Voltar
Formazione Cybersecurity per Aziende | MetaCompliance

Produtos

Descubra o nosso conjunto de soluções personalizadas de formação em sensibilização para a segurança, concebidas para capacitar e educar a sua equipa contra as ciberameaças modernas. Desde a gestão de políticas a simulações de phishing, a nossa plataforma equipa a sua força de trabalho com os conhecimentos e as competências necessárias para proteger a sua organização.

eLearning em Cibersegurança

Cyber Security eLearning para explorar a nossa biblioteca de eLearning premiada, adaptada a cada departamento

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Gestão de políticas

Centralize as suas políticas num único local e faça uma gestão sem esforço dos ciclos de vida das políticas

Gestão de privacidade

Controlar, monitorizar e gerir a conformidade com facilidade

Gestão de Incidentes

Assuma o controlo dos incidentes internos e corrija o que é importante

Voltar
Indústria

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Governos

Uma solução de sensibilização para a segurança para os governos

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Voltar
Recursos

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Política anti-phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Modelo de maturidade comportamental em cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Voltar
MetaCompliance | Formazione Cybersicurezza per Aziende

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

Automação da Sensibilização para a Segurança

Automatize facilmente a formação de sensibilização para a segurança, o phishing e as políticas em minutos

Liderança

Conheça a Equipa de Liderança da MetaCompliance

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

Um Guia Rápido de Compromisso de Email Empresarial (BEC)

prevenir fraudes

sobre o autor

Partilhar esta publicação

Business Email Compromise (BEC), também conhecido como fraude de CEO, é um tipo de ataque de phishing em que um cibercriminoso irá fazer-se passar por um Executivo de alto nível para convencer um empregado, cliente ou vendedor a transferir dinheiro para uma conta fraudulenta ou revelar informações sensíveis.

Ao comprometerem as contas de correio electrónico oficiais, os criminosos podem controlar a actividade online e determinar quem tem as credenciais para iniciar transferências de dinheiro. Na maioria dos casos, os atacantes fingem ser o CEO, CFO ou outro Executivo de nível C, e normalmente combinam uma série de técnicas de engenharia social para manipular o utilizador em acção.

Nos últimos anos, tem havido um aumento acentuado do número de ataques do Business Email Compromise, e de acordo com o último relatório de avaliação do risco de segurança do correio electrónico da empresa de gestão de correio electrónico Mimecast, os ataques BEC aumentaram em 80% só no último trimestre.

As perdas globais devidas ao Business Email Compromise ultrapassaram os 12,5 mil milhões de dólares, e as vítimas podem sofrer perdas substanciais, o que tem sido evidente numa série de ataques recentes de grande visibilidade.

Em Março de 2018, a cadeia de cinema francesa Pathé foi vítima de um sofisticado esquema de Business Email Compromise que lhes custou mais de 19 milhões de euros.

O audacioso assalto foi conseguido quando os autores da fraude se fizeram passar pelo CEO e convenceram o director-geral e o director financeiro do escritório holandês da marca a transferir os fundos através de uma série de cinco transferências de dinheiro consecutivas.

Apesar das suspeitas levantadas, os criminosos conseguiram fazer com que o seu esquema parecesse o mais convincente possível, criando emails que eram quase idênticos ao domínio oficial Pathé. A empresa perdeu 10% dos seus ganhos totais e ambos os Executivos foram despedidos dos seus empregos.

O ataque demonstrou a atenção aos detalhes que os criminosos informáticos irão utilizar para se infiltrarem numa empresa, e as consequências de longo alcance que um ataque BEC pode ter sobre um negócio.

Como funciona um esquema de compromisso de e-mail empresarial

Como funciona o Business Email Compromise

Ao contrário dos ataques de phishing tradicionais que tendem a atingir um grande número de empregados, os ataques BEC são altamente concentrados e direccionados. Os criminosos passam muito tempo a pesquisar indivíduos em posições corporativas de alto nível antes de lançarem um ataque.

Para que qualquer correspondência pareça o mais convincente possível, os vigaristas irão pesquisar websites de empresas, fontes em linha, e sites de meios de comunicação social como o LinkedIn para recolher o máximo de informação possível sobre a sua potencial vítima.

Assim que tiverem concluído a sua investigação, utilizarão uma técnica específica como o Spear Phishing para obterem acesso aos sistemas corporativos. Uma vez que tenham acesso, os criminosos podem observar atentamente como são feitas as transacções financeiras antes de lançarem um ataque.

O criminoso enviará então um falso e-mail do que parece ser o CEO solicitando uma transferência de fundos urgente de um funcionário dentro da organização. O direccionamento de alto nível ajuda o correio electrónico a passar por filtros de spam, e a utilização de um endereço de correio electrónico falso acrescenta mais legitimidade ao pedido.

Tal é o nível de detalhe, que os criminosos optarão frequentemente por lançar o seu ataque quando o Executivo Sénior está fora em negócios e não podem verificar pessoalmente o pedido. Se a vítima tiver caído no esquema, qualquer dinheiro que tenha transferido será rapidamente enviado para contas localizadas no estrangeiro, o que torna difícil recuperar alguma vez o dinheiro roubado.

Tipos de esquemas de compromisso de e-mail de negócios

Tipos de esquemas de compromisso de e-mail de negócios

Fraude do CEO - Neste tipo de ataque, os cibercriminosos passarão a ser o CEO ou outro executivo sénior de alto nível. Uma vez que a sua conta tenha sido pirateada, e o seu endereço de correio electrónico falso, eles enviarão um correio electrónico a um funcionário solicitando uma transferência de fundos para uma conta que tenham especificamente criado. As mensagens de correio electrónico serão frequentemente assinaladas com carácter de urgência para desencorajar o funcionário de verificar o pedido ou discuti-lo com outro membro do pessoal.

O Esquema de Facturação Falsa - Este esquema específico é frequentemente aproveitado contra empresas que utilizam muitos fornecedores estrangeiros. A empresa receberá um e-mail do que parece ser um dos seus actuais fornecedores pedindo-lhes que alterem o destino do pagamento. Quaisquer pagamentos serão então transferidos directamente para a conta dos fraudadores.

Compromisso de Conta - Este tipo de ataque tende a ser mais comum entre empresas mais pequenas, onde qualquer facturação é gerida directamente através de correio electrónico. Os cibercriminosos invadem a conta de email de um empregado e interceptam quaisquer emails que contenham uma factura. Uma vez escolhido o seu alvo, contactarão o vendedor e informá-lo-ão de que houve um problema com o seu pagamento e solicitarão que o reenviem para outra conta fraudulenta que tenham criado.

Impersonificação de Advogado / Advogado - Neste esquema, os criminosos farão-se passar por uma firma de advogados de uma empresa e solicitarão a transferência urgente de fundos para lidar com uma disputa legal ou factura não paga. O funcionário é informado de que o assunto é estritamente confidencial para reduzir a possibilidade de eles discutirem o pedido com qualquer outra pessoa. Os ataques terão frequentemente lugar no final da semana de trabalho para criar uma pressão adicional sobre o empregado para agir rapidamente.

Roubo de dados - Este é o único esquema de BEC que não solicita uma transferência bancária directa. Os ataques de roubo de dados ocorrem quando um cibercriminoso compromete a conta de e-mail de um Executivo Sénior e solicita que lhes sejam enviadas informações empresariais sensíveis. Estes tipos de ataques tendem a visar os departamentos de RH e Finanças e são muitas vezes o precursor de um ciberataque maior e mais prejudicial.

Sinais de aviso de um ataque de Compromisso de Compromisso de Email Empresarial

Ataques BEC

  • Grande transferência de fundos para um beneficiário com o qual a empresa nunca lidou anteriormente.
  • Transferências iniciadas perto do fim do dia / semana de trabalho.
  • E-mails que contenham linguagem urgente e que sejam de natureza sigilosa.
  • Pequenas alterações a um endereço de correio electrónico que imita um endereço comercial legítimo.
  • A conta receptora não tem historial de receber grandes transferências de dinheiro no passado.
  • A conta receptora é uma conta pessoal em vez de uma conta comercial registada.

Como Prevenir Ataques de Compromisso por Email de Empresas

como prevenir ataques de Business Email Compromisso

  • A formação de sensibilização para a segurança é uma das ferramentas mais eficazes para combater os ataques BEC. A formação regular assegurará que o pessoal possa reconhecer e-mails maliciosos, tácticas de engenharia social, identificar pedidos suspeitos e seguir os protocolos correctos para lidar com as transferências de dinheiro.
  • Formação de executivos de nível C - É também vital que os executivos de nível C recebam uma formação específica que aborde as ameaças únicas que enfrentam no seu dia-a-dia.
  • Os empregados devem questionar e verificar todos os pedidos confidenciais, especialmente aqueles considerados urgentes pelo CEO ou outros Executivos Seniores dentro da empresa.
  • Minimizar o número de empregados que têm autoridade para transferir fundos.
  • Utilizar autenticação multi-factor em todas as contas de correio electrónico.
  • Implementar um processo de verificação em duas etapas para todos os pagamentos que inclua um cheque não enviado por correio electrónico, tal como uma autenticação telefónica ou verbal.
  • Desenvolver procedimentos escritos para aprovação de todas as transacções financeiras.
  • Enviar todos os e-mails através de um servidor encriptado.
  • Não colocar informação sensível nos sítios Web das empresas ou nas redes sociais.
  • Considere a utilização de um banner de correio electrónico que notifique os empregados se um correio electrónico tiver vindo de uma fonte externa.

Os empregados representam a maior ameaça à segurança de uma organização, pelo que é vital que estejam equipados com as competências necessárias para evitar um ataque cibernético. MetaLearning Fusion é a próxima geração de eLearning e foi especificamente concebido para proporcionar a melhor formação possível em Segurança e Privacidade Cibernética ao seu pessoal. As organizações podem construir cursos personalizados para o seu pessoal a partir de uma extensa biblioteca de cursos curtos de eLearning. Entre em contacto para mais informações sobre como o MetaLearning pode ser utilizado para transformar a formação de Segurança Cibernética dentro da sua organização.

Outros artigos sobre a formação em sensibilização para a cibersegurança que poderão ser do seu interesse