Proofpoint e la quinta edizione di “State of the Phish”

Proofpoint e la quinta edizione di “State of the Phish”

Secondo “State of the Phish”, nuova edizione del report di Proofpoint, nel 2018 il phishing è risultato essere in costante aumento registrando un +7% vs 2017. Il report, arrivato alla sua quinta edizione, offre una panoramica delle tendenze degli attacchi phishing che hanno coinvolto oltre 15 settori operativi sottolineandone il livello di conoscenza di base sulla cybersicurezza di oltre 7.000 intervistati in Australia, Francia, Germania, Giappone, Italia, Regno Unito e Stati Uniti.

L’indagine ha inoltre analizzato i dati provenienti da decine di milioni di simulazioni di attacchi phishing inviati in un anno insieme a circa 15.000 risposte di professionisti di sicurezza, che comprendono clienti Proofpoint e aziende esterne, per definire uno scenario dettagliato dell’andamento globale.

L’83% degli intervistati ha dichiarato di aver subìto attacchi phishing nel 2018 (nel 2017 il 76%), e circa il 60% ha assistito a un miglioramento delle capacità di riconoscimento di minacce da parte degli utenti grazie alla partecipazione a corsi di formazione e un numero maggiore di aziende è stato colpito da attacchi di ingegneria sociale (phishing, spear phishing, sms phishing, voice phishing e via USB). Per la prima volta, gli account compromessi hanno superato le infezioni malware, tradizionalmente identificate come il principale impatto di campagne phishing di successo.

Joe Ferrara, General Manager of Security Awareness Training di Proofpoint
Le email sono il vettore di attacco primario e i cyber criminali continuano a colpire individui con privilegi o responsabili della gestione di dati confidenziali di valore all’interno dell’azienda. Queste minacce diventano sempre più numerose e sofisticate, ed è quindi fondamentale che le aziende si focalizzino su attività di formazione sulla sicurezza per educare i dipendenti e fornire loro le best practice, definendo una strategia focalizzata sulle persone.

I principali risultati di Report State of the Phish

– Una frequenza più elevata di attacco di ingegneria sociale anno su anno. Il phishing è aumentato del 7%, dal 76 all’83%, lo spear phishing dal 53 al 64%, mentre il vishing e/o smishing è salito dal 45 al 49% e gli attacchi USB dal 3 al 4%.
– La compromissione di credenziali è aumentata del 70% dal 2017 e del 280% dal 2016, superando le infezioni malware nella classifica degli impatti più comuni del phishing nel 2018. Il numero di chi ha subìto attacchi phishing è più che triplicato tra il 2016 e il 2018.
– Nel 2018 l’83% del campione ha subìto attacchi phishing, +9% anno su anno. Solo il 10% ha segnalato attacchi ransomware, confermando il passaggio in secondo piano di questa minaccia nel corso dello scorso anno.
– Il 59% delle email sospette segnalate dagli utenti sono state classificate come potenziali messaggi di phishing, dimostrando così un livello di consapevolezza e attenzione più elevato da parte degli utenti davanti a un messaggio di posta. 
– I baby boomer (gli intervistati oltre i 54 anni) hanno rivelato una maggiore conoscenza di base di phishing e ransomware, sottolineando come le aziende non debbano ritenere che una risorsa più giovane possieda una conoscenza innata delle cyber minacce.
– La formazione dei dipendenti sulle minacce attuali è fondamentale. Nell’indagine globale, infatti, i lavoratori adulti hanno identificato correttamente i termini phishing (66%), ransomware (45%), smishing (23%) e vishing (18%). La conoscenza diminuisce quindi quando si tratta di termini appartenenti al linguaggio utilizzato dai team di sicurezza nelle comunicazioni con gli utenti.

I risultati italiani dell’indagine, che ha coinvolto 1000 intervistati:

– il 70% di loro conosce il significato di phishing;
– solo il 36% sa cosa sia un ransomware, mentre il 39% ne è all’oscuro;
– il 50% non ha idea di cosa sia lo smishing e solo il 28% ne conosce il significato. Per quanto riguarda il vishing, scende al 24% la percentuale di chi ha risposto correttamente, contro il 54% che dichiara di non sapere cosa significhi.