Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber Security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Beteendebaserad mognadsmodell för cybersäkerhet

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

5 exempel på socialtekniska attacker: Lär dig hur sociala ingenjörer lurar sig in

5 exempel på angrepp från social ingenjörskonst

om författaren

Dela detta inlägg

I artikeln kan du läsa om fem kända exempel på social engineering-attacker och upptäcka hur dessa taktiker lurar individer. Människan är av naturen en social varelse som gillar att umgås, kommunicera, arbeta och dela med sig av aktiviteter. Denna sociala förmåga, som bygger på förtroende, underlättar samarbete och samexistens inom mänskliga grupper.

Men just dessa sociala egenskaper utnyttjas också av cyberbrottslingar som vill orsaka skada. Sociala ingenjörsattacker drar nytta av dessa sårbarheter och använder bedrägeri och imitation för att manipulera individer till handlingar som tjänar bedragarens agenda.

Detta bekräftas av Verizon Data Breach Investigations Report (DBIR) från 2023, som visar att 82 % av överträdelserna involverar en mänsklig faktor.

Här är en titt på hur social ingenjörsattacker sker och vad du kan göra för att förhindra att din personal blir social ingenjörsattackerad.

Hur sker sociala ingenjörsattacker?

Enligt en färsk rapport utsätts en genomsnittlig organisation för 700 social engineering-attacker per år. Sociala ingenjörsattacker förekommer i många olika former och utvecklas till nya för att undgå upptäckt.

Syftet med en social ingenjörsattack är att få någon att göra något som gynnar en cyberkriminell. Till exempel att lura en person att avslöja finansiella uppgifter som sedan används för att utföra bedrägerier.

Social ingenjörskonst utförs inte bara med digitala metoder. Sociala ingenjörer tar till alla taktiker för att bygga upp de strukturer som behövs för att lura människor. Det kan handla om att använda telefonen eller att gå in på ett kontor och prata med personalen.

De nuvarande favoritknep som används inom social ingenjörskonsten är bland annat:

Förespegling och tailgating: angriparna låtsas att de är en kollega eller en person med auktoritet, t.ex. en polis. De använder denna förklädnad för att skapa förtroende hos en målperson via en digital metod, telefon eller personligen. När förtroendet väl är etablerat försöker bedragaren få ut information, t.ex. personuppgifter eller ekonomiska uppgifter.

Dessutom utför tailgators ofta fysiska attacker mot företag genom att hitta sätt att ta sig in i en byggnad, obemärkt eller till och med inbjudna. Väl inne i byggnaden kan de använda lättillgängliga verktyg, t.ex. RubberDucky USB som används av legitima penetrationstestare, för att stjäla data, inklusive inloggningsuppgifter.

Phishing: Phishing förekommer i olika former, t.ex. via e-post, telefonsamtal, sociala medier och textmeddelanden. Phishing-meddelanden är ett uttryck för social ingenjörskonst, där man genom att låtsas, lita på andra och klicka uppmuntrar mottagaren att lämna ut personlig information, t.ex. lösenord och kreditkortsuppgifter.

I en undersökning om cybersäkerhet från UK Gov konstaterades att den stora majoriteten (83 %) av de företag som identifierat en cyberattack uppgav att nätfiske var den främsta orsaken till attacken.

Spearphishing är den riktade form av phishing som tar social engineering till de största höjderna av framgång. Spearphishing-mejl är svåra att skilja från legitima mejl eftersom bedragarna anstränger sig för att få dem att se realistiska ut och ofta skapar förtroendefulla relationer med sina mål. Spearphishing ligger bakom 93 % av cyberattackerna, enligt DBIR 2018.

Lockbete: Denna sociala ingenjörsattack använder lockelse eller rädsla för att missa något (FOMO) för att uppmuntra vissa beteenden. En anställd kan till exempel erbjudas gratis gåvor om han eller hon lämnar ut personlig information eller företagsinformation eller lösenord.

Varför är sociala ingenjörsattacker effektiva?

Människor har utvecklats till att agera och bete sig på vissa sätt för att skapa starka och sammanhållna sociala strukturer. Element som tillit är viktiga komponenter i sammanhållna samhällen. Utan tillit misslyckas relationerna.

Bedragare förstår mänskligt beteende och behovet av att bygga upp förtroendefulla relationer. De förstår också hur man manipulerar människor genom att låtsas vara en betrodd person eller bygga upp förtroende.

Andra mänskliga beteenden, som t.ex. viljan att göra ett bra jobb, att inte hamna i trubbel eller att inte gå miste om något bra, utnyttjas också av cyberkriminella. Alla dessa naturliga handlingar som vi utför dagligen i våra hem- och arbetsliv är öppna för exploatering av cyberkriminella som vill stjäla uppgifter och få tillgång till nätverk för att utföra illasinnade handlingar.

5 exempel på sociala ingenjörsattacker

Exempel på social ingenjörskonst förekommer regelbundet i pressen, men här är fem exempel som ger dig en uppfattning om hur social ingenjörskonst fungerar:

Marriott Hotel: En hackargrupp använde sig av social ingenjörskonst för att stjäla 20 GB personlig och ekonomisk information från ett Marriott Hotel. Hackarna lurade en anställd på Marriott Hotel att ge hackergänget tillgång till hans dator.

US Department of Labor (DoL): Detta involverade en socialt manipulerad attack som stal inloggningsuppgifter till Office 365. Attacken använde sofistikerad phishing baserad på skickligt förfalskade domäner som såg ut som den legitima DoL-domänen. E-postmeddelandena verkade komma från en högt uppsatt DoL-anställd som uppmanade dem att lämna in ett anbud för ett statligt projekt. Genom att klicka på anbudsknappen kom den anställde till en phishing-webbplats som användes för att stjäla inloggningsuppgifter.

Zoom-användare: en phishing-kampanj riktad till anställda påverkade minst 50 000 användare. De sociala ingenjörerna använde rädsla för övertalighet för att uppmuntra anställda att klicka på en länk för att träffa HR via Zoom. Genom att klicka på länken kom den anställde till en falsk inloggningssida för Zoom som var utformad för att stjäla lösenord.

FACC (österrikisk flygplanstillverkare): FACC förlorade cirka 42 miljoner euro när företaget blev offer för en sofistikerad bluff med Business Email Compromise (BEC). Företagets VD fick sitt e-postkonto förfalskat och användes sedan för att skicka en "brådskande" e-postförfrågan om en penningöverföring. E-postmeddelandet lurade en anställd som var skyldig att betala ett konto, som gick med på begäran och betalade in pengarna på bedragarens konto.

Crowdstrike återkallelse: även säkerhetsleverantörer känner av den sociala ingenjörskonsten. Crowdstrike har blivit en ovetande bricka i den sociala ingenjörens spel. Bedragare använder Crowdstrikes och andra säkerhetsleverantörers pålitliga varumärke för att skicka nätfiskemejl till anställda. E-postmeddelandet innehåller information om en möjlig infektion med skadlig kod och ett telefonnummer som man ska ringa för att ta bort den installerade skadlig kod. Om den anställde når numret luras han eller hon att ge angriparen tillgång till sin dator.

Hur du skyddar dig mot sociala ingenjörsattacker

Social ingenjörskonst är framgångsrik eftersom tekniken manipulerar våra vardagliga handlingar. Detta gör det svårt för anställda att upptäcka att de är en del av en social ingenjörsattack.

Social ingenjörskonst måste vara en del av samtalet om säkerhetsmedvetenhet, och säkerhetspolicyn bör återspegla detta. Det finns dock praktiska sätt att se till att de anställda känner till de knep som bedragare använder sig av vid social ingenjörskonst:

Gör social ingenjörskonst till en del av din säkerhetskultur:

  1. Ge personalen regelbundna uppdateringar om social ingenjörskonst och hur den fungerar.
  2. Se till att social ingenjörskonst ingår i din regelbundna utbildning om säkerhetsmedvetenhet.
  3. Inkludera social ingenjörskonst i affischer för månaden för säkerhetsmedvetenhet och skicka nyhetsbrev till personalen om de problem som orsakas av social ingenjörskonst.

Använd simuleringar av nätfiske: Använd en avancerad plattform för simulering av nätfiske för att utbilda personalen i hur nätfiskemejl ser ut och för att testa deras svar på ett nätfiskemejl. Anpassa dessa e-postmeddelanden till olika roller i organisationen och basera simuleringarna på kända taktiker som används av bedragare.

Penetrationstestar ditt företag och din personal: sätt upp olika testscenarier för att se hur väl personalen reagerar på potentiella försök till social ingenjörskonst. Detta kan inkludera tester för att se hur lätt (eller svårt) det är att ta sig in i byggnaden.

Testa också personalen och deras reaktion på okända personer. Du kan till exempel utge dig för att vara städare eller entreprenörer och se hur långt de kan komma med att få ut information om ditt företag eller be om tillgång till en dator.

5 exempel på socialtekniska attacker: Lär dig hur sociala ingenjörer lurar sig in
phishing Franska img

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta

duckduckgo vs google EN

DuckDuckGo vs Google - 5 skäl till varför du bör sluta använda Google!

Visste du inte att DuckDuckGo är en sökmotor? Ja, nu vet du. DuckDuckGo har sedan starten 2008 haft som mål att utveckla en sökmotor som inte lagrar eller delar personuppgifter, helt till skillnad från Google. Googles affärsmodell bygger mindre på dataskydd och mer på personanpassad reklam. Utan lagring av personuppgifter skulle Google praktiskt taget förlora den luft det andas. Google är dock fortfarande den mest använda sökmotorn, och det finns skäl till det. Google har dock en svaghet, och det är dataskyddet.
Läs mer "
dataskydd vs informationssäkerhet SV

Informationssäkerhet vs dataskydd

Är detta en fråga för vår ISO eller vår DPO, eller är det ungefär samma sak i båda fallen? Vem exakt är ansvarig för denna incident, och finns det något behov av att rapportera den överhuvudtaget? För att kunna diskutera likheterna och skillnaderna mellan informationssäkerhet och dataskydd är det första steget att definiera de två områdena.
Läs mer "