Voltar
Formazione Cybersecurity per Aziende | MetaCompliance

Produtos

Descubra o nosso conjunto de soluções personalizadas de formação em sensibilização para a segurança, concebidas para capacitar e educar a sua equipa contra as ciberameaças modernas. Desde a gestão de políticas a simulações de phishing, a nossa plataforma equipa a sua força de trabalho com os conhecimentos e as competências necessárias para proteger a sua organização.

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Cyber Security eLearning

Envolver e educar os funcionários para que sejam a primeira linha de defesa

Gestão de políticas

Centralize as suas políticas num único local e faça uma gestão sem esforço dos ciclos de vida das políticas

Gestão de privacidade

Controlar, monitorizar e gerir a conformidade com facilidade

Biblioteca de conteúdos

Explore a nossa biblioteca de e-learning premiada, adaptada a cada departamento

Gestão de Incidentes

Assuma o controlo dos incidentes internos e corrija o que é importante

Voltar
Indústria

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Governos

Uma solução de sensibilização para a segurança para os governos

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Voltar
Recursos

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Política Anti Phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Modelo de maturidade comportamental da cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Voltar
MetaCompliance | Formazione Cybersicurezza per Aziende

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

Automação da Sensibilização para a Segurança

Automatize facilmente a formação de sensibilização para a segurança, o phishing e as políticas em minutos

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

Ataques de engenharia social a ter em conta em 2022 e mais além

Engenharia Social

sobre o autor

Partilhar esta publicação

De acordo com investigações da Beaming, em 2021 as empresas britânicas tiveram de lidar com uma tentativa de violação de dados a cada 47 segundos. O relatório continua a salientar que o trabalho remoto tem sido uma oportunidade para aumentar os ataques cibernéticos. Isto é notável, pois de acordo com o Relatório de Investigação de Violação de Dados de 2021 da Verizon (DBIR), 85% das violações de dados precisam de um ser humano para as iniciar.

Esta tempestade perfeita está a ser chicoteada pela engenharia social; esta táctica cobre uma vasta gama de actividades que manipulam o comportamento humano. Os cibercriminosos irão literalmente usar qualquer ângulo possível para explorar os empregados, usando truques psicológicos conhecidos para nos fazer clicar antes de pensarmos ou descarregarmos malware.

Um relatório recente mostra que os ciberataques baseados na engenharia social aumentaram 270% em 2021. As razões para tal são várias, mas o resultado final é que as técnicas de engenharia social funcionam e precisamos de encontrar formas de proteger os nossos empregados.

Uma forma de evitar que os engenheiros sociais manipulem o nosso pessoal, e eventualmente os nossos dados e redes empresariais, é através da compreensão de como funcionam os ataques de engenharia social.

Aqui estão alguns dos últimos tipos de ataques de engenharia social a ter em conta.

Engenharia Social e Segurança Cibernética

As ameaças à segurança cibernética raramente são de natureza puramente técnica. Em vez disso, os cibercriminosos perceberam rapidamente que a utilização de empregados, não empregados, e do ecossistema mais vasto de fornecedores para realizar os seus desejos nefastos, é uma boa forma de entrar numa rede protegida.

Pesquisas recentes sobre a utilização de e-mails comerciais para iniciar um ataque cibernético descobriram que em 30% das organizações, mais de 50% das ligações recebidas via e-mail acabaram num website malicioso. Isto é uma avalanche de pontos de entrada maliciosos num sistema empresarial e nas suas operações comerciais.

Os ataques de engenharia social utilizam tácticas comuns que funcionam, repetidamente. Mas os hackers podem variar estas tácticas à medida que os acontecimentos se desenrolam. A pandemia de Covid-19 foi um desses eventos.

Alguns dos prováveis ataques de engenharia social a ter em conta para este próximo ano são:

Compromisso de Email de Negócios (e Compromisso de Email de Fornecedores)

O Relatório de Investigação de Violação de Dados da Verizon 2021 (DBIR) observou que o Business Email Compromise (BEC) era a segunda forma mais comum de ataques de engenharia social. BEC e VEC representam a engenharia social na sua forma mais intrincada e multiparte.

Os autores de fraudes BEC utilizam a vigilância para compreender o seu alvo para criar mensagens de correio electrónico à medida, com aspecto legítimo, mas falsificado. Muitas vezes, um ataque BEC começará com uma conta de correio electrónico comprometida. Isto dá aos autores das fraudes a informação necessária para realizar truques sofisticados.

As contas e senhas comprometidas podem também ser redireccionadas para permitir ao hacker vigiar as operações e comunicações da empresa para recolher toda a informação necessária para manipular os empregados na criação de novas facturas ou na alteração de facturas existentes para enviar dinheiro da empresa para o fraudador.

O Relatório 2021 Business Email Security Landscape Report fornece alguns conhecimentos importantes para ajudar a mitigar o sucesso destes tipos de ataques:

  • 72% dos inquiridos tinham sofrido um ataque BEC nos últimos 12 meses.
  • Quase 50% dos ataques BEC utilizam uma identidade falsificada apresentada na exibição do nome do e-mail.
  • Os e-mails de phishing da Spear visam indivíduos com o poder de movimentar dinheiro. Estas mensagens de correio electrónico de phishing dirigidas utilizam nomes de empresas (68%), nomes de alvos individuais (66%), e o nome do chefe/gestor (53%) para personalizar o ataque.

Uma nova variante do BEC é o Vendor Email Compromise (VEC). Este tipo de BEC centra-se nos vendedores para desviar dinheiro. Os ataques VEC utilizam um efeito em cadeia, com propagação de phishing por todo o ecossistema de vendedores se não forem controlados.

Os ataques VEC são tipicamente realizados por cibercriminosos profissionais bem financiados, uma vez que envolvem uma vigilância e reconhecimento profundos para compreender os seus alvos o suficiente para criar comunicações enganosas e credíveis. As técnicas de engenharia social estão no cerne do VEC, tal como está no cerne do BEC, a única diferença é que os cibercriminosos estão a concentrar-se num ecossistema inteiro.

Tal como o BEC, o objectivo do fraudador VEC é defraudar um negócio e roubar fundos. O timing é uma parte fundamental de um ataque VEC, e a engenharia social é utilizada para enganar os empregados a alterar os detalhes de uma factura no momento certo, para que não se levantem suspeitas.

Phishing em todas as suas formas

BEC está entre os muitos tipos de ataques cibernéticos que utilizam phishing ou spear-phishing para iniciar um ataque. O phishing é um dos favoritos dos engenheiros sociais e esteve presente em 36% das infracções, de acordo com o DBIR. O phishing é a ferramenta derradeira no arsenal do engenheiro social, uma vez que o seu conteúdo e contexto podem, em última análise, levar ao controlo sobre uma rede corporativa.

Os e-mails de phishing utilizam uma variedade de truques psicológicos e desencadeadores para levar os destinatários a clicar num link malicioso ou a descarregar um anexo infectado. Estes truques incluem falsificar marcas conhecidas, usar a urgência e o medo para encorajar o clique, e desencadear emoções como o Fear of Missing Out (FOMO). Mais sobre os tipos de tácticas utilizadas para enganar os empregados podem ser encontrados no MetaCompliance "Ultimate Guide to Phishing".

O phishing segue frequentemente eventos ou visa utilizadores para fins específicos.

Manipulação Emocional e Phishing por Eventos: Os eventos podem muitas vezes ser um gatilho emocional para uma pessoa. Os autores de fraudes utilizam estas emoções para manipular os utilizadores, levando-os a sentir que estão a perder algo ou devem agir urgentemente para tirar partido de um evento.

Durante a pandemia de Covid, muitos e-mails de phishing reflectiam a marca "Organização Mundial de Saúde" e jogavam sobre as preocupações de saúde dos destinatários de e-mails. A certa altura durante a pandemia, o Google bloqueou cerca de 17 milhões de e-mails fraudulentos por dia, muitos autores de fraudes utilizaram a pandemia para brincar com as emoções e medos das pessoas. Um único e-mail fraudulento que o transforme na caixa de entrada de um funcionário pode resultar numa violação catastrófica de dados.

Ataques de Ransomware que Usam Phishing de Seguimento: Phishing leva ao ransomware e agora também pode levar ao phishing de seguimento: este foi o caso do recente ataque de Lapsus$ ao maior conglomerado de media de Portugal, Impresa. O grupo é proprietário do maior canal de televisão e jornal do país, SIC e Expresso. Pensa-se que o ataque tenha começado com um email de pesca submarina que levou à aquisição da conta Amazon Web Services (AWS) do grupo. Isto levou à desfiguração do website do grupo, à aquisição da conta do Expresso no Twitter, e à utilização de uma conta de newsletter para enviar e-mails de phishing aos assinantes do grupo.

Quando um cibercriminoso tem acesso a uma rede, geralmente através de credenciais roubadas de phishing ou spear-phishing, pode então usar esse ponto de entrada para aumentar os privilégios e criar mais ataques, como se viu no ataque de Lapsus$. É altamente provável que estes tipos de ataques de sobreposição multifacetada se tornem mais normais.

O phishing continuará a ser utilizado para iniciar ataques informáticos, uma vez que é uma forma de os cibercriminosos 'comunicarem' com pessoas que fazem parte de um alvo empresarial. A utilização deste método de comunicação é uma forma perfeita de engendrar socialmente um humano, o que significa que o cibercriminoso não precisa de "piratear" tecnologia que pode muito bem ser protegida; em vez disso, pirateiam o humano.

Engenharia Social e Falsificações Profundas

As falsificações profundas são a última palavra em ataques de engenharia social e as organizações devem esperar que esta tecnologia seja utilizada por razões nefastas nos próximos anos. O FBI já publicou uma advertência afirmando:

"o FBI prevê que será cada vez mais utilizado por ciber-intervenientes estrangeiros e criminosos para a caça submarina e engenharia social numa evolução do artesanato ciberoperacional".

O FBI sugere tácticas que podem ser utilizadas para reduzir o risco de engenharia social através de falsificações profundas, incluindo "formar os utilizadores para identificar e relatar tentativas de engenharia social e spearphishing que podem comprometer as contas pessoais e empresariais". ”

Enfrentar a Engenharia Social na Fonte

A engenharia social tem proporcionado aos hackers formas de obter acesso a recursos desde que os seres humanos existem. O facto de estes criminosos trabalharem dentro de um domínio digital não altera o facto de o alvo do cibercriminoso ser o comportamento humano.

Para impedir que os engenheiros sociais manipulem os nossos empregados, e a rede mais ampla de associados comerciais, temos de formar estes indivíduos nas formas de engenheiros sociais. Conhecimento é poder, e o equilíbrio de poder deve ser deslocado do cibercriminoso para a empresa através da educação dos empregados e da captura de tentativas usando sistemas de informação.

Risco de resgates

poderá gostar de ler estes