökätäkseen ihmisiin, sovelluksiin, verkkoihin ja tietoihin: huijarit tarvitsevat tietoja verkkohyökkäysten, kuten BEC-hyökkäysten ( Business Email Compromise ), rahoittamiseen.

Kun työntekijät tai muut henkilöt jakavat tietoja sosiaalisessa mediassa, huijarit tarkkailevat heitä. Erään tutkimuksen mukaan yritykset kohtaavat seuraavia ongelmia, kun työntekijät jakavat tietoja sosiaalisessa mediassa:

  • liian monen tiedon jakaminen
  • luottamuksellisten tietojen menetys
  • lisääntynyt altistuminen oikeudenkäynneille

Kirjoituksessa todetaan, että sosiaalinen media tarjoaa avoimen jakamisvälineen, joka vaikeuttaa sosiaalisen suunnittelun haasteita.

3. Peräänajo ja sikailu

Tailgating on yksi vanhimmista sosiaalisista huijauksista. Tailgating tai piggybacking nähdään usein fyysisenä huijauksena, mutta se voi olla myös digitaalista. Fyysisessä maailmassa huijausta edustaa esimerkiksi huijari, joka livahtaa huomaamatta yrityksen toimistorakennukseen. Huijarit osaavat näyttää huomaamattomilta, minkä ansiosta he pääsevät rakennukseen luvatta tai voivat "liftata" jonkun rakennukseen menevän henkilön perässä.

Sisään päästyään he voivat huijata työntekijöitä jakamaan tilitietoja, kuten salasanoja, tai käyttää hakkerointityökaluja tietojen varastamiseen suoraan tietokoneilta. He voivat jopa käyttää vanhaa temppua, jossa he katsovat verkon arkaluonteiselle alueelle kirjautuneen henkilön olkapäiden yli.

4. Pretexting

Huijaajat tarvitsevat usein tietoja varmistaakseen onnistuneen sosiaalisen huijauksen. Kuten edellä mainittiin, hakkeri voi kerätä tietoja huijatakseen henkilöä sosiaalisen median, phishingin ja pyrstötyön avulla. Pretextingissä käytetään sosiaalista manipulointia, jotta ihmiset uskovat, että huijari on joku viranomainen tai valtuutettu olemaan tietyssä paikassa: toisin sanoen huijari esiintyy jonkun henkilönä.

Hän voi esimerkiksi teeskennellä urakoitsijaa tai C-tason johtajaa; tämä voi vaikuttaa epätodennäköiseltä, mutta itsevarma huijari voi tehdä tämän suuressa organisaatiossa, jossa on useita toimistoja.

5. Houkuttelu

Ihmiset rakastavat ilmaista tavaraa, ja houkuttelussa käytetään tätä käyttäytymistä hyväksi, jotta työntekijät saataisiin luovuttamaan arkaluonteisia tietoja tai taloudellisia yksityiskohtia. Huijari esimerkiksi valitsee työntekijän tai lähettää massasähköpostin, jossa tarjotaan ilmaista tuotetta, kuten elokuvan lataamista. Jos työntekijä painaa latauspainiketta, tuloksena on saastunut laite.

Tämä on tehokas tapa asentaa haittaohjelmia. Esimerkkinä tästä oli Game of Thronesin piraattiversio, josta tuli kaikkien aikojen eniten haittaohjelmia sisältänyt tv-sarja vuonna 2018. Kaikkiaan 126 340 käyttäjää sai haittaohjelmatartunnan ladattuaan tv-sarjan piraattiversion.

6. Quid pro quo

Quid pro quo on latinankielinen ilmaisu (tämä siitä), jota käytetään kuvaamaan jonkin asian vaihtamista tavaroihin tai palveluihin. Tietoverkkorikolliset haluavat tietoja, ja Quid pro quo on yksi keino päästä käsiksi näihin tietoihin.

Tyypillinen Quid Pro Quo -hyökkäys toimii näin: työntekijä saa puhelun "tekniseltä tuelta", joka kertoo, että käynnissä on lunnasohjelmahyökkäys ja että virus on poistettava ennen kuin se vahingoittaa työntekijän työtä. Hakkerin on saatava työntekijän käyttäjätunnus ja salasana tätä varten. Jos työntekijä lankeaa tähän huijaukseen, hakkeri saa pääsyn yrityksen verkkoon, jonka avulla hän voi laajentaa oikeuksiaan arkaluontoisemmille alueille.

Kolme tapaa suojella työntekijöitä Social Engineering -hyökkäyksiltä

1. Ota käyttöön prosessit ja toimintaperiaatteet

Usein sosiaalisten insinöörien on turvauduttava huonoihin prosesseihin, joiden avulla he voivat hyödyntää tietoturva-aukkoja. Esimerkiksi hännänvartijoiden tapauksessa tunkeutuja voi luottaa siihen, että rakennukseen saapuvia henkilöitä ei ole tarkastettu. Sosiaaliset insinöörit luottavat usein luottamukseen auktoriteettihenkilöihin, jotta työntekijä rohkaistaisiin toimimaan, esimerkiksi siirtämään rahaa, kuten BEC-huijauksessa koettiin.

Useimmissa sosiaalisissa huijauksissa tarvitaan tietoja, joten huijarit käyttävät sosiaalista mediaa tai tietojenkalastelua kerätäkseen tietoja, joita he tarvitsevat verkkohyökkäyksen toteuttamiseen. Vankat prosessit, jotka lisäävät tarkastuksia ja tasapainotuksia aina, kun jokin toimenpide, kuten rahan- tai tiedonsiirto, tapahtuu, voivat auttaa estämään sosiaalisen suunnittelun hyökkäyksen. Politiikat, joilla varmistetaan, että työntekijät eivät jaa liikaa tietoja sosiaalisessa mediassa, auttavat välttämään tämänkaltaisen tietojen keräämisen.

2. Kouluta työntekijät sosiaaliseen manipulointiin liittyviin taktiikoihin

Sosiaalista manipulointia on monenlaista, ja sosiaalisen manipuloinnin hyökkäysten takana olevat verkkorikolliset muokkaavat näitä huijauksia välttääkseen havaitsemisen. Siksi tietoturvatietoisuuskoulutuspaketteihin olisi sisällytettävä koulutusta sosiaalisen suunnittelun tempuista, kuten edellä kuvatuista kuudesta huijauksesta.

Koulutuksen on oltava mukaansatempaavaa, ja siinä on käytettävä koulutusmoduuleja, jotka ovat kiinnostavia, hauskoja ja informatiivisia.

Tietoturvatietoisuusalustan tulisi myös tarjota keinoja, joilla voidaan mitata koulutuspaketin onnistumisprosentti, jotta organisaatiosi voi päivittää ja mukauttaa koulutusta parhaiden mahdollisten tulosten aikaansaamiseksi. Työntekijöiden kouluttaminen sosiaalisen suunnittelun hyökkäysten tunnistamiseen olisi suoritettava säännöllisesti, jotta uhkakuvioissa tapahtuvat muutokset voidaan havaita.

3. Käytä simuloituja phishing-ohjelmia

Phishing on keskeinen tekniikka, johon monet sosiaaliseen manipulointiin perustuvat hyökkäykset perustuvat. Phishing-sähköpostin tai muun phishing-viestin paljastavien merkkien havaitseminen on elintärkeä ensimmäinen puolustuslinja sosiaalista manipulointia vastaan. 

Phishing-simulaatio-ohjelmisto tarjoaa malleja, jotka voidaan räätälöidä vastaamaan nykyisiä sosiaalista manipulointia koskevia temppuja. Nämä lähetetään sitten tavalliseen tapaan työntekijöille ja muille liikekumppaneille. Jos käyttäjä napsauttaa haitallista linkkiä tai lataa liitetiedoston, simuloitu phishing-alusta puuttuu tilanteeseen antamalla opetuksen siitä, mitä tapahtuisi, jos käyttäjä jatkaisi kyseistä toimintaa.

Kuusi tapaa, joilla verkkorikolliset käyttävät Social Engineering -tekniikkaa
phishing French img

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.