Back

Lösungen

Entdecken Sie unser Angebot an personalisierten Security Awareness-Schulungen, um Ihr Team gegen moderne Cyberbedrohungen zu stärken und weiterzubilden. Vom Policy Management bis hin zu Phishing-Simulationen – mit unserer Plattform bekommen Ihre Mitarbeiter das Wissen und die Fähigkeiten, die zum Schutz Ihres Unternehmens notwendig sind.

Automatisierung der Security Awareness

Planen Sie Ihre jährliche Awareness-Kampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie auf der Stelle Phishing-Angriffe dank preisgekrönter Phishing-Software

E-Learning Cyber Security

E-Learning zur Cyber Security: Entdecken Sie unsere preisgekrönte E-Learning-Bibliothek, maßgeschneidert für jede Abteilung

Policy Management

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutzmanagement

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Incident Management

Übernehmen Sie die Kontrolle über interne Vorfälle und beseitigen Sie die wichtigsten Probleme

Back

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiebereich bis hin zum Gesundheitswesen – erfahren Sie, wie unsere Lösungen in verschiedenen Branchen Wellen schlagen.

Finanzdienstleistungen

Erste Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine beliebte Security Awareness-Lösung für Regierungen

Unternehmen

Eine Lösung für Security Awareness-Schulung bei großen Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur der Security Awareness – auch zu Hause

Bildungssektor

Ansprechende Security Awareness-Schulung für den Bildungssektor

Arbeitskräfte im Gesundheitswesen

Entdecken Sie unsere maßgeschneiderte Lösung zur Security Awareness für Arbeitskräfte im Gesundheitswesen

Technologiebereich

Transformation der Security Awareness-Schulung im Technologiebereich

NIS2-Compliance

Unterstützen Sie Ihre Anforderungen zur NIS2-Compliance mit Awareness-Initiativen für Cyber Security

Back

Ressourcen

Von Plakaten und Richtlinien bis hin zu vollständigen Leitfäden und Fallstudien – nutzen Sie unsere kostenlosen Informationsmaterialien, um die Awareness für Cyber Security in Ihrem Unternehmen zu stärken.

Awareness für Cyber Security für Dummies

Eine unverzichtbare Ressource um eine Kultur der Cyber Awareness zu schaffen

Leitfaden für Dummies zum E-Learning Cyber Security

Der ultimative Leitfaden für die Implementierung von einem effektiven E-Learning zur Cyber Security

Ultimativer Leitfaden gegen Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Awareness-Plakate

Laden Sie diese kostenlosen Plakate herunter, um die Wachsamkeit Ihrer Mitarbeiter zu erhöhen

Anti-Phishing-Richtlinie

Schaffen Sie eine sicherheitsbewusste Kultur und fördern Sie die Awareness für Cyberbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, ein positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cyber Security von A-Z

Ein Glossar der wichtigsten Begriffe zur Cyber Security

Reifegradmodell für das Verhalten im Bereich Cyber Security

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Material

Laden Sie unsere kostenlosen Awareness-Materialien herunter, um die Awareness für Cyber Security in Ihrer Organisation zu stärken

Back

Über uns

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung im Sektor Cyber Security und Compliance und bietet eine innovative Lösung für die Awareness der Mitarbeiter für die Informationssicherheit und die Automatisierung von Incident Management. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cyber Security, Datenschutz und Compliance zu erfüllen.

Wie wir Ihnen helfen.

Erfahren Sie, warum MetaCompliance der vertrauenswürdige Partner für Security Awareness-Schulungen ist

Spezialisten für Employee Engagement.

Wir ermöglichen es, Mitarbeiter einzubinden und eine Kultur der Cyber Awareness zu schaffen

Automatisierung der Security Awareness

Einfache Automatisierung von Security Awareness-Schulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Wie Business Email Compromise (BEC) funktioniert

James MacKay

Cyber Security Awareness
Business Email Compromise (BEC): Funktionsweise | Phishing Mail: 5 häufige Erkennungs- und Schutzmaßnahmen

Business Email Compromise (BEC) ist einer der komplexesten Social-Engineering-Betrügereien, die den Tätern große Summen einbringt. Während Ransomware für Schlagzeilen sorgt, scheint BEC weniger in den Schlagzeilen zu stehen. Untersuchungen des FBI haben jedoch ergeben, dass das BEC-Volumen viermal so hoch ist wie das von Malware. Der Verizon Data Breach Investigations Report (DBIR) weist darauf hin, dass die große Mehrheit (86 %) der Cyberkriminalität ist finanziell motiviert. Im Jahr 2021 wird die FBI beschreibt BEC als „eines der finanziell schädlichsten Online-Verbrechen“. BetrügerBetrüger und Cyberkriminelle sind alle Teil einer ruchlosen Gemeinschaft, die die Social Engineering Taktiken und Phishing E-Mails, um die Durchführung ihrer cyberVerbrechen. Verstehen, wie ein Betrug Arbeiten können dazu beitragen, dass Ihr Unternehmen nicht Opfer eines solchen Cyberangriffs wird. So geht’s Kompromittierung von Geschäfts-E-Mails funktioniert und wie Sie BEC-Betrüger davon abhalten können, das Geld Ihres Unternehmens zu stehlen.

Analyse eines typischen BEC-Angriffs

Kompromittierung von Geschäfts-E-Mails Betrüger haben es auf Unternehmen jeder Größe und in allen Branchen abgesehen. A BEC-Betrug verwendet Social Engineering und manipuliert die betroffenen Mitarbeiter, während sich die Zerstörungskette durch eine Organisation bewegt. Im Jahr 2020 wird die Ermittlungseinheit für Cyberkriminalität des FBI, IC3, stellte fest, dass Cyberkriminelle mit BEC-Techniken über 2 Milliarden Dollar von US-Unternehmen erbeutet haben. BEC ist im Vereinigten Königreich nicht weniger verbreitet, mit über 500 KMU im Visier von BEC-Betrügern während des Jahres 2018. Kompromittierung von Geschäfts-E-Mails Betrügereien sind lukrativ. Sie erfordern jedoch ein hohes Maß an Engagement, um an die großen Geldsummen zu gelangen, auf die es die Betrüger abgesehen haben. BEC-Betrug kann als eine fortgeschrittene E-Mail-Bedrohung angesehen werden, da er in der Regel ein Element von E-Mail-Kompromiss und Phishing in einem frühen Stadium des Angriffszyklus. Hier sind die typischen Prozesse hinter einer Kompromittierung von Geschäfts-E-Mails Betrug: A BEC-Betrug hängt davon ab, dass bestimmte Personen innerhalb eines Unternehmens dazu verleitet werden, Geld auf das Konto eines Betrügers zu überweisen. Es gibt mehrere Varianten des BetrugSie alle haben jedoch ein gemeinsames Element: einen Weg zu finden, um jemandem vorzugaukeln, dass er eine wichtige Geldüberweisung im Auftrag einer hochrangigen Person und/oder eines wichtigen Kunden durchführt. Die typischen Phasen eines BEC-Betrug sind:

Erste Phase: Informationsbeschaffung und Strategie

Bei BEC-Verbrechen handelt es sich um schwerwiegende Geldmacherei, die zur Perfektionierung des Verbrechens das Sammeln von Informationen erfordert. Bei der Überwachung werden in der Regel allgemeine, öffentlich zugängliche Informationen über ein Unternehmen, die Führungsebene, die Unternehmensstruktur usw. gesammelt. In dieser Phase verschaffen sich die Cyberkriminellen einen Überblick über die Geschäftstätigkeit des Unternehmens und versuchen herauszufinden, wie und an wen Zahlungen geleistet werden. EIN BEC Betrüger nutzt dann diese Informationen, um die zweite Phase des Angriffs zu beginnen.

Stufe zwei: E-Mail-Kompromittierung oder E-Mail-Spoofing

Anhand der in der ersten Phase gesammelten Informationen wendet der BEC-Betrüger dann eine von zwei Taktiken an, um den Angriff fortzusetzen: E-Mail Kontokompromittierung ist eine Möglichkeit. Bei der Kontoübernahme (ATO) muss der Cyberkriminelle die Anmeldedaten und das Kennwort für ein Zielkonto stehlen. E-Mail-Konto. Dies kann mit einem Speer geschehen.PhishingDies ist komplizierter (aber nicht unmöglich), wenn ein zweiter Faktor zum Schutz eines Kontos verwendet wird. Wenn es den Cyberkriminellen gelingt, ein Konto zu kapern, konzentrieren sie sich entweder auf einen leitenden Angestellten oder auf jemanden, der Zahlungen kontrolliert. Ein gekapertes Konto eines CXO ist sehr wertvoll und kann genutzt werden, um „dringende“ Zahlungen an den Hacker zu fordern Bankkonto – sich als ausgeben ein „wertvoller Kunde“. Im Falle des ATO-Mitarbeiters „Accounts payable“ kann der Betrüger den E-Mail-Verkehr beobachten und nach Informationen darüber suchen, wer bezahlt wird, wann die Zahlung erfolgt usw. Mit dieser Kontrolle über die E-Mails eines Unternehmens können sie auch Folgendes abfangen Rechnungenund ändern die Daten, um sicherzustellen, dass die Zahlungen an die Adresse des Betrügers gehen. Bankkonto. Die zweite Möglichkeit ist die Fälschung des E-Mail Adresse der Zielperson auf C-Level-Führungsebene. Das Spoofing einer E-Mail ist eine gängige Form der Phishing und eine anerkannte Methode, um den Empfängern vorzugaukeln, dass die Nachricht von einer bestimmten Person stammt. Ein Beispiel für eine Fälschung E-Mail Adresse wäre elon.musk@tesia.com oder elon.musk@teslq.com – Sie verstehen schon…einfach zu sich als ausgeben.Das ist schwer zu erkennen, vor allem, wenn Sie ein vielbeschäftigter Mitarbeiter in der Kreditorenbuchhaltung sind.

Dritte Stufe: Das Geld herausholen

In der dritten Phase wird das Geld auf das Konto des Betrügers überwiesen. Bankkonto. Dies kann verschiedene Formen annehmen und ist Teil der ursprünglichen Strategie für die Durchführung, die in den Phasen eins und zwei festgelegt wurde. Typische Formen der Durchführung von Phase drei sind: CEO-Betrug: mit einer gefälschten oder gehackt C-Level-Konto, sendet der Betrüger eine als „dringend“ gekennzeichnete E-Mail, in der er erklärt, dass ein wichtiges Kundenkonto verloren geht, wenn nicht bis zu einem bestimmten Zeitpunkt £££££ gesendet wird. Betrug mit Rechnungen: Wenn ein E-Mail-Konto ist gehacktwird der Betrüger auf Folgendes achten Rechnungen die in das Geschäft kommen, abfangen und dann die Zahlungsdaten auf dem Konto ändern. Rechnung.

Wie können Sie das BEC-Risiko verringern?

Der BEC-Betrug beginnt mit dem Sammeln von Informationen über das Ziel und wird durch einen fortgeschrittenen E-Mail-Angriff verbreitet. Letzteres hängt in der Regel von einer erfolgreichen Spear-Phishing Kampagne. Niemand ist ausgenommen von einer BEC-Angriff: im Jahr 2018, die Wohltätigkeitsorganisation, Rettet die Kinder £800.000 durch einen BEC verloren Betrüger. Der Angreifer entwendete die Daten eines E-Mail-Konto und benutzte das Konto zum Versenden von gefälschten Rechnungen. Es gibt mehrere Möglichkeiten, Ihr Unternehmen gegen eine BEC-Angriffdie jeweils Bestandteil eines mehrstufigen Ansatzes zur Verringerung des Risikos von BEC-Kampagnen sind:

Schulung der Mitarbeiter über die Funktionsweise von BEC-Angriffen

Kompromittierung von Geschäfts-E-Mails ist ein von E-Mails abhängiger Angriff, der Wachsamkeit erfordert, um ihn zu erkennen und zu verhindern. Nutzen Sie Schulungen zur Sicherheitssensibilisierung und Phishing-Simulationen, um sicherzustellen, dass alle Mitarbeiter mit den Tricks und Taktiken vertraut sind, die beim Phishing verwendet werden. Erstellen Sie BEC-spezifische Schulungsprogramme, die sich an Ihre Führungskräfte und Mitarbeiter richten, z. B. an diejenigen in der Buchhaltung, die mit Zahlungen zu tun haben. Wenn Ihre Zahlungen von einer dritten Partei abgewickelt werden oder LieferantenStellen Sie sicher, dass Ihre Ausbildung auch sie umfasst.

Zwei-Faktoren-Authentifizierung verwenden

E-Mail-Konto Übernahme ist eine Möglichkeit für BEC-Betrüger. Stellen Sie sicher, dass Ihr Unternehmen E-Mail-Konten so konfiguriert sind, dass sie den Zugang über einen zweiten Faktor erfordern, z. B. müssen die Nutzer einen auf einem mobilen Gerät basierenden Einmalcode sowie ein Passwort verwenden, um auf ihre E-Mail-Konto.

Sichern Sie Ihre Unternehmensdomäne

BEC-Betrüger registrieren häufig Domänennamen, die der Domäne des Zielopfers ähneln, z. B., www.micr0soft.com oder www.amason.com. Die Betrüger können dann E-Mails versenden, die aussehen, als seien sie von einem seriösen E-Mail-Konto. Um dies zu verhindern, sollten Sie Domains registrieren, die Ihrer offiziellen Unternehmensdomain ähneln.

Einrichtung von Mechanismen zur doppelten Überprüfung von Zahlungen

Schaffen Sie ein Verfahren, bei dem die Mitarbeiter vor einer Geldüberweisung oder vor der Weitergabe vertraulicher oder persönlicher Informationen mit einem anderen Mitarbeiter Rücksprache halten müssen.

Achten Sie auf Änderungen oder Aktualisierungen

Schaffen Sie eine Sicherheitskultur, indem Sie dafür sorgen, dass alle Mitarbeiter wachsam sind, wenn sich das Verhalten von Mitarbeitern oder Lieferanten ändert. Diese Sicherheitskultur sorgt dafür, dass die Mitarbeiter vor Betrug gewarnt sind und ungewöhnliches Verhalten erkennen, bevor es zu einem Vorfall kommt.

Die Kompromittierung von Geschäfts-E-Mails ist ein lukratives und erfolgreiches Verbrechen. Dieser Erfolg bedeutet, dass es unwahrscheinlich ist, dass das Volumen in den nächsten Jahren abnehmen wird. Die einzige Möglichkeit, dagegen vorzugehen, besteht darin, wachsam zu bleiben und Ihre Mitarbeiter, einschließlich der Führungskräfte, über die Funktionsweise von BEC aufzuklären.

ANDERE ARTIKEL ZU CYBER SECURITY AWARENESS TRAINING, DIE SIE INTERESSIEREN KÖNNTEN

Computer Security Training: Entwicklung Cybersicherheit
Cyber Security Awareness
Computer Security Training: Entwicklung eines Sensibilisierungsprogramms für Cybersicherheit

Erfahren Sie, wie Sie ein effektives Computer Security Training für die Cybersicherheit entwickeln. Tipps und Strategien für Ihre Sicherheitsmaßnahmen.

Mehr erfahren

James MacKay

20. März 2024

Cybersicherheit im Gesundheitswesen | MetaCompliance
Cyber Security Awareness
Cybersicherheit im Gesundheitswesen: Bedeutung und wie man sie verbessern kann

Erfahren Sie mehr über die Bedeutung der Cybersicherheit im Gesundheitswesen und erhalten Sie wertvolle Einblicke, wie Sie diese effektiv verbessern können.

Mehr erfahren

James MacKay

20. März 2024