Inici ALTRES NOTICIES Ciber-estafes: El cost mitjà que provoca el phishing s’ha gairebé quadruplicat des...

Ciber-estafes: El cost mitjà que provoca el phishing s’ha gairebé quadruplicat des de l’any 2015

96

El cost mitjà que provoca el phishing s’ha gairebé quadruplicat des de l’any 2015

Proofpoint, companyia líder en ciberseguretat i compliment normatiu, i l’Institut Ponemon, una de les principals organitzacions de recerca sobre seguretat TI, han publicat els resultats d’un nou estudi sobre el cost del phishing, el qual s’ha gairebé quadruplicat en els últims sis anys. L’informe revela que als Estats Units les grans empreses perden de mitjana uns 14,8 milions de dòlars a l’any, o uns 1.500 dòlars per empleat, a causa d’aquests atacs, la qual cosa suposa un fort augment respecte als 3,8 milions de dòlars registrats en 2015.

Segons aquest estudi, en el qual han participat gairebé 600 professionals de seguretat i de TI, els atacs Business Email Compromise (BEC) i de ransomware són les amenaces més costoses per a les empreses, encara que l’impacte en aquestes organitzacions va molt més enllà dels fons transferits als atacants.

“Quan una organització paga milions per resoldre un problema de ransomware, la gent assumeix que el cost d’arreglar-lo implica només el rescat. Però el rescat en si mateix representa menys del 20% del cost que suposa un atac de ransomware“, assenyala Larry Ponemon, president i fundador de l’Institut Ponemon. “Atès que els atacs de phishing augmenten la probabilitat que es produeixi una filtració de dades i s’interrompi el negoci, la major part dels costos per a les empreses prové més de la pèrdua de productivitat i de la reparació del problema que del rescat que s’ha pagat als atacants”.

El compromís o robatori de credencials acostuma a precedir atacs com BEC i ransomware, en general en forma de phishing a un empleat perquè lliuri les seves credencials d’accés. Segons el Grup de Treball AntiPhishing (APWG, per les seves sigles en anglès), el phishing és un delicte que empra tant l’enginyeria social com subterfugis tècnics per a robar dades personals i credencials de comptes financers. El phishing no creix de manera gradual, sinó que ho fa exponencialment. L’APWG calcula que aquest tipus d’atacs ha arribat a duplicar-se només l’any 2020.

Aquestes són unes altres de les conclusions clau de l’estudi sobre el cost del phishing l’any 2021:

– La pèrdua de productivitat és una de les conseqüències del phishing que implica major cost. En una mitjana empresa dels Estats Units amb uns 9.567 empleats es perdrien cada any unes 63.343 hores de treball. Cada treballador perdria de mitjana unes set hores anuals a causa d’aquestes estafes, la qual cosa suposa un augment enfront de les quatre hores de 2015.

– Els atacs BEC costen gairebé sis milions de dòlars anuals a una organització gran. D’aquesta quantitat, els pagaments il·lícits als atacants serien 1,17 milions de dòlars.

– El ransomware suposa a les grans organitzacions costos per valor de 5,66 milions de dòlars a l’any. Uns 790.000 dòlars corresponen únicament al pagament de rescats.

– La formació en conscienciació sobre seguretat redueix de mitjana les despeses per phishing en més d’un 50%.

– El cost de resoldre les infeccions per malware s’ha duplicat amb escreix des de 2015. L’any 2021 solucionar atacs de malware costa de mitjana uns 807.506 dòlars, enfront dels 338.098 dòlars que suposava l’any 2015.

– Els costos per compromís de credencials han augmentat dràsticament des de 2015. Com a resultat, les organitzacions gasten més diners a l’hora de respondre davant aquests atacs. El cost mitjà de contenir compromisos de credencials basats en phishing ha passat de 381.920 dòlars en 2015 a 692.531 dòlars en 2021. Les organitzacions han experimentat una mitjana de 5,3 incidents d’aquest tipus en un període de 12 mesos.

– Els líders empresarials han de parar atenció a possibles escenaris de pèrdues màximes. Per exemple, els atacs BEC podrien ocasionar pèrdues per interrupció de negoci de fins a 157 milions de dòlars si les organitzacions no estan preparades. El malware amb filtracions de dades podria costar fins a 137 milions de dòlars.

“Els ciberdelinqüents es dirigeixen ara als treballadors en lloc de les xarxes d’una organització, d’aquí ve que el compromís de les credencials s’hagi disparat en els últims anys deixant la porta oberta a atacs molt més devastadors com BEC i ransomware“, comenta Ryan Kalember, vicepresident executiu d’estratègia de ciberseguretat de Proofpoint. “Fins que les organitzacions no despleguin un enfocament de la ciberseguretat centrat en les persones, que inclogui formació en matèria de conscienciació sobre seguretat i protecció integrada per a detenir i solucionar amenaces, els atacs de phishing continuaran”.