Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Cybersäkerhet beteende mognadsmodell

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

Ledarskap

Möt MetaCompliance Leadership Team

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Phishing mail: 5 vanliga nätfiske-meddelanden

5 vanliga phishing mail | MetaCompliance

om författaren

Dela detta inlägg

Nätfiske i alla dess former, från skadliga e-postmeddelanden till SMShing (textfiske), phishing i sociala medier och Vishing (phishing via telefonsamtal), är nu en del av vardagen för en organisation.

Men nätfiske är den överlägset vanligaste formen av nätfiske.

Vad är phishing mail?

Phishing-meddelanden är bedrägliga meddelanden som skickas av cyberbrottslingar som utger sig för att vara legitima enheter och som syftar till att lura mottagarna att lämna ut känslig information eller utföra skadliga åtgärder, t.ex. klicka på skadliga länkar eller ladda ner skadlig kod.

Enligt forskning från Ciscos "2021 Cybersecurity Threat Trends Report" börjar cirka 90 % av dataintrången med phishingmejl. Det oroande är att rapporten visar att i 86 procent av organisationerna kommer minst en person att klicka på en phishing-länk. Men det krävs förstås bara ett klick för att bli infekterad av utpressningstrojaner eller för att känsliga uppgifter ska exponeras osv.

Genom att förstå vilka taktiker som används i några av de vanligaste formerna av nätfiskeangrepp och hur anställda kan undvika dem kan man minska cyberrisken. Här är fem exempel på phishingmejl och hur man kan hindra anställda från att ta risker.

Bluff med falska fakturor

En favorit bland phishers är bluffakturor med falska fakturor. Bedragarna skickar ut e-postmeddelanden med falska fakturor i hopp om att få en ovetande anställd på fall. Om den falska fakturan betalas eller om en fråga om fakturan ställs till bedragaren, kommer troligen pengar eller personuppgifter att stjälas.

Den typ av faktura som ingår i phishingmejlen varierar, men exempel på detta är följande:

Fakturering av säkerhetsprodukter, t.ex. antivirusprogram.

  • Förfallna fakturor från falska leverantörer
  • E-postmeddelanden om att domänbetalningar löper ut med en varning om att om du inte agerar kommer din webbplats och din e-post inte att vara tillgänglig. 
  • Fakturor från insamlingsorganisationer och välgörenhetsorganisationer som ofta erbjuder annonsering eller en artikel i en välgörenhetspublikation.
  • Business Email Compromise (BEC) är en mycket sofistikerad och målinriktad form av bedrägerier med falska fakturor.

Hur du undviker bluffakturor med falska fakturor

Fakturabedrägerier kan vara mycket sofistikerade och bedragarna riktar in sig på specifika personer, t.ex. de som arbetar med leverantörsreskontra eller CFO:er. E-postmeddelandena ser äkta ut och innehåller ofta ett brådskande meddelande av typen "betala nu eller drabbas av konsekvenserna".

Använd simulerad nätfiske som ger rollbaserad utbildning för att rikta in dig på de typer av användare som löper störst risk att drabbas av bluffakturor. Med rollbaserade phishing-simulatorer kan du skräddarsy dina simulerade phishing-kampanjer så att de återspeglar verkliga utmaningar som specifika avdelningar och personal står inför.

exempel 1

Falska e-postmeddelanden från teknisk support

Att skapa en känsla av brådska och efterlevnad är två av de manipulativa tekniker som bedragare använder för att lura anställda att klicka på skadliga länkar eller ladda ner infekterade bilagor. Ett exempel på dessa beteendemanipulationer är phishingmejl som utger sig för att komma från teknisk support.

I exemplet nedan kan du se hur personalen uppmanas att gå över till en ny webbportal för att få tillgång till viktig personlig information och företagsinformation - inklusive deras lönebesked. I e-postmeddelandet påminns personalen om att de bara har 24 timmar på sig att följa reglerna.

E-postmeddelandet innehåller en länk till en skadlig webbplats. Om den anställde klickar på länken och navigerar till webbplatsen uppmanas han eller hon att ange sina befintliga inloggningsuppgifter och personuppgifter. Om de gör det kommer dessa uppgifter att stjälas och bedragarna kommer att använda inloggningsuppgifterna för att logga in på den faktiska portalen.

Hur du undviker falska e-postmeddelanden från teknisk support

All personal riskerar att drabbas av denna typ av allmänt spekulativt nätfiske. Allmän säkerhetsutbildning bör användas för att utbilda alla anställda, på alla avdelningar, om hur man skyddar sig på nätet.

Utbildning om hur cyberbrottslingar manipulerar mänskligt beteende är avgörande för att utbilda anställda i den taktik som används av bedragare när de skapar phishingmejl. Effektiva program för utbildning i säkerhetsmedvetenhet använder sig av inlärning vid behov som utnyttjar möjligheter att träna om dåligt säkerhetsbeteende.

Allmän utbildning om säkerhetsmedvetenhet bör användas tillsammans med simulerade phishingövningar som specifikt tar itu med denna typ av phishinghot. Det vill säga e-postmeddelanden som ser ut att komma från interna avdelningar och som använder taktik som brådska och hot om disciplinering om man inte agerar på dem. 

exempel 2

Skattebedrägerier

Skattebedrägerier ökar ofta i volym under skattesäsongen, men de kan inträffa när som helst. Ofta erbjuds en skatteåterbäring i dessa e-postmeddelanden. HMRC anger dock uttryckligen på sin webbplats: "HMRC kommer aldrig att skicka meddelanden via e-post om skatteåterbäringar eller skatteåterbetalningar.."

E-postmeddelanden om skattebedrägerier ser vanligtvis realistiska ut och är ofta välkomponerade. Bedragarna använder HMRC:s logotyp och relaterade varumärken för att få nätfiskemejlen att se legitima ut. Det finns vanligtvis en länk till inloggningssidan för HMRC Gateway. Webbsidan som länken navigerar till är en falsk webbplats som används för att samla in uppgifter och skicka dem till bedragarna bakom bluffen. Ibland innehåller dessa webbplatser också skadlig kod, och den som navigerar på den webbplatsen kan hamna på en infekterad enhet.

Hur du undviker skattebedrägerier

Skattebedrägerier kan vara ospecifika och skickas till vem som helst i en organisation. De mest effektiva skattebedrägerierna skickas dock till specifika anställda på ekonomiavdelningar. Det är därför viktigt att inkludera skattebedrägerier i simulerade phishingövningar för alla, men du bör också fokusera på att utbilda alla på ekonomiavdelningen om dem. Inför skattesäsongen bör du dubbla din utbildning för att se till att de anställda, särskilt de på ekonomiavdelningen, är redo för den troliga anstormningen av dessa phishingmejl.

Phishing mail: Problem med e-postkontot

Anta att en anställd får ett e-postmeddelande som låter brådskande och som informerar om att deras e-postkonto är på väg att stängas av eller att det måste uppgraderas omgående. I så fall kan de känna sig tvungna att klicka på länken för att åtgärda "problemet". E-postmeddelandet kan dock vara en nätfiskeverksamhet som leder till stulna inloggningsuppgifter.

I exemplet på phishing-e-post nedan visas hur Microsofts varumärke har använts för att förstärka påståendet att användarens e-postkonto är i fara. Länken i e-postmeddelandet är skadlig och leder användaren till en webbplats som ser ut som en inloggningssida för Microsoft Office 365.

Microsoft är ofta bland de fem mest förfalskade varumärkena som används i nätfiskemeddelanden. Enligt Cisco är de fem mest förfalskade varumärkena under första kvartalet 2022 följande:

  1. LinkedIn (som står för 52 % av alla nätfiskeattacker globalt).
  2. DHL (14%)
  3. Google (7 %)
  4. Microsoft (6 %)
  5. FedEx (6 %)

Hur man undviker phishing mail "Microsoft Email Problem"

Bedragare använder ofta Microsoft och andra välkända varumärken för att ge anställda en falsk känsla av säkerhet. Varumärkeslojalitet och förtroende används för att se till att offren tar del av e-postmeddelandet och klickar på den skadliga länken. Här kan simulerade nätfiskeövningar träna de anställda i att vara försiktiga med e-postmeddelanden från varumärken som innehåller beteendemanipulerande taktik, t.ex. att det är bråttom.

exempel 3

Bluff med Google Docs

Företag använder regelbundet Google Dokument för att samla in dokument och idéer och samarbeta med kollegor. År 2020 hade Google GSuite över 6 miljoner företag som prenumererade på tjänsten. Dessa många användare gör Google till ett önskvärt erbjudande för bedragare.

En ny användning av en phishing-baserad attack som använder GSuite för att få tag på en måltavla visar hur innovativa hackare kan vara. I denna bluff skapar en bedragare ett Google-dokument och kommenterar det sedan med hjälp av @-notationen för att rikta sig till en specifik användare. Detta får Google att skicka ett e-postmeddelande om kommentaren till målets inkorg. E-postmeddelandet från Google är äkta, men det har en inbäddad kommentar. Denna kommentar innehåller vanligtvis skadliga länkar som, om man klickar på dem, leder den anställde till en skadlig webbplats.

Google har nyligen uppdaterat kommentarerna så att man kan se vem som har lämnat kommentaren. Bedragare uppdaterar dock ständigt sin taktik, och en ny GSuite-bedrägeri kan dyka upp snart.

Hur du undviker GSuite Comment (och liknande) bedrägerier

Smart förklädda nätfiskemeddelanden kan vara en del av legitima e-postmeddelanden och liknande tjänster, vilket är fallet med GSuite-kommentarsvindeln. Dessa sofistikerade bedrägerier gör det svårt för anställda att känna igen en bluff.

Utbildningen i säkerhetsmedvetenhet bör återspegla företagets policyer, inklusive användning av molnbaserade dokumentarkiv och vem som kan och inte kan samarbeta med företagets dokumentation. När du genomför säkerhetsutbildning ska du se till att du har den senaste informationen om bedrägerier och att innehållet återspeglar de senaste bedrägerierna.

Använd utbildning för säkerhetsmedvetenhet och en plattform för simulerad nätfiske som ger utmärkt stöd för att bygga utbildningsprogram som är rollbaserade och som erbjuder stöd för flera språk och tillgänglighet.

Det är också viktigt att inse att bedragare regelbundet ändrar sin taktik för att undvika att bli upptäckta. Därför är det viktigt att genomföra regelbunden utbildning i säkerhetsmedvetenhet under hela året.

Risk för utpressningstrojaner

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta