Proofpoint con Ponemon Institute hanno pubblicato i risultati di un nuovo report che rivela che dal 2015 il costo medio del phishing per le aziende è quasi quadruplicato. Secondo l’analisi, il costo degli attacchi phishing è quasi quadruplicato negli ultimi sei anni. Le grandi aziende infatti perdono una media di 14,8 milioni di dollari all’anno (o 1.500 dollari per dipendente), rispetto ai 3,8 milioni di dollari registrati nel 2015. In base ai risultati della ricerca, attacchi BEC e ransomware rappresentano le minacce più dispendiose, con costi per le aziende che vanno ben oltre le somme trasferite agli attaccanti.
Quadruplicato il costo del phishing per le aziende
La compromissione delle credenziali (o il loro furto) generalmente precede attacchi come BEC e ransomware, di solito a causa di un dipendente che “abbocca” nel fornire le proprie credenziali di accesso. Secondo l’Anti-Phishing Working Group (APWG), il phishing è un crimine che impiega sia social engineering che accorgimenti tecnici per sottrarre dati personali e credenziali dei conti finanziari. La sua crescita non è graduale, ma esponenziale, tanto che sempre secondo le stime di APWG gli attacchi di phishing sono raddoppiati nel solo 2020.
Altri risultati chiave del report Cost of Phishing 2021
La perdita di produttività è una delle conseguenze più onerose del phishing. In una società statunitense di medie dimensioni con 9.567 persone, questa si traduce in 63.343 ore sprecate ogni anno. Ogni dipendente perde una media di sette ore all’anno a causa di truffe legate al phishing, con un aumento di quattro ore rispetto al 2015.
La compromissione della posta elettronica aziendale costa quasi 6 milioni di dollari all’anno a una grande organizzazione. Di questa somma, i pagamenti illeciti agli attaccanti ammontano a 1,17 milioni di dollari all’anno.
Il ransomware costa annualmente alle grandi organizzazioni 5,66 milioni di dollari, di cui 790.000 dollari rappresentano solamente i riscatti pagati.
Un programma di Security Awareness Training riduce mediamente i costi derivanti dal phishing di oltre il 50%.
Costo del phishing per le aziende
I costi per risolvere un’infezione malware sono più che raddoppiati dal 2015. Il costo totale medio registrato nel 2021 per rimediare gli attacchi malware è stato di 807.506 dollari, contro i 338.098 dollari nel 2015.
I costi dovuti alla compromissione delle credenziali sono aumentati drasticamente dal 2015. Di conseguenza, le organizzazioni stanno spendendo di più per rispondere a questi attacchi. Il costo medio per contenere le compromissioni delle credenziali basate sul phishing è aumentato da 381.920 dollari del 2015 a 692.531 dollari nel 2021. Nell’arco di 12 mesi, le aziende hanno sperimentato una media di 5,3 compromissioni.
I responsabili aziendali dovrebbero prestare attenzione a potenziali scenari di massima perdita. Ad esempio, gli attacchi BEC potrebbero indurre perdite legate all’interruzione di business che possono arrivare fino a 157 milioni di dollari se le organizzazioni non sono preparate, mentre un malware che conduca all’esfiltrazione dei dati potrebbe costare fino a 137 milioni di dollari.
