Il phishing è una delle tecniche più utilizzate dai criminali informatici perché è semplice ma potenzialmente anche molto redditizia.
Le tecniche di phishing si basano principalmente sull’invio di e-mail ingannevoli. Lo scopo del cyber criminale è quello di accedere e impossessarsi dei dati sensibili della vittima senza però la necessità di aggirare sistema di sicurezza, ma facendo in modo che sia la vittima stessa a comunicarle, in maniera inconsapevole.
Il fenomeno del phishing ha subito nel corso degli anni una crescita esponenziale. A confermarlo, le stime dell’Anti Phishing Working Group.
Ma quanto costa alle aziende un attacco di phishing?
Seppur sia un dato difficile da quantificare, Ponemon Institute, organizzazione di ricerca sulla sicurezza IT, in collaborazione con l’agenzia specializzata Proofpoint, ha cercato di dare un risposta a questo interrogativo con il recente studio Cost of Phishing.
Attacco phishing: il report Ponemon
Lo studio propone una panoramica di quelli che sono i fattori che hanno contribuito all’aumento del phishing e di quali siano gli impatti economici che un attacco di phishing può avere sul business delle imprese colpite.
Innanzitutto, si evidenzia come nel 2021 il costo medio annuo di un attacco di phishing è pari a 14,8 milioni di dollari per un’azienda di 9600 dipendenti. Rispetto al 2015, il cui costo medio era di 3.8 milioni di dollari, l’importo è tre volte maggiore.
Costo del phishing: i fattori che contribuiscono all’aumento
L’incapacità di arginare il malware è uno dei fattori per cui il costo di un attacco di phishing sta aumentando. Basti pensare che il costo medio degli attacchi malware rappresenta l’11% del costo totale per le aziende.
Per malware s’intende, in questo caso specifico, quella minaccia informatica che ha agito a livello di dispositivo, aggirando i sistemi di difesa come firewall e altri sistemi di prevenzione.
Tra gli altri fattori che influiscono sull’aumento del costo del phishing, la perdita di produttività del dipendenti IT. Dallo studio Ponemon è emerso come in media i dipendenti trascorrono ben 7 ore per risolvere problematiche legate all’e-mail phishing.
Si parla di un incremento di 4 ore rispetto al 2015. Dunque, attualmente, ciascun dipendente aziendale spreca più di 65.000 ore di tempo ogni anno.
In costante aumento anche la compromissione delle credenziali. Il report sottolinea come, solo negli ultimi 12 mesi, le aziende vittime hanno subito una media di 5,3 compromissioni, determinando un aumento del costo medio per arginare questa tipologia di compromissione. Si stima un incremento da 381.920 dollari nel 2015 a 692.531 dollari nel 2021. Non solo perdite in termini economici, ma anche un investimento di ore di lavoro per i professionisti dell’IT e della sicurezza IT.
In base alla ricerca Ponemon, si evidenzia come un team di tecnici può arrivare ad impiegare ben 2.050 ore per cercare di indagare e risolvere una compromissione.
Particolarmente diffusa nelle grandi aziende, è invece la violazione delle e-mail aziendali. Nella ricerca, è segnalato come la forma più costosa di attacco informatico.
Difatti, la compromissione delle e-mail aziendali costa quasi 6 milioni di dollari l’anno e 1,7 milioni è l’importo totale che in media è stato pagato ai criminali informatici.
Come prevenire gli attacchi di phishing riducendone i costi
Il report Cost of phishing suggerisce alle aziende alcune possibili strade da intraprendere per prevenire gli attacchi di phishing.
In particolar modo, è necessario che le aziende:
- investano in programmi di formazione per i propri dipendenti affinché siano in grado di riconoscere e intervenire in caso di attacchi di phishing. In questo modo si potrà ostacolare l’operato dei criminali informatici, riducendone di conseguenza i costi del phishing.
- ricorrano ad un approccio integrato per proteggersi dalle minacce. Attraverso la realizzazione di un sistema di sicurezza su più livelli, sarà possibile ridurre al minimo il rischio di attacchi e ottimizzare i costi operativi.