Il costo degli attacchi di phishing ai danni delle aziende è quasi quadruplicato negli ultimi sei anni. A causa di questa piaga le grandi aziende perdono una media di 14,8 milioni di dollari all'anno, l'equivalente di 1.500 dollari per dipendente. Il dato emerge dall'ultimo report Cost of Phishing redatto dal Ponemon Institute di concerto con Proofpoint.

I dati sono stati collezionati intervistando circa 600 professionisti dell'IT e della sicurezza informatica. Quello che emerge è che a fare impennare i costi sono stati gli attacchi BEC e quelli ransomware, che sono spesso spiacevoli conseguenze delle campagne di phishing andate a buon fine. Il motivo è resto detto: come noto, il phishing è spesso mirato al furto o alla compromissione delle credenziali. Queste stesse credenziali sono poi usate per sferrare attacchi BEC e ransomware.

Nel dettaglio, sul fronte della perdita di produttività si calcola uno spreco annuo di 63.343 ore per un'impresa di medie dimensioni con circa 10mila impiegati. Gli attacchi BEC possono indurre perdite legate all’interruzione di business che possono arrivare fino a 157 milioni di dollari se le aziende non sono preparate. Un malware che porta all'esfiltrazione dei dati può invece costare fino a 137 milioni di dollari.

Il computo totale dei costi nel caso di compromissione della posta elettronica aziendale raggiunge quasi 6 milioni di dollari all'anno per una grande organizzazione. Ovviamente le cifre lievitano se entra in gioco un ransomware, che costa annualmente 5,66 milioni di dollari alle grandi aziende. Di questi, solo 790.000 dollari rappresentano i riscatti pagati.

Anche bonificare la rete da un malware ha un prezzo. Secondo il report, il costo totale medio registrato nel 2021 per rimediare gli attacchi malware è stato di 807.506 dollari. Invece, i costi dovuti alla compromissione delle credenziali sono pari a 692.531 dollari. Tutto questo significa che le imprese stanno spendendo cifre ingenti per rispondere a questi attacchi.

Le cifre finora viste si possono dimezzare, se l'azienda vittima era preparata a fronteggiare un attacco, e in particolare se i dipendenti avevano seguito corsi di formazione sulla Security Awareness.