Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Cybersäkerhet beteende mognadsmodell

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

Ledarskap

Möt MetaCompliance Leadership Team

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Sociala ingenjörsattacker att hålla utkik efter 2022 och framåt

Vad är social engineering eller social ingenjörskonst?

om författaren

Dela detta inlägg

Enligt forskning från Beaming fick företag i Storbritannien 2021 hantera ett försök till dataintrång var 47:e sekund. Rapporten fortsätter med att belysa att distansarbete har varit en möjlighet att öka antalet cyberattacker. Detta är anmärkningsvärt eftersom det enligt Verizons rapport om utredningar om dataintrång (DBIR) från 2021 framgår att 85 % av dataintrången måste initieras av en människa.

Den perfekta stormen skapas av social ingenjörskonst, en taktik som omfattar ett brett spektrum av aktiviteter som manipulerar mänskligt beteende. Cyberkriminella använder sig bokstavligen av alla tänkbara sätt att utnyttja anställda och använder sig av kända psykologiska knep för att få oss att klicka innan vi tänker eller ladda ner skadlig kod.

En färsk rapport visar att cyberattacker baserade på social ingenjörskonst ökade med 270 % under 2021. Det finns flera orsaker till detta, men det viktigaste är att tekniker för social ingenjörskonst fungerar och att vi måste hitta sätt att skydda våra anställda.

Ett sätt att förhindra att sociala ingenjörer manipulerar vår personal, och så småningom våra data och företagsnätverk, är att förstå hur sociala ingenjörsattacker fungerar.

Här är några av de senaste typerna av social engineering-attacker att se upp för.

Social ingenjörskonst och cybersäkerhet

Hot mot cybersäkerheten är sällan rent tekniska. I stället har cyberbrottslingar snabbt insett att det är ett bra sätt att ta sig in i ett skyddat nätverk genom att använda anställda, icke-anställda och det bredare leverantörsekosystemet för att utföra sina illvilliga syften.

Nyligen genomförd forskning om användningen av företagsmejl för att starta en cyberattack visade att i 30 % av organisationerna hamnade över 50 % av de länkar som togs emot via e-post på en skadlig webbplats. Det är en lavin av skadliga ingångar till ett företagssystem och dess affärsverksamhet.

Social engineering-attacker använder vanliga taktiker som fungerar gång på gång. Men hackare kan variera dem allteftersom händelserna utvecklas. Covid-19-pandemin var en sådan händelse.

Några av de troliga sociala ingenjörsattacker som du bör hålla utkik efter under det kommande året är följande:

Kompromiss av företags e-post (och kompromiss av leverantörernas e-post)

I Verizon Data Breach Investigation Report (DBIR) från 2021 konstaterades att Business Email Compromise (BEC) var den näst vanligaste formen av social engineering-attacker. BEC och VEC är social ingenjörskonst när den är som mest invecklad och mångfacetterad.

BEC-bedragare använder övervakning för att förstå sina mål och skapa skräddarsydda e-postmeddelanden som ser legitima ut, men som förfalskas. Ofta börjar en BEC-attack med ett komprometterat e-postkonto. Detta ger bedragarna den information som behövs för att utföra sofistikerade trick.

Kompromitterade konton och lösenord kan också omdirigeras så att hackaren kan övervaka företagets verksamhet och kommunikation för att samla in all information som behövs för att manipulera anställda att skapa nya eller ändra befintliga fakturor för att skicka företagets pengar till bedragaren.

Rapporten 2021 Business Email Security Landscape Report ger några viktiga insikter för att minska framgången för dessa typer av attacker:

  • 72 % av de tillfrågade hade upplevt en BEC-attack under de senaste 12 månaderna.
  • Nästan 50 % av BEC-attackerna använder en förfalskad identitet som presenteras i e-postens namn.
  • Spear phishing-e-post är inriktad på personer som har möjlighet att flytta pengar. Dessa riktade phishingmejl använder företagsnamn (68 %), namn på enskilda måltavlor (66 %) och namnet på chefen/ledaren (53 %) för att skräddarsy attacken.

En ny variant av BEC är Vendor Email Compromise (VEC). Denna typ av BEC fokuserar på säljare för att leda bort pengar. VEC-attacker använder sig av en kedjeeffekt, där phishing sprider sig över hela leverantörens ekosystem om det inte kontrolleras.

VEC-attacker utförs vanligen av välfinansierade professionella cyberkriminella eftersom de kräver djupgående övervakning och rekognoscering för att förstå sina mål tillräckligt bra för att kunna skapa trovärdiga förfalskade meddelanden. Social ingenjörskonst är kärnan i VEC, precis som i BEC, men den enda skillnaden är att cyberkriminella fokuserar på ett helt ekosystem.

Liksom BEC är VEC-bedragarens mål att lura ett företag och stjäla pengar. Timing är en viktig del av en VEC-attack, och social ingenjörskonst används för att lura anställda att ändra detaljerna i en faktura i precis rätt ögonblick så att inga misstankar väcks.

Phishing i alla dess former

BEC är en av många typer av cyberattacker som använder sig av phishing eller spear-phishing för att inleda en attack. Phishing är en favorit bland sociala ingenjörer och förekom i 36 % av överträdelserna enligt DBIR. Phishing är det ultimata verktyget i den sociala ingenjörens vapenarsenal eftersom dess innehåll och sammanhang i slutändan kan leda till kontroll över ett företagsnätverk.

I nätfiskemejl används olika psykologiska knep och utlösande faktorer för att få mottagarna att klicka på en skadlig länk eller ladda ner en infekterad bilaga. Dessa knep är bland annat att föreställa välkända varumärken, att använda brådska och rädsla för att uppmuntra till att klicka och att utlösa känslor som Fear of Missing Out (FOMO). Mer om de olika taktiker som används för att lura anställda finns i MetaCompliance "Ultimate Guide to Phishing".

Phishing följer ofta händelser eller riktar sig till användare i specifika syften.

Känslomässig manipulering och event-led Phishing : Händelser kan ofta vara en känslomässig utlösande faktor för en person. Bedragare använder dessa känslor för att manipulera användarna så att de känner att de går miste om något eller måste agera snabbt för att dra nytta av en händelse.

Under Covid-pandemin var det många nätfiskeförsändelser med varumärket "Världshälsoorganisationen" som spelade på e-postmottagarnas oro för hälsan. Vid ett tillfälle under pandemin blockerade Google omkring 17 miljoner bluffmejl per dag, och många bedragare använde pandemin för att spela på människors känslor och rädsla. Ett enda bluffmejl som hamnar i en anställds inkorg kan leda till ett katastrofalt dataintrång.

Ransomware-attacker med uppföljande nätfiske: Nätfiske leder till utpressning och nu kan det också leda till uppföljande nätfiske: Detta var fallet i Lapsus$-attacken nyligen mot Portugals största mediekonglomerat Impresa. Koncernen äger landets största TV-kanal och tidning, SIC och Expresso. Attacken tros ha börjat med ett spear-phishing-e-postmeddelande som ledde till att man tog över koncernens Amazon Web Services (AWS)-konto. Detta ledde till defacement av koncernens webbplats, övertagande av Expressos Twitter-konto och användning av ett nyhetsbrevskonto för att skicka ut phishing-e-post till koncernens prenumeranter.

När en cyberkriminell väl har tillgång till ett nätverk, vanligtvis via stulna autentiseringsuppgifter från nätfiske eller spear-phishing, kan han eller hon använda denna ingångspunkt för att öka sina privilegier och skapa ytterligare attacker, som i Lapsus$-attacken. Det är mycket troligt att dessa typer av mångfacetterade överlappande attacker kommer att bli vanligare.

Phishing kommer även i fortsättningen att användas för att initiera cyberattacker eftersom det är ett sätt för cyberbrottslingar att "kommunicera" med personer som är en del av ett företags målgrupp. Denna kommunikationsmetod är ett perfekt sätt att skapa social ingenjörskonst hos en människa, vilket innebär att cyberkriminella inte behöver "hacka" sig in i tekniken som kan vara skyddad, utan istället hacka människan.

Social ingenjörskonst och djupa förfalskningar

Deep fakes är det ultimata sättet att utföra sociala ingenjörsattacker och organisationer bör förvänta sig att denna teknik kommer att användas av skändliga skäl under de kommande åren. FBI har redan publicerat en varning med följande lydelse:

"FBI räknar med att den i allt högre grad kommer att användas av utländska och kriminella cyberaktörer för spearphishing och social ingenjörskonst i en utveckling av cyberoperativa metoder."

FBI föreslår taktiker som kan användas för att minska risken för social ingenjörskonst via djupa förfalskningar, bland annat genom att "utbilda användarna i att identifiera och rapportera försök till social ingenjörskonst och spearphishing som kan äventyra personliga konton och företagskonton"."

Att ta itu med social ingenjörskonst vid källan

Social ingenjörskonst har gett hackare möjlighet att få tillgång till resurser sedan människan existerade. Det faktum att dessa brottslingar arbetar i en digital värld ändrar inte det faktum att cyberkriminellas mål är mänskligt beteende.

För att hindra sociala ingenjörer från att manipulera våra anställda och det bredare nätverket av affärspartner måste vi utbilda dessa personer i sociala ingenjörers metoder. Kunskap är makt, och maktbalansen måste flyttas från cyberkriminella till företag genom utbildning av anställda och genom att försök fångas upp med hjälp av rapporteringssystem.

Risk för utpressningstrojaner

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta