Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber Security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Beteendebaserad mognadsmodell för cybersäkerhet

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Phishing-attacker: Varför tänker vi inte innan vi klickar?

Phishing-attacker Tänk efter innan du klickar

om författaren

Dela detta inlägg

Phishing-attacker handlar lika mycket om att manipulera mänskligt beteende som om teknik. Det här uttalandet visar varför det är så svårt att förhindra nätfiskekampanjer som leder till utpressning, stulna inloggningsuppgifter och andra cyberattacker.

På 1970-talet fanns det en kampanj för rattfylleri med mottot "Tänk innan du dricker, innan du kör". Det var en effektiv kampanj som bidrog till att minska de alkoholrelaterade trafikolyckorna i Storbritannien. Det är inte så lätt att få folk att tänka innan de agerar. Faktum är att det är just att man inte tänker utan reagerar genast på ett e-postmeddelande som nätfiskekampanjerna förlitar sig på. Phishing är en allvarlig sak, och en färsk rapport visar att 95 % av IT-cheferna anser att data riskeras av e-postkanalen. 

Så hur kan ett genomsnittligt företag hoppas på att vara lika framgångsrikt som 70-talets kampanj för rattfylleri när det gäller att motverka de trick som cyberkriminella har i rockärmen?

Phishing-attacker och mänskligt beteende

Denna svårighet att förebygga återspeglas i hur framgångsrika phishing-attackerna är: Före pandemin 2019 var statistiken över nätfiske skrämmande, och försäkringsbolaget Beazley konstaterade en 105-procentig ökning av attacker med utpressningstrojaner under första kvartalet 2019. Men 2020 gick nätfiskeattackerna över gränsen. FBI publicerade en rapport som visade att nätfiske var det överlägset vanligaste brottet som rapporterades till dess klagomålsavdelning, IC3. En av drivkrafterna bakom phishingframgångarna under de senaste 12 månaderna har varit Covid-19-pandemin, som gav möjligheter i överflöd för phishers att utnyttja mänskligt beteende: detta framgår av en häpnadsväckande ökning med 30 000 % av Covid-19-baserade hot under 2020; de flesta av dessa attacker använde sig av skadliga webbplatser och phishingmejl.

Phishing (och dess varianter, Vishing/Smishing/Pharming) är en vanlig angreppsmetod eftersom tekniken fungerar. Den fungerar eftersom den använder sig av naturligt mänskligt beteende för att utföra en handling som gynnar den cyberkriminella som står bakom attacken. Att kunna manipulera en legitim person till att utföra en olaglig handling är ett kännetecken för bedrägerier, även innan den moderna tekniken kom till. Tekniken kan dock göra även kunniga användare till en fåntratt, eftersom användningsmönster blir "fast inprogrammerade" när vi blir bekanta med ett system. 

E-post är till exempel en vardagsteknik som vi använder kontinuerligt. År 2020 skickades och mottogs 306,4 miljoner e-postmeddelanden dagligen. Att öppna ett e-postmeddelande och klicka på en länk är nästan en andra natur, ett knäböjande beteende för en vanlig uppgift. Det är denna upprepning och bristen på tankeverksamhet som är nödvändig för att agera som är det som nätbedragaren fokuserar på.

5 typiska kännetecken för nätfiske

Phishing-attacker vill fånga upp människor innan de tänker för mycket. För att göra detta måste kampanjerna se till att vissa kriterier uppfylls och att omständigheterna optimeras:

  1. Trovärdig källa: Ett sätt att få bort tankeprocessen är att få e-postmottagaren att känna sig trygg. Phishing-kampanjer maskerar sig vanligtvis som välkända varumärken. I en granskning av vilka varumärken som används av phishers kommer Microsoft upprepade gånger i topp som ett av phishers favoritvarumärken att förfalska. Andra förfalskade varumärken är Netflix och PayPal.
  2. Klickens lockelse: Även om 79 % av alla säger att de kan känna igen ett phishingmejl, klickar nästan hälften ändå på en länk i ett misstänkt mejl. Orsakerna till detta beteende beror troligen på den implicita utbildning vi alla har genomgått för att använda Internet-anpassat innehåll. Att klicka är nästan en pavlovsk reaktion när ett e-postmeddelande innehåller en länk. UX-designers (User Experience ) har använt sig av denna typ av betingning för att hjälpa människor att använda teknik lättare; cyberkriminella använder samma psykologiska manipulation för att få oss att klicka på en phishing-länk för att starta nästa steg i phishingen.
  3. Ledning genom uppgifter: Att hålla e-postmeddelandet fokuserat på en enkel uppgift hjälper till att ta bort tankeprocessen. Upprepade och igenkännbara uppgifter, som t.ex. att återställa lösenord, är en favorit för nätfifflare. Detta gör det möjligt att göra det viktiga "klicket" utan att tänka alltför djupt på de möjliga konsekvenserna. Om uppgiften är arbetsrelaterad är det mer sannolikt att klickandet kommer att ske och att nätfiskehändelsen inleds.
  4. Det är bråttom: Ofta innehåller phishingmejl någon form av drivkraft för att driva på det automatiska klickbeteendet. Dessa drivkrafter är ofta hotet om disciplinering eller en ökad oro över en åtgärd, t.ex. att betala en räkning. Vissa nätfiskekampanjer är mycket målinriktade (Spear phishing). Den falska VD:n skickar sedan ett e-postmeddelande till redovisningsavdelningen med en brådskande begäran om att överföra pengar till ett bankkonto. Kontot ägs naturligtvis av bedragaren.  
  5. Överarbetad: I en undersökning av sjukhus som utsattes för nätfiskekampanjer konstaterades att överarbetad personal var mer benägen att klicka på en nätfiske-länk. Om du inte har tid att tänka kommer du att välja automatiskt svar.

En anmärkning om spear phishing-attacker. Denna typ av nätfiske kräver en djupare nivå av spaning för att leverera mer övertygande nätfiskemejl till målet. Denna detaljnivå gör det ännu svårare för anställda att upptäcka spear phishing-meddelanden. Följaktligen ökade spear-phishing e-postattacker med 667 % under Covid-19-pandemin.

Hur du får en anställd att klicka på en nätfiske-länk

Cyberkriminella är skickliga på att skapa förutsättningar för en lyckad phishingkampanj. De använder alla knep för att få en användare att klicka, till exempel genom att förfalskningar av betrodda varumärken, för att göra användaren till ett lätt lockbete. Ett exempel på detta var ett Office 365 phishing-rykte år 2020. Det hade alla element som manipulerar användare att klicka innan de tänker efter:

  • De anställda fick falska e-postmeddelanden som såg ut som Microsoft Office 365. 
  • E-postmeddelandet hade rubriken "COVID-19 Training for Employees": Deanställda uppmanades att ta del av e-postmeddelandet av arbetsskäl.
  • E-postmottagarna ombads att klicka på en länk i e-postmeddelandet som förde dem till en falsk inloggningssida för Office 365: sidan såg identisk ut med en riktig Office 365-sida.
  • En användare uppmanades att ange sina Office 365-uppgifter för att logga in och ta emot certifikatet. Om de gjorde det stals dessa uppgifter och användes sedan för att logga in på den riktiga Office 365-portalen.

Hur du hindrar en anställd från att klicka på en nätfiske-länk

För att förhindra fast inprogrammerat beteende krävs specialiserad utbildning i medvetenhet. Teknologer har utformat system för att de ska vara lätta att använda och för att göra det lätt att klicka, men denna automatiska klickreaktion måste brytas för att förhindra att nätfiske lyckas. Genom att tillhandahålla ett väl genomtänkt, kontrollerat phishing-test kan en organisation bidra till att ändra det beteende som cyberkriminella är beroende av. Simulerade phishing-tester skapar en säker miljö för att utbilda användarna i de subtila sätt som phishers manipulerar deras beteende så att de kan se upp för dessa knep. Som en del av ett bredare program för säkerhetsmedvetenhet är simulering av nätfiske effektivt för att förhindra nätfiskeframgångar som resulterar i stulna autentiseringsuppgifter, dataexponering och infektion med utpressningstrojaner. 

Den ultimata guiden om nätfiske

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta

duckduckgo vs google EN

DuckDuckGo vs Google - 5 skäl till varför du bör sluta använda Google!

Visste du inte att DuckDuckGo är en sökmotor? Ja, nu vet du. DuckDuckGo har sedan starten 2008 haft som mål att utveckla en sökmotor som inte lagrar eller delar personuppgifter, helt till skillnad från Google. Googles affärsmodell bygger mindre på dataskydd och mer på personanpassad reklam. Utan lagring av personuppgifter skulle Google praktiskt taget förlora den luft det andas. Google är dock fortfarande den mest använda sökmotorn, och det finns skäl till det. Google har dock en svaghet, och det är dataskyddet.
Läs mer "
dataskydd vs informationssäkerhet SV

Informationssäkerhet vs dataskydd

Är detta en fråga för vår ISO eller vår DPO, eller är det ungefär samma sak i båda fallen? Vem exakt är ansvarig för denna incident, och finns det något behov av att rapportera den överhuvudtaget? För att kunna diskutera likheterna och skillnaderna mellan informationssäkerhet och dataskydd är det första steget att definiera de två områdena.
Läs mer "