Gli attacchi di phishing contro le aziende sono costantemente in crescita. Per mettere a fuoco le dimensioni del fenomeno nel 2020, Sophos ha pubblicato la ricerca Phishing Insights 2021, frutto di interviste a 5.400 responsabili IT in 30 paesi, fra cui l'Italia.

Il risultato è che il 57% dei 200 italiani intervistati ha confermato di aver rilevato un sensibile aumento del numero di attacchi di phishing. Eventi che la maggioranza degli interpellati definisce come “email che sembrano provenire da mittenti legittimi e che invitano a condividere informazioni o millantano un possibile pericolo (ad esempio il blocco di una carta di credito)”. Più sbrigativo il resto del campione, che si limita a identificare un attacco phishing come “una mail contenente un link malevolo” o un allegato infetto.

Una nota positiva del report è che le aziende hanno preso coscienza della minaccia e si stanno muovendo per contrastarla nella maniera più efficace, con i corsi di formazione per i dipendenti. Dalla ricerca emerge infatti che oltre il 90% delle aziende a livello mondiale ha attivato programmi di sensibilizzazione nell’ambito della cybersecurity per aiutare gli utenti a riconoscere e proteggersi dagli attacchi di phishing.

Il dato è confortante anche circoscrivendo le risposte all'Italia. Il 54% del campione nazionale, infatti, ha affermato che la propria azienda ha adottato programmi di questo tipo, con specifico riferimento a training svolti su PC.

Il 34% ha affermato che l’azienda svolge simulazioni di attacco. Nel 19% dei casi i programmi di formazione sono in fase di avvio, e solo nel 2% dei casi non sono in preventivo iniziative di questo tipo. Nella stragrande maggioranza dei casi la svolta dei corsi di formazione è avvenuta nel 2020: chiara indicazione che la pandemia ha fatto emergere le vulnerabilità e dato l'opportunità di porvi rimedio.

Quello che è certo è che ormai il fenomeno del phishing ha assunto proporzioni tali da non poter essere ignorato, e sottovalutarlo è un grosso errore. Vale la pena di ricordare che spesso il phishing è solo il primo passo di un attacco multistadio molto più complesso.

Gli attaccanti sfruttano sovente le email di phishing per ottenere il primo accesso alla rete aziendale, per poi attuare attacchi ransomware multimilionari, furti di dati e altro. Insegnare ai dipendenti a non abboccare è il modo più efficace per prevenire tali problemi.