Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale in cybersecurity

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

Leadership

Il team di leadership di MetaCompliance

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Come funziona il Business Email Compromise (BEC)

Come funziona la compromissione delle e-mail aziendali

sull'autore

Condividi questo post

La Business Email Compromise (BEC) è una delle più complesse tra le truffe basate sull'ingegneria sociale, che fa guadagnare ingenti somme di denaro ai suoi autori. Mentre il ransomware fa notizia, il BEC sembra non fare notizia. Tuttavia, una ricerca dell'FBI ha rilevato che i volumi di BEC sono quattro volte superiori a quelli del malware.

Il Data Breach Investigations Report (DBIR) di Verizon sottolinea che la stragrande maggioranza (86%) dei casi di violazione dei dati è stata il crimine informatico ha motivazioni finanziarie. Nel 2021, il L'FBI ha descritto la BEC come "uno dei crimini online più dannosi dal punto di vista finanziario". TruffatoriI criminali informatici, i truffatori e i criminali informatici fanno tutti parte di una comunità nefasta che utilizza ingegneria sociale tattiche e phishing e-mail per aiutarli a svolgere il loro cybercrimini. Capire come un truffa Le opere possono aiutare a prevenire che la vostra organizzazione diventi vittima di questo attacco informatico. Ecco come Compromissione della posta elettronica aziendale e come potete impedire ai truffatori BEC di rubare il denaro della vostra azienda.

Analisi di un tipico attacco BEC

Compromissione della posta elettronica aziendale I truffatori prendono di mira aziende di tutte le dimensioni e di tutti i settori. A Truffa BEC usi ingegneria sociale al massimo, manipolando i dipendenti presi di mira nella sua scia, mentre la catena di distruzione si muove all'interno di un'organizzazione. Nel 2020, l'unità investigativa sulla criminalità informatica dell'FBI, IC3, ha rilevato che i criminali informatici hanno sfruttato oltre 2 miliardi di dollari da aziende statunitensi utilizzando tecniche BEC. Il BEC non è meno comune nel Regno Unito, dove oltre 500 PMI prese di mira dai truffatori BEC nel corso del 2018. Compromissione della posta elettronica aziendale Le truffe sono redditizie. Ma richiedono un elevato livello di impegno per ottenere l'accesso alle ingenti somme di denaro che i truffatori stanno cercando. La frode BEC può essere considerata una minaccia avanzata via e-mail, in quanto di solito contiene un elemento di compromissione dell'email e phishing in una fase iniziale del ciclo di attacco. Ecco i processi tipici di un Compromissione della posta elettronica aziendale truffa: A Truffa BEC dipende dall'inganno di persone specifiche all'interno di un'organizzazione che effettuano un bonifico bancario per spostare denaro sul conto del truffatore. Esistono diverse varianti del truffama tutti hanno un elemento in comune: trovare un modo per ingannare qualcuno facendogli credere che sta effettuando un importante trasferimento di denaro su richiesta di una persona di livello C e/o di un cliente importante. Le fasi tipiche di un Truffa BEC sono:

Fase uno: raccolta di informazioni e strategie

I crimini di BEC sono un serio esercizio di guadagno che richiede la raccolta di informazioni per perfezionare il crimine. La sorveglianza di solito comporta la raccolta di informazioni generali disponibili al pubblico su un'azienda, sull'identità dei dirigenti di livello C, sulla struttura aziendale, ecc. In questa fase, i criminali informatici si informano sulle operazioni dell'azienda e cercano di capire come vengono effettuati i pagamenti e a chi. UNA BEC truffatore utilizza queste informazioni per iniziare la seconda fase dell'attacco.

Seconda fase: Compromissione dell'e-mail o Spoof dell'e-mail

Utilizzando le informazioni raccolte nella prima fase, il truffatore BEC si rivolgerà poi a una delle due tattiche per continuare l'attacco: Email compromissione del conto è una possibilità. L'acquisizione dell'account (ATO) richiede che il criminale informatico rubi le credenziali di accesso e la password di un sito mirato. account di posta elettronica. Questo può essere fatto utilizzando le lance.phishingQuesto è più complicato (ma non impossibile) se si utilizza un secondo fattore per proteggere un account. Se il criminale informatico riesce a dirottare un account, si concentrerà su un dirigente di livello C o su qualcuno che controlla i pagamenti. Un account dirottato di un CXO ha un valore elevato e può essere utilizzato per richiedere pagamenti "urgenti" a favore dell'hacker. conto corrente bancario - impersonare un "cliente di valore". Nel caso dell'ATO, il truffatore sarà in grado di osservare il traffico di e-mail, alla ricerca di informazioni su chi viene pagato, quando viene pagato, ecc. Questo livello di controllo sulla posta elettronica di un'organizzazione permette anche di intercettare fatturemodificando i dati per garantire che i pagamenti vengano effettuati a favore del truffatore. conto corrente bancario. La seconda opzione consiste nell'eseguire lo spoofing dell'indirizzo indirizzo e-mail del dirigente di livello C preso di mira. Lo spoofing di un'e-mail è una forma comune di phishing e un modo riconosciuto per ingannare i destinatari facendogli credere che provenga da una determinata persona. Un esempio di spoof indirizzo e-mail sarebbe [email protected] o [email protected] - l'idea... facile da impersonareÈ difficile da individuare, soprattutto se si è un dipendente occupato nella contabilità fornitori.

Fase tre: Estrarre il denaro

La terza fase è quella in cui il denaro viene spostato nella conto corrente bancario. Questo può assumere diverse forme e farà parte della strategia originale di esecuzione definita nelle fasi uno e due. I modi tipici in cui avviene l'esecuzione della fase tre sono: Frode del CEO: utilizzando un codice spoofing o violato Il truffatore invia un'e-mail contrassegnata come "urgente", spiegando che se l'indirizzo £££££ non viene inviato entro una certa ora, un cliente chiave andrà perso. Frodi sulle fatture: Se un account di posta elettronica è violatoil truffatore farà attenzione a fatture che entrano nell'azienda, li intercettano e poi modificano i dettagli di pagamento sul fattura.

Come si può ridurre il rischio di BEC?

La frode BEC viene eseguita a partire dalla raccolta di informazioni sull'obiettivo e propagata tramite un attacco avanzato via e-mail. Quest'ultimo dipende tipicamente dal successo di un attacco di tipo spear-phishing campagna. Nessuno è esente da una Attacco BECNel 2018, l'associazione, Save the Childrenha perso 800.000 sterline a causa di una BEC truffatore. L'aggressore ha dirottato il computer di un dipendente. account di posta elettronica e ha usato l'account per inviare messaggi falsi fatture. Esistono diversi modi per proteggere la vostra organizzazione da una Attacco BECCiascuno di essi è un componente di un approccio stratificato alla riduzione del rischio di campagne BEC:

Formare i dipendenti sul funzionamento degli attacchi BEC

Compromissione della posta elettronica aziendale è un attacco dipendente dalla posta elettronica che richiede vigilanza per essere rilevato e prevenuto. Utilizzate la formazione di sensibilizzazione alla sicurezza e esercizi di simulazione di phishing per assicurarsi che tutti i dipendenti comprendano i trucchi e le tattiche utilizzate per colpire le persone. Creare programmi di formazione specifici per la BEC rivolti ai dirigenti e ai dipendenti di livello C, come quelli della contabilità che si occupano di pagamenti. Se i vostri pagamenti sono gestiti da una terza parte o fornitoriAssicuratevi che la vostra formazione includa anche loro.

Utilizzare l'autenticazione a due fattori

Account e-mail L'acquisizione è un'opzione disponibile per i truffatori BEC. Assicuratevi che la vostra azienda account di posta elettronica sono configurati in modo da richiedere l'accesso tramite un secondo fattore, ad esempio gli utenti devono utilizzare un codice monouso basato su un dispositivo mobile, oltre a una password, per accedere al proprio computer. account di posta elettronica.

Proteggi il tuo dominio aziendale

I truffatori BEC spesso registrano nomi di dominio simili a quelli della vittima, ad esempio, www.micr0soft.com o www.amason.com. I truffatori possono quindi inviare e-mail che sembrano essere state inviate da una persona legittima. account di posta elettronica. Per evitare che ciò accada, registrate domini simili al vostro dominio aziendale ufficiale.

Impostare meccanismi per il doppio controllo dei pagamenti

Creare un processo in cui i dipendenti devono ricontrollare con un altro membro del personale prima di effettuare un trasferimento di denaro o quando si condividono informazioni riservate o personali.

Essere consapevoli dei cambiamenti o degli aggiornamenti

Creare una cultura della sicurezza assicurandosi che tutto il personale sia attento a qualsiasi cambiamento nel comportamento del personale interno o dei fornitori. Questo approccio culturale alla sicurezza manterrà il personale attento alle truffe e consentirà di individuare comportamenti insoliti prima che si trasformino in incidenti.

La compromissione della posta elettronica aziendale è un reato redditizio e di successo. Questo successo significa che è improbabile che il suo volume diminuisca nei prossimi anni. L'unico modo per affrontarlo è rimanere vigili e istruire i dipendenti, compresi i dirigenti di livello superiore, su come funziona il BEC.

Cyber Security Awareness per Dummies | Formazione sulla consapevolezza della sicurezza per i fornitori di terze parti

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti