Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale in cybersecurity

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

Leadership

Il team di leadership di MetaCompliance

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Sei modi in cui i criminali informatici utilizzano l'ingegneria sociale

segni di un attacco di social engineering

sull'autore

Condividi questo post

Rapporti come il Verizon's Data Breach Investigations Report (DBIR) del 2022 collocano gli esseri umani come componente centrale nell'82% degli attacchi informatici. I truffatori utilizzano tecniche basate sull'ingegneria sociale per indurre le persone a compiere azioni a vantaggio dell'hacker.

L'ingegneria sociale è un termine generico che comprende molte tattiche utilizzate per manipolare i dipendenti e gli altri utenti. Ecco sei dei tipi più comuni di social engineering e come evitare che gli hacker li sfruttino con successo nella vostra organizzazione.

Sei dei più comuni attacchi di ingegneria sociale

1. Phishing e ingegneria sociale

Lo spear-phishing, una forma mirata di phishing, è coinvolto nel 93% degli attacchi informatici, secondo il DBIR 2018. La forma meno mirata di phishing è ancora la seconda forma più comune di tattica di attacco informatico, secondo Cisco.

Il phishing è il mezzo perfetto per consentire agli hacker di manipolare gli esseri umani e rientra quindi nell'ambito dell'ingegneria sociale. Il phishing si manifesta in diverse forme. Sebbene siano già stati menzionati il phishing e lo spear phishing, gli hacker utilizzano qualsiasi mezzo di comunicazione, compresi i messaggi di testo e le telefonate (SMShing e Vishing), per incoraggiare le persone a fare clic su un link a un sito Web dannoso, a fornire informazioni personali o a scaricare un allegato infetto.

2. I social media per l'ingegneria sociale

I social media forniscono una miniera d'oro di informazioni che i criminali informatici possono utilizzare per attaccare persone, app, reti e dati: i truffatori hanno bisogno di dati per alimentare gli attacchi informatici, compresi i Business Email Compromise (BEC).

Quando i dipendenti o altri individui condividono informazioni sui social media, i truffatori li osservano. Secondo una ricerca, le aziende riscontrano i seguenti problemi quando i dipendenti condividono informazioni sui social media:

  • condividere troppe informazioni
  • perdita di informazioni riservate
  • maggiore esposizione al contenzioso

Il documento conclude che i social media offrono un mezzo di condivisione aperto che complica le sfide dell'ingegneria sociale.

3. Pedinamenti e pedinamenti

Il tailgating è una delle truffe di ingegneria sociale più antiche del mondo. Il tailgating, o piggybacking, è spesso visto come una truffa fisica, ma può essere anche digitale. Nel mondo fisico, il tailgating è esemplificato dal truffatore che si intrufola nell'edificio degli uffici di un'azienda senza farsi notare. I truffatori sanno come apparire poco appariscenti, il che consente loro di accedere all'edificio senza autorizzazione o di "fare da spalla" a qualcuno che sta entrando nell'edificio.

Una volta entrati, possono indurre i dipendenti a condividere le credenziali degli account, come le password, o utilizzare strumenti di hacking per rubare i dati direttamente dai computer. Possono anche usare il vecchio trucco di guardare alle spalle di chi si collega a un'area sensibile della rete.

4. Pretestuosità

I truffatori hanno spesso bisogno di dati per garantire il successo di una truffa con l'ingegneria sociale. Come già detto, l'hacker può raccogliere informazioni per ingannare una persona utilizzando i social media, il phishing e il pedinamento. Il pretexting utilizza l'ingegneria sociale per far credere che il truffatore sia una persona autorevole o autorizzata a trovarsi in un determinato luogo: in altre parole, il truffatore si spaccia per qualcuno.

Per esempio, possono fingere di essere un appaltatore o un dirigente di livello C; questo può sembrare improbabile, ma un truffatore sicuro di sé può farlo in una grande organizzazione con più uffici.

5. Adescamento

Le persone amano le cose gratuite e l'adescamento sfrutta questo comportamento per indurre i dipendenti a consegnare informazioni come dati sensibili o dettagli finanziari. Ad esempio, il truffatore sceglie un dipendente o invia un'e-mail di massa offrendo un prodotto gratuito, come il download di un film. Se il dipendente preme il pulsante di download, il risultato è un dispositivo infetto.

Si tratta di un modo efficace per installare malware. Un esempio di questo fenomeno è stata la versione pirata di Game of Thrones, che è diventata la serie TV più infettata da malware di tutti i tempi nel 2018; in totale, 126.340 utenti sono stati infettati da malware quando hanno scaricato la versione pirata della serie TV.

6. Quid Pro Quo

Quid Pro Quo è una locuzione latina (questo per quello) utilizzata per descrivere uno scambio di qualcosa in cambio di beni o servizi. I criminali informatici vogliono i dati e un Quid Pro Quo è un modo per ottenerli.

Un tipico attacco Quid Pro Quo funziona così: un dipendente riceve una chiamata dal "supporto tecnico" che gli comunica che è in corso un attacco ransomware e che è necessario rimuovere il virus prima che danneggi il lavoro del dipendente. Per farlo, l'hacker deve disporre del nome utente e della password del dipendente. Se il dipendente cade nello stratagemma, l'hacker avrà accesso alla rete aziendale, che potrà utilizzare per scalare i privilegi alle aree più sensibili.

Tre modi per proteggere i vostri dipendenti dagli attacchi di social engineering

1. Mettere in atto processi e politiche

Spesso gli ingegneri sociali devono fare affidamento su processi inadeguati che consentono loro di sfruttare le lacune della sicurezza. Ad esempio, nel tailgating, l'intruso può dipendere dalla mancanza di controlli sulle persone che entrano in un edificio. Gli ingegneri sociali spesso si affidano alla fiducia nelle figure autoritarie per incoraggiare un dipendente ad agire, ad esempio a trasferire denaro, come è accaduto in una truffa BEC.

La maggior parte delle truffe di social engineering ha bisogno di dati, quindi i truffatori si rivolgono ai social media o al phishing per raccogliere le informazioni necessarie a portare a termine un attacco informatico. Processi solidi che aggiungono controlli e verifiche ogni volta che si verifica un'azione come il trasferimento di denaro o di dati possono aiutare a prevenire un attacco di social engineering. Le politiche che garantiscono che i dipendenti non condividano troppo sulle piattaforme di social media aiutano a evitare questa forma di raccolta di dati.

2. Formare i dipendenti sulle tattiche di social engineering

L'ingegneria sociale assume molte forme e i criminali informatici che si celano dietro gli attacchi di ingegneria sociale adattano queste truffe per evitare di essere scoperti. Pertanto, i pacchetti di formazione sulla consapevolezza della sicurezza dovrebbero includere una formazione sui trucchi di ingegneria sociale, comprese le sei truffe descritte sopra.

La formazione deve essere coinvolgente e utilizzare moduli formativi interessanti, divertenti e informativi.

La piattaforma di sensibilizzazione alla sicurezza deve anche offrire la possibilità di rilevare il tasso di successo di un pacchetto di formazione, per garantire che l'organizzazione possa aggiornare e regolare la formazione per ottenere i migliori risultati possibili. L'addestramento dei dipendenti a riconoscere gli attacchi di social engineering deve essere effettuato regolarmente per rilevare i cambiamenti nei modelli di minaccia.

3. Utilizzare programmi di phishing simulati

Il phishing è una tecnica fondamentale su cui si basano molti attacchi di ingegneria sociale. Individuare i segni rivelatori di un'e-mail o di un altro messaggio di phishing è una prima linea di difesa fondamentale contro gli attacchi di social engineering. 

Il software di simulazione del phishing fornisce modelli che possono essere adattati per riflettere gli attuali trucchi di social engineering. Questi vengono poi inviati come di consueto ai dipendenti e agli altri collaboratori aziendali. Se un utente clicca su un link dannoso o scarica un allegato, la piattaforma di simulazione di phishing interviene con una lezione su cosa accadrebbe se continuasse a compiere quell'azione.

Sei modi in cui i criminali informatici utilizzano l'ingegneria sociale
phishing francese img

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti