[email protected] +44 (0)20 7917 9527
Prenota la tua demo
Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Polizia informatica Formazione dipartimentale sulla sicurezza informatica
Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Forze di polizia

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Blog sulla sicurezza informatica Sala stampa
Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale per la sicurezza informatica

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Consapevolezza della sicurezza informatica
Phishing e Ransomware
eLearning
Gestione delle politiche
Conformità
Privacy, GDPR e CCPA
GRC

Una guida rapida alla Compromissione della posta elettronica aziendale (BEC)

prevenire le truffe

sull'autore

James MacKay | MetaCompliance

James MacKay | MetaCompliance

James MacKay, COO di MetaCompliance, è un esperto nel campo della formazione in cybersecurity. È rinomato per la sua abilità nel proporre programmi efficaci di Security Awareness Training, impegnandosi nel supportare le organizzazioni nella protezione online dei propri dipendenti, nella difesa degli asset digitali e nel preservare la reputazione aziendale. 

Condividi questo post

Business Email Compromise (BEC), altrimenti noto come frode CEO, è un tipo di attacco di phishing in cui un criminale informatico impersona un dirigente di alto livello al fine di convincere un dipendente, un cliente o un venditore a trasferire denaro su un conto fraudolento o rivelare informazioni sensibili.

Compromettendo gli account e-mail ufficiali, i criminali possono monitorare l'attività online e determinare chi ha le credenziali per avviare i trasferimenti di denaro. Nella maggior parte dei casi, gli aggressori fingono di essere il CEO, il CFO o un altro dirigente di livello C, e in genere combinano una serie di tecniche di ingegneria sociale per manipolare l'utente ad agire.

Negli ultimi anni, c'è stato un forte aumento del numero di attacchi Business Email Compromise, e secondo l'ultimo rapporto di valutazione dei rischi per la sicurezza della posta elettronica della società di gestione della posta elettronica Mimecast, gli attacchi BEC sono aumentati dell'80% solo nell'ultimo trimestre.

Le perdite globali dovute al Business Email Compromise hanno superato i 12,5 miliardi di dollari, e le vittime possono subire perdite sostanziali che sono state evidenti in una serie di recenti attacchi di alto profilo.

Nel marzo 2018, la catena di cinema francese Pathé è stata vittima di una sofisticata truffa Business Email Compromise che è costata loro oltre 19 milioni di euro.

L'audace furto è stato messo a segno quando i truffatori hanno impersonato l'amministratore delegato e convinto l'amministratore delegato e il direttore finanziario dell'ufficio olandese del marchio a trasferire i fondi in una serie di cinque trasferimenti di denaro consecutivi.

Nonostante i sospetti, i criminali sono riusciti a far sembrare la loro truffa il più convincente possibile, creando email quasi identiche al dominio ufficiale di Pathé. L'azienda ha perso il 10% dei suoi guadagni totali ed entrambi i dirigenti sono stati licenziati dal loro lavoro.

L'attacco ha dimostrato l'attenzione ai dettagli che i criminali informatici useranno per infiltrarsi in un'azienda, e le conseguenze di vasta portata che un attacco BEC può avere su un business.

Come funziona una truffa di Business Email Compromise

Come funziona il Business Email Compromise

A differenza dei tradizionali attacchi di phishing che tendono a colpire un gran numero di dipendenti, gli attacchi BEC sono altamente focalizzati e mirati. I criminali passano molto tempo a ricercare individui in posizioni aziendali di alto livello prima di lanciare un attacco.

Per rendere la corrispondenza il più convincente possibile, i truffatori setacciano i siti web aziendali, le fonti online e i siti di social media come LinkedIn per raccogliere quante più informazioni possibili sulla loro potenziale vittima.

Non appena hanno completato la loro ricerca, useranno una tecnica mirata come lo Spear Phishing per ottenere l'accesso ai sistemi aziendali. Una volta ottenuto l'accesso, i criminali possono osservare da vicino come vengono effettuate le transazioni finanziarie prima di lanciare un attacco.

Il criminale invierà quindi un'email falsa da quello che sembra essere il CEO, richiedendo un trasferimento urgente di fondi da un dipendente all'interno dell'organizzazione. Il targeting di alto livello aiuta l'email a scivolare attraverso i filtri antispam, e l'uso di un indirizzo email falsificato aggiunge ulteriore legittimità alla richiesta.

Il livello di dettaglio è tale che i criminali spesso scelgono di lanciare il loro attacco quando il Senior Executive è fuori per lavoro e non può verificare personalmente la richiesta. Se la vittima è caduta nella truffa, tutto il denaro che ha trasferito sarà rapidamente inviato a conti situati all'estero, il che rende difficile recuperare il denaro rubato.

Tipi di truffe di compromissione delle e-mail aziendali

Tipi di truffe di compromissione delle e-mail aziendali

Frode del CEO - In questo tipo di attacco, i criminali informatici si fingono il CEO o un altro dirigente di alto livello. Una volta che il loro account è stato violato e l'indirizzo e-mail è stato falsificato, invieranno un'e-mail a un dipendente richiedendo un trasferimento di fondi su un conto che hanno specificamente impostato. Le email saranno spesso contrassegnate come urgenti per scoraggiare il dipendente dal verificare la richiesta o discuterne con un altro membro del personale.

Lo schema della fattura falsa - Questa particolare truffa è spesso usata contro le aziende che usano molti fornitori stranieri. L'azienda riceverà un'email da quello che sembra essere uno dei suoi attuali fornitori, chiedendo loro di cambiare la destinazione del pagamento. Tutti i pagamenti saranno poi trasferiti direttamente sul conto del truffatore.

Compromissione dell'account - Questo tipo di attacco tende ad essere più comune tra le piccole imprese dove qualsiasi fatturazione è gestita direttamente tramite e-mail. I criminali informatici entreranno nell'account di posta elettronica di un dipendente e intercetteranno tutte le e-mail che contengono una fattura. Una volta scelto il loro obiettivo, contatteranno il venditore e lo informeranno che c'è stato un problema con il loro pagamento e gli chiederanno di reinviarlo a un altro account fraudolento che hanno creato.

Impersonificazione di un avvocato / procuratore - In questa truffa, i criminali si spacciano per lo studio legale di una società e richiedono il trasferimento urgente di fondi per affrontare una controversia legale o una fattura non pagata. Al dipendente viene detto che la questione è strettamente confidenziale per ridurre la possibilità di discutere la richiesta con qualcun altro. Gli attacchi spesso avvengono alla fine della settimana lavorativa per creare una pressione extra sul dipendente affinché agisca rapidamente.

Furto di dati - Questa è l'unica truffa BEC che non richiede un trasferimento bancario diretto. Gli attacchi di furto di dati si verificano quando un criminale informatico compromette l'account di posta elettronica di un alto dirigente e richiede l'invio di informazioni aziendali sensibili. Questi tipi di attacchi tendono a colpire i dipartimenti HR e Finanza e sono spesso il precursore di un attacco informatico più grande e dannoso.

Segnali di avvertimento di un attacco di compromissione della posta elettronica aziendale

Attacchi BEC

  • Grande trasferimento di fondi a un destinatario con cui l'azienda non ha mai avuto a che fare in precedenza.
  • Trasferimenti iniziati verso la fine della giornata/settimana lavorativa.
  • Le e-mail che contengono un linguaggio urgente e sono di natura segreta.
  • Piccole modifiche a un indirizzo e-mail che imita un indirizzo aziendale legittimo.
  • Il conto del destinatario non ha precedenti di trasferimenti di denaro di grandi dimensioni in passato.
  • Il conto del destinatario è un conto personale invece di un conto commerciale registrato.

Come prevenire gli attacchi di compromissione della posta elettronica aziendale

come prevenire gli attacchi Business Email Compromise

  • La formazione sulla sicurezza è uno degli strumenti più efficaci per combattere gli attacchi BEC. Una formazione regolare assicurerà che il personale possa riconoscere le e-mail dannose, le tattiche di ingegneria sociale, identificare le richieste sospette e seguire i protocolli corretti per trattare i trasferimenti di denaro.
  • Formazione per dirigenti di livello C - È anche vitale che i dirigenti di livello C ricevano una formazione specifica per il loro ruolo che affronti le minacce uniche che devono affrontare giorno per giorno.
  • I dipendenti dovrebbero interrogare e verificare tutte le richieste confidenziali, specialmente quelle ritenute urgenti dal CEO o da altri alti dirigenti dell'azienda.
  • Ridurre al minimo il numero di impiegati che hanno l'autorità di trasferire fondi.
  • Usa l'autenticazione multifattoriale su tutti gli account di posta elettronica.
  • Implementare un processo di verifica in due fasi per tutti i pagamenti che include un controllo non e-mail come un'autenticazione telefonica o verbale.
  • Sviluppare procedure scritte per l'approvazione di tutte le transazioni finanziarie.
  • Invia tutte le e-mail attraverso un server criptato.
  • Non pubblicare informazioni sensibili sui siti web aziendali o sui social media.
  • Considera l'uso di un banner di posta elettronica che notifica ai dipendenti se un'e-mail proviene da una fonte esterna.

I dipendenti rappresentano la più grande minaccia alla sicurezza di un'organizzazione, quindi è fondamentale che siano dotati delle competenze necessarie per prevenire un attacco informatico. MetaLearning Fusion è la prossima generazione di eLearning ed è stato specificamente progettato per fornire la migliore formazione possibile in materia di sicurezza informatica e privacy al vostro personale. Le organizzazioni possono costruire corsi su misura per il loro personale da una vasta libreria di brevi corsi eLearning. Contattateci per ulteriori informazioni su come MetaLearning può essere utilizzato per trasformare la formazione sulla sicurezza informatica all'interno della vostra organizzazione.

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti

Richiedi una demo

Richiedete oggi stesso una demo gratuita e scoprite come il nostro corso di sensibilizzazione sulla sicurezza informatica di livello mondiale possa essere utile alla vostra organizzazione.

La demo richiede solo 30 minuti di tempo e non è necessario installare alcun software.

Scoprite come manteniamo al sicuro i vostri dati: leggete la nostra informativa sulla privacy.

Richiedi una demo

Richiedete oggi stesso una demo gratuita e scoprite come il nostro corso di sensibilizzazione sulla sicurezza informatica di livello mondiale possa essere utile alla vostra organizzazione.

La demo richiede solo 30 minuti di tempo e non è necessario installare alcun software.

Scoprite come manteniamo al sicuro i vostri dati: leggete la nostra informativa sulla privacy.