Le campagne email di phishing, che si affidano al social engineering per ingannare gli utenti, sono una tattica ampiamente sfruttata da molti criminali informatici. Sono facili da eseguire e i potenziali ritorni possono essere alquanto redditizi. E per le organizzazioni prese di mira da attacchi phishing andati in porto, le perdite finanziarie possono essere consistenti, come mostrato di seguito.
Figura 1: la tabella mostra le perdite economiche dovute ad attacchi di phishing degli esercizi 2015 e 2021 a confronto
Il report Ponemon sul costo del phishing mostra una ripartizione dei costi annuali sostenuti dalle organizzazioni, e il drammatico aumento dei costi associati alla violazione dell’email aziendale (BEC), o alla frode via email, e agli attacchi Ransomware.
Il costo delle truffe di phishing è salito a ritmo esponenziale negli ultimi anni. Secondo una nuova ricerca del Ponemon Institute, presentata nel rapporto sponsorizzato da Proofpoint, The 2021 Cost of Phishing Study, il costo medio annuo di un phishing nel 2021 è di 14,8 milioni di dollari per un’azienda con 9.600 dipendenti, pari a poco più di 1.500 dollari per dipendente. È più del triplo dell’importo del 2015, che era di 3,8 milioni di dollari.
Vari fattori che contribuiscono all’aumento del costo del phishing
Figura 2: tabella che mostra il costo previsto degli attacchi di malware
Il costo totale degli attacchi di malware non arginati rappresenta un rischio significativo per i dirigenti aziendali, con perdite massime dovute alle inattività e dall’esfiltrazione dei dati che superano annualmente i 100 milioni USD.
L’incapacità di arginare il malware è uno dei motivi per cui il costo del phishing sta crescendo. Rappresenta l’11% del costo totale per le aziende, pari a circa 800.000 USD all’anno, in risalita rispetto ai circa 340.000 USD del 2015, riferisce Ponemon. Il malware difficile da arginare, come viene definito nello studio, è il malware a livello dei dispositivi che ha eluso le difese tradizionali come firewall, software anti-malware e sistemi di prevenzione delle intrusioni. Gli attacchi malware attivi che coinvolgono l’esfiltrazione dei dati e l’inattività sono i più difficili da arginare.
A gonfiare ulteriormente il costo del phishing è la perdita di produttività dei dipendenti non IT: secondo lo studio Ponemon, l’impatto delle truffe di phishing sulla produttività è aumentato passando da 1,8 milioni USD nel 2015 a 3,2 milioni USD quest’anno. I dipendenti passano in media circa 7 ore perdendo tempo con le email di phishing, un incremento rispetto alle 4 ore di sei anni fa.
Nello studio, Ponemon presuppone che un’azienda di medie dimensioni abbia un organico di 9.567 persone con accesso ai sistemi di posta elettronica aziendali. Pertanto, se ogni persona viene distratta da truffe di phishing per 7 ore l’anno, ciò significa che queste aziende vedono con molta probabilità uno spreco di più di 65.000 ore di tempo dei dipendenti ogni anno a causa del phishing.
Anche la disinfezione dopo una truffa di phishing può essere molto impegnativa per le organizzazioni e quindi, giocoforza, costosa. La ricerca di Ponemon, basata sulle risposte al sondaggio di quasi 600 professionisti dell’IT e della sicurezza IT di aziende degli Stati Uniti, ha scoperto che le attività che richiedono più tempo per risolvere gli attacchi di phishing sono la disinfezione e la riparazione dei sistemi infetti e la conduzione di indagini forensi.
La compromissione delle credenziali costa ai team di sicurezza IT migliaia di ore all’anno
Figura 3: tabella che mostra il costo della compromissione delle credenziali causata dal phishing
La compromissione delle credenziali è un altro grande grattacapo per i professionisti dell’IT e della sicurezza IT, secondo lo studio Ponemon. Negli ultimi 12 mesi, le organizzazioni hanno subito una media di 5,3 compromessi di questa natura.
Sulla base di altre ricerche condotte in precedenza sul costo della compromissione delle credenziali, Ponemon stima che i team tecnici dedichino 2.050 ore per indagare e rispondere a una sola compromissione. Se le aziende subiscono più di cinque compromissioni all’anno, i team tecnici possono prevedere di dedicare quasi 11.000 ore nei prossimi 12 mesi per rispondere a questi incidenti.
La ricerca di Ponemon ha anche rilevato che il costo medio per arginare la compromissione delle credenziali basata sul phishing è aumentato passando da 381.920 dollari nel 2015 a 692.531 dollari nel 2021. Tale cifra rappresenta un aumento significativo rispetto al 2015, in una fase in cui sempre più organizzazioni si spostano verso il cloud e il lavoro da casa rappresenta una maggiore difficoltà per le aziende che desiderano migliorare la sicurezza cloud.
La violazione dell’email aziendale (BEC, Business Email Compromise), o frode via email, è una delle causa principali dell’aumento del costo del phishing
Figura 4: tabella che mostra il costo della BEC
Il recente studio Cost of Phishing ha anche esaminato l’impatto della violazione dell’email aziendale (BEC) sui costi del phishing per le organizzazioni. La BEC è un exploit della sicurezza in cui i criminali informatici prendono di mira i dipendenti che hanno accesso ai fondi o ai dati di un’azienda. Questa è la prima volta che lo studio ha incluso dati specifici relativi alla BEC.
Ponemon segnala che il costo medio annuale del phishing per la BEC è di 5,96 milioni USD. Per i dirigenti aziendali è potenzialmente possibile che ci sia un costo per le aziende di oltre 150 milioni USD in uno scenario di massima perdita probabile. Se il rischio non viene attira l’attenzione della dirigenza, l’importo totale pagato in media ai criminali informatici colpevoli di BEC ogni anno è stato di 1,17 milioni di dollari tra gli intervistati.
La violazione dell’email aziendale è diventata la forma più costosa di attacco informatico. Scopri e sei passaggi per gestire efficacemente questa minaccia in The Business Email Compromise Handbook (Guida alla violazione dell’email aziendale) di Proofpoint. Scarica subito una copia gratuita.
Gli attacchi ransomware stanno aumentando e costano milioni alle organizzazioni
Figura 5: tabella che mostra il costo della ransomware
Un’altra novità dello studio Ponemon 2021 è stata l’indagine sugli impatti del ransomware sul fatturato delle aziende. Con perdite massime probabilmente nell’ordine delle decine di milioni, e con aziende che spendono milioni per arginare il ransomware, le prospettive di questa vecchia ma crescente minaccia dovrebbero far suonare alle aziende i campanelli d’allarme.
Inoltre, le imprese hanno speso in media quasi 800.000 USD in costi diretti ai criminali informatici che hanno ottenuto l’accesso ai loro dati e sistemi. Vale la pena osservare, come è stato spiegato in precedenza, che non tutto il ransomware arriva tramite email. Disattivare l’RDP rivolto a Internet e applicare le patch a tutti i dispositivi rivolti a Internet che sono soggetti a vulnerabilità, come VPN, dispositivi di trasferimento file e server di posta, sono azioni fondamentali che puoi adottare per proteggere la tua azienda.
Con questi costi di phishing in aumento e le minacce in evoluzione che guadagnano terreno, è importante fare un passo indietro rispetto alle soluzioni specifiche e pensare in modo olistico a come affrontare tutte queste minacce.
Un approccio integrato alla protezione dalle minacce può ridurre drasticamente i costi
Il report 2021 Cost of Phishing prevede che gli attacchi di phishing andati in porto continueranno ad aumentare mentre le organizzazioni faticano a proteggere adeguatamente la crescente forza lavoro in remoto a causa della pandemia COVID-19.
Vi è tuttavia un lato positivo: la ricerca di Ponemon suggerisce che se le organizzazioni investono in programmi di formazione e sensibilizzazione alla sicurezza in grado di formare i dipendenti su come prevenire gli attacchi di phishing, non solo si possano vanificare gli sforzi dei criminali informatici, ma si possa anche ridurre il costo del phishing in generale.
Ai professionisti dell’IT e della sicurezza IT intervistati per lo studio Cost of Phishing è stato chiesto di stimare quale percentuale dei costi di phishing potrebbe essere ridotta attraverso programmi di formazione e sensibilizzazione che affrontano specificamente i rischi degli attacchi di phishing destinati alla forza lavoro. In base alle risposte fornite, Ponemon segnala che il costo del phishing potrebbe essere ridotto in media di più della metà (53%).
Inoltre, le organizzazioni devono adottare un approccio a livelli per difendersi. Quanto è efficace il loro gateway di posta nel prevenire le minacce che raggiungono in primo luogo i dipendenti? Esiste un modo per ripristinare la situazione dalle minacce una volta avvenute? Le azienda hanno adottato l’Autenticazione DMARC il monitoraggio dei rischi di frode?
Le organizzazioni che adottano un approccio integrato alla protezione dalle minacce possono ridurre il rischio di phishing, ottimizzando i costi operativi. Questo studio Forrester Total Economic Impact™, ad esempio, mostra come un grande operatore di servizi sanitari sia stato in grado di ridurre il rischio di violazione dei dati di oltre il 50%, risparmiando oltre 2 milioni di dollari l’anno. Hanno anche evitato il bisogno di personale grazie all’automazione, con un risparmio di quasi 350.000 dollari in tre anni.
Scarica il report gratuito per maggiori informazioni
I risultati di Ponemon rivelano che gli impatti economici degli attacchi di phishing per le organizzazioni includono non solo il denaro sottratto dagli aggressori, ma anche la perdita di produttività dei dipendenti, gli oneri del team tecnico e l’aumento della probabilità di inattività e di violazioni dei dati.
Per leggere i risultati completi dello studio del Ponemon Institute, compreso l’approfondimento su quanto gli attacchi ransomware stiano costando alle aziende ogni anno e dati ulteriormente dettagliati sulle tendenze BEC, scarica oggi stesso il report, The 2021 Cost of Phishing Study.