I ricercatori di Proofpoint e del Ponemon Institute hanno provato a stimare il danno economico creato dal phishing alle grandi aziende statunitensi, scoprendo che nel corso degli ultimi anni esso è cresciuto notevolmente, tanto da arrivare a quadruplicare il dato del 2015. La rilevazione è stato operata intervistando circa 600 tra professionisti dell’IT ed esperti in Cybersecurity.
Nel corso dell’ultimo anno la perdita media per singola azienda sarebbe stata pari a 14.8 milioni di dollari, pari a circa 1.500 dollari per ciascun collaboratore. Nel 2015 il dato era stato nettamente inferiore non arrivando a superare i 3.8 milioni di dollari, segno che nonostante il miglioramento delle contromisure disponibili il phishing è un problema ancora molto attuale.
Ad oggi questa tecnica verrebbe utilizzata in particolare per attacchi basati su ransomware, con la richiesta di un riscatto generalmente in cryptovaluta, e BEC (Business Email Compromise), con sottrazione delle credenziali necessarie per l’accesso agli account aziendali. In buona parte dei casi il phishing porterebbe gli stessi dipendenti a cedere password e token agli attaccanti.
Le perdite dovute alle azioni malevole sono state calcolate anche in ore di lavoro per verificarne l’impatto in termini di produttività. Ciascun lavoratore sprecherebbe non meno di 7 ore l’anno (contro le 4 del 2015) a causa delle conseguenze di uno o più attacchi di phishing, parliamo di oltre 63 mila ore all’anno per una compagnia che occupa più di 9.500 impiegati.
Nello specifico del BEC, i costi per un’azienda particolarmente strutturata si aggirerebbero intorno ai 6 milioni di dollari all’anno, con una quota pari a poco meno di 1.2 milioni di euro per i soli pagamenti a favore degli attaccanti. Per quanto riguarda invece i ransomware, la quota relativa ai riscatti sembrerebbe essere marginale, 790 mila dollari, se rapportata ai 5.66 milioni mediamente necessari al contenimento del danno.