Il phishing impiega oggi sia social engineering che accorgimenti tecnici per sottrarre dati personali e credenziali alle imprese. La sua crescita non è graduale, ma esponenziale; secondo le stime dell’Anti-Phishing Working Group (Apwg), gli attacchi di phishing sono infatti raddoppiati nel solo 2020.
Il peso del phishing grava così sempre più sulle casse delle imprese. Il costo di tale tipologia di attacchi si è quadruplicato negli ultimi sei anni, con una perdita media sulle grandi aziende di 14,8 milioni di dollari all’anno, pari a 1.500 dollari per dipendente, rispetto ai 3,8 milioni di dollari registrati nel 2015.
A dirlo è una recente ricerca Cost of Phishing di Ponemon Institute realizzata in collaborazione con Proofpoint coinvolgendo circa 600 professionisti dell’IT e della sicurezza informatica.
Attacchi alla posta elettronica aziendale (Business email compromise – BEC) e ransomware risultano essere le minacce più dispendiose per le grandi imprese, con costi che superano di gran lunga le somme trasferite agli attaccanti.
Attacchi, gli impatti sul business
Lo studia evidenzia gli impatti concreti delle minacce sul business delle imprese. A partire dalla perdita di produttività: per esempio, in una società statunitense di medie dimensioni (circa 9.500 dipendenti), ogni dipendente perde una media di 7 ore all’anno a causa di truffe legate al phishing, con un aumento di 4 ore rispetto al 2015, per un totale di oltre 63.000 ore sprecate ogni anno. Nelle grandi organizzazioni, la compromissione della posta elettronica aziendale costa quasi 6 milioni di dollari all’anno, di cui 1,17 milioni di dollari all’anno per i pagamenti illeciti agli attaccanti. Il ransomware costa annualmente alle grandi organizzazioni 5,66 milioni di dollari, di cui solo 790.000 dollari relativi ai riscatti pagati.
Più che raddoppiati dal 2015 anche i costi per risolvere le infezioni malware, con una spesa totale media di 807.506 dollari, contro i 338.098 dollari del 2015. Si incrementano drasticamente i costi dovuti alla compromissione delle credenziali, mediamente aumentati da 381.920 dollari del 2015 a 692.531 dollari nel 2021, con una media di 5,3 compromissioni nell’arco di 12 mesi.
Gli attacchi BEC e ransomware avvengono solitamente a seguito della compromissione delle credenziali o del loro furto, il più delle volte tramite il dipendente che fornisce inconsapevolmente i dati di accesso.
In uno scenario potenziale di massima perdita, gli attacchi BEC possono indurre perdite legate all’interruzione di business fino a 157 milioni di dollari, mentre un malware che conduca all’esfiltrazione dei dati può costare fino a 137 milioni di dollari.
“Quando le persone leggono che un’azienda ha pagato milioni a causa del ransomware, presumono che questo sia il costo del riscatto. In realtà, abbiamo scoperto che i riscatti da soli rappresentano meno del 20% del costo di un attacco ransomware – evidenzia Larry Ponemon, chairman e founder di Ponemon Institute -. Poiché gli attacchi di phishing aumentano la probabilità di violazione dei dati e di interruzione del business, la maggior parte dei costi sostenuti dalle aziende derivano dalla perdita di produttività e dal risanamento del problema, e non dal pagamento effettivo del riscatto”.
Il peso della formazione
I programmi di formazione e sensibilizzazione dei dipendenti sulla prevenzione degli attacchi di phishing possono ridurre i costi legati alle minacce. L’analisi di Proofpoint dimostra infatti come il costo può essere ridotto in media di più della metà (53 per cento) se si svolge un piano di formazione.
“Poiché i cybercriminali ora prendono di mira i dipendenti invece delle reti, la compromissione delle credenziali è letteralmente esplosa negli ultimi anni, aprendo così la porta ad attacchi molto più devastanti come BEC e ransomware – dichiara Ryan Kalember, executive vice president of cybersecurity strategy di Proofpoint -. Fino a quando le organizzazioni non implementeranno un approccio alla cybersecurity incentrato sulle persone, che includa formazione sulla consapevolezza della sicurezza e protezione integrata dai rischi per fermare con successo le minacce, gli attacchi di phishing continueranno”.
© RIPRODUZIONE RISERVATA