Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Cyber Security eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymiskypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

Johtajuus

Tapaa MetaCompliance-johtoryhmä

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Social Engineering -hyökkäykset, joita on varottava vuonna 2022 ja sen jälkeen

Social engineering: Mitä on sosiaalinen manipulointi?

kirjoittajasta

Jaa tämä viesti

Beamingin tutkimuksen mukaan vuonna 2021 brittiläiset yritykset joutuivat käsittelemään tietomurtoyrityksen 47 sekunnin välein. Raportissa korostetaan edelleen, että etätyöskentely on tarjonnut mahdollisuuden kyberhyökkäysten lisääntymiseen. Tämä on huomionarvoista, sillä vuonna 2021 julkaistun Verizon Data Breach Investigation Report (DBIR) -raportin ( Verizon Data Breach Investigation Report ) mukaan 85 prosentissa tietomurroista tarvitaan ihmistä niiden käynnistämiseen.

Tätä täydellistä myrskyä lietsotaan sosiaalisella manipuloinnilla; tämä taktiikka kattaa monenlaisia toimintoja, joilla manipuloidaan ihmisten käyttäytymistä. Tietoverkkorikolliset käyttävät kirjaimellisesti kaikkia mahdollisia keinoja työntekijöiden hyväksikäyttöön ja käyttävät tunnettuja psykologisia temppuja saadakseen meidät klikkaamaan ennen kuin ajattelemme tai lataamaan haittaohjelmia.

Tuoreen raportin mukaan sosiaaliseen manipulointiin perustuvat verkkohyökkäykset lisääntyivät 270 prosenttia vuonna 2021. Tähän on useita syitä, mutta lopputulos on, että sosiaalisen suunnittelun tekniikat toimivat, ja meidän on löydettävä keinoja suojella työntekijöitämme.

Yksi tapa estää sosiaalisia insinöörejä manipuloimasta henkilöstöämme ja lopulta tietojamme ja yritysverkkoja on ymmärtää, miten sosiaaliset insinöörit toimivat.

Seuraavassa on joitakin uusimpia sosiaalisten manipulointihyökkäysten tyyppejä, joita kannattaa varoa.

Social Engineering ja kyberturvallisuus

Kyberturvallisuusuhat ovat harvoin luonteeltaan puhtaasti teknisiä. Sen sijaan verkkorikolliset ovat nopeasti ymmärtäneet, että työntekijöiden, muiden kuin työntekijöiden ja laajemman toimittajien ekosysteemin käyttäminen ilkivallan toteuttamiseen on hyvä tapa päästä suojattuun verkkoon.

Tuoreessa tutkimuksessa, joka koski yrityssähköpostin käyttöä verkkohyökkäyksen käynnistämiseen, havaittiin, että 30 prosentissa organisaatioista yli 50 prosenttia sähköpostitse vastaanotetuista linkeistä päätyi haitalliselle verkkosivustolle. Tämä on vyöry haitallisten hyökkäyspisteiden vyöry yrityksen järjestelmään ja sen liiketoimintaan.

Sosiaalisen manipuloinnin hyökkäyksissä käytetään yleisiä taktiikoita, jotka toimivat kerta toisensa jälkeen. Hakkerit voivat kuitenkin vaihdella niitä tapahtumien edetessä. Covid-19-pandemia oli yksi tällainen tapahtuma.

Joitakin todennäköisiä sosiaalisia hyökkäyksiä, joita on syytä varoa tulevana vuonna, ovat:

Yrityssähköpostin vaarantaminen (ja toimittajan sähköpostin vaarantaminen)

Verizonin vuonna 2021 julkaisemassa Data Breach Investigation Report (DBIR) -raportissa (Verizon Data Breach Investigation Report ) todettiin, että BEC-hyökkäykset (Business Email Compromise) olivat toiseksi yleisin sosiaalisen manipuloinnin hyökkäysmuoto. BEC ja VEC edustavat sosiaalista manipulointia monimutkaisimmillaan ja moniosaisimmillaan.

BEC-huijaajat käyttävät valvontaa ymmärtääkseen kohteensa ja luodakseen räätälöityjä, laillisen näköisiä, mutta väärennettyjä sähköposteja. Usein BEC-hyökkäys alkaa vaarannetulla sähköpostitilillä. Tämä antaa huijareille tarvittavat tiedot hienostuneiden temppujen toteuttamiseen.

Väärennettyjä tilejä ja salasanoja voidaan myös ohjata uudelleen, jotta hakkeri voi valvoa yrityksen toimintaa ja viestintää ja kerätä kaikki tarvittavat tiedot, jotta työntekijät voivat manipuloida työntekijöitä luomaan uusia tai muuttamaan olemassa olevia laskuja yrityksen rahojen lähettämiseksi huijarille.

Vuoden 2021 Business Email Security Landscape Report -raportti tarjoaa joitakin tärkeitä tietoja, joiden avulla voidaan vähentää tämäntyyppisten hyökkäysten onnistumista:

  • 72 prosenttia vastaajista oli kokenut BEC-hyökkäyksen viimeisten 12 kuukauden aikana.
  • Lähes 50 prosentissa BEC-hyökkäyksistä käytetään väärennettyä henkilöllisyyttä, joka esitetään sähköpostin niminäytössä.
  • Spear phishing -sähköpostiviestit kohdistuvat henkilöihin, joilla on valtaa siirtää rahaa. Näissä kohdennetuissa phishing-sähköpostiviesteissä käytetään yrityksen nimiä (68 %), yksittäisten kohteiden nimiä (66 %) ja pomon/johtajien nimiä (53 %) hyökkäyksen räätälöimiseksi.

Uusi BEC-muunnos on Vendor Email Compromise (VEC). Tämä BEC-tyyppi keskittyy myyjiin rahan harhauttamiseksi. VEC-hyökkäyksissä käytetään ketjureaktiota, jossa tietojenkalasteluhyökkäykset leviävät koko myyjäekosysteemiin, jos niitä ei valvota.

VEC-hyökkäykset ovat tyypillisesti hyvin rahoitettujen ammattimaisten verkkorikollisten toteuttamia, sillä niihin liittyy syvällistä valvontaa ja tiedustelua, jotta he ymmärtäisivät kohteensa riittävän hyvin luodakseen uskottavia väärennettyjä viestejä. Sosiaalisen manipuloinnin tekniikat ovat VEC:n ytimessä, aivan kuten BEC:n ytimessä, mutta erona on vain se, että verkkorikolliset keskittyvät kokonaiseen ekosysteemiin.

Kuten BEC:n, myös VEC-huijauksen tavoitteena on huijata yritystä ja varastaa varoja. Ajoitus on keskeinen osa VEC-hyökkäystä, ja sosiaalista manipulointia käytetään huijaamaan työntekijöitä muuttamaan laskun yksityiskohtia juuri oikealla hetkellä, jotta epäilyksiä ei herää.

Phishing kaikissa muodoissaan

BEC on yksi monista tietoverkkohyökkäystyypeistä, joissa hyökkäyksen käynnistämiseen käytetään phishing- tai spear-phishing-tekniikkaa. Phishing on sosiaalisten insinöörien suosiossa, ja DBIR:n mukaan se oli läsnä 36 prosentissa tietomurroista. Phishing on sosiaalisten insinöörien tärkein työkalu, sillä sen sisältö ja konteksti voivat lopulta johtaa yritysverkon hallintaan.

Phishing-sähköpostiviesteissä käytetään erilaisia psykologisia temppuja ja laukaisevia tekijöitä, joilla vastaanottajat saadaan joko napsauttamaan haitallista linkkiä tai lataamaan saastunut liitetiedosto. Näihin keinoihin kuuluvat tunnettujen tuotemerkkien väärentäminen, kiireen ja pelon käyttäminen klikkauksen kannustamiseen sekä tunteiden, kuten FOMO:n (Fear of Missing Out), herättäminen. Lisää työntekijöiden huijaamiseen käytetyistä taktiikoista löytyy MetaCompliance "Ultimate Guide to Phishing" -julkaisusta.

Phishing seuraa usein tapahtumia tai kohdistuu käyttäjiin tiettyihin tarkoituksiin.

Tunteiden manipulointi ja tapahtumapohjainen kalastelu: Tapahtumat voivat usein laukaista tunteita. Petostentekijät käyttävät näitä tunteita manipuloidakseen käyttäjiä tuntemaan, että he jäävät jostain paitsi tai että heidän on toimittava kiireellisesti tapahtuman hyväksi.

Covid-pandemian aikana monissa phishing-sähköpostiviesteissä käytettiin "Maailman terveysjärjestön" brändiä ja hyödynnettiin sähköpostin vastaanottajien terveyshuolia. Jossain vaiheessa pandemiaa Google esti noin 17 miljoonaa huijaussähköpostia päivässä, ja monet huijarit käyttivät pandemiaa hyväkseen pelatakseen ihmisten tunteilla ja peloilla. Yksikin työntekijän postilaatikkoon päätynyt huijaussähköposti voi johtaa katastrofaaliseen tietomurtoon.

Lunnasohjelmahyökkäykset, joissa käytetään follow-in phishingiä: Phishing johtaa lunnasohjelmiin, ja nyt se voi johtaa myös follow-on phishingiin: näin kävi äskettäisessä Lapsus$-hyökkäyksessä, joka kohdistui Portugalin suurimpaan mediakonserniin Impresaan. Konserni omistaa maan suurimmat televisiokanavat ja sanomalehdet SIC ja Expresso. Hyökkäyksen uskotaan alkaneen spear-phishing-sähköpostilla, joka johti konsernin Amazon Web Services (AWS) -tilin haltuunottoon. Tämä johti konsernin verkkosivuston turmelemiseen, Expresson Twitter-tilin haltuunottoon ja uutiskirjetilin käyttämiseen phishing-sähköpostien lähettämiseen konsernin tilaajille.

Kun tietoverkkorikollinen on päässyt verkkoon, yleensä phishing- tai spear-phishing-menetelmällä varastettujen tunnistetietojen avulla, hän voi käyttää kyseistä sisäänpääsytietä laajentaakseen oikeuksiaan ja luodakseen uusia hyökkäyksiä, kuten Lapsus$-hyökkäyksessä nähtiin. On erittäin todennäköistä, että tämäntyyppisistä monitahoisista päällekkäisistä hyökkäyksistä tulee yhä tavallisempia.

Phishingiä käytetään jatkossakin verkkohyökkäysten käynnistämiseen, sillä se on verkkorikollisten tapa "kommunikoida" sellaisten ihmisten kanssa, jotka ovat osa yrityksen kohdetta. Tämän viestintämenetelmän käyttäminen on täydellinen tapa muokata ihmistä sosiaalisesti, mikä tarkoittaa sitä, että tietoverkkorikollisen ei tarvitse "murtautua" teknologiaan, joka saattaa olla suojattu, vaan hän murtautuu ihmiseen.

Sosiaalinen manipulointi ja syvät väärennökset

Syväväärennökset ovat sosiaalisen manipuloinnin hyökkäysten huippu, ja organisaatioiden on syytä odottaa, että tätä tekniikkaa käytetään tulevina vuosina häijyihin tarkoituksiin. FBI on jo julkaissut varoituksen, jossa todetaan:

"FBI ennakoi, että ulkomaiset ja rikolliset kybertoimijat käyttävät sitä yhä enemmän spearphishingiin ja sosiaaliseen manipulointiin kyberoperaatioiden kehittyessä."

FBI ehdottaa taktiikoita, joita voidaan käyttää syvien väärennösten kautta tapahtuvan sosiaalisen manipuloinnin riskin vähentämiseksi, kuten "kouluttaa käyttäjiä tunnistamaan ja raportoimaan sosiaalisen manipuloinnin ja spearphishingin yritykset, jotka voivat vaarantaa henkilökohtaiset ja yritystilit".

Sosiaalisen manipuloinnin torjunta lähteellä

Sosiaalinen manipulointi on tarjonnut hakkereille keinoja päästä käsiksi resursseihin ihmisten olemassaolosta lähtien. Se, että nämä rikolliset työskentelevät digitaalisessa maailmassa, ei muuta sitä tosiasiaa, että verkkorikollisten kohteena on ihmisen käyttäytyminen.

Jos haluamme estää sosiaalisia insinöörejä manipuloimasta työntekijöitämme ja laajempaa liikekumppaniverkostoa, meidän on koulutettava nämä henkilöt sosiaalisten insinöörien tapoihin. Tieto on valtaa, ja vallan tasapaino on siirrettävä tietoverkkorikolliselta yritykselle kouluttamalla työntekijöitä ja tallentamalla yritykset raportointijärjestelmien avulla.

Lunnasohjelmien riski

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.