Фишинг – самая распространенная форма киберпреступности, широко распространенная в различных отраслях. Фишинговые атаки – это обманные сообщения, замаскированные под доверенные голоса, целью которых является выманить у людей конфиденциальную информацию. По мере развития технологий они становятся все более изощренными и целенаправленными. Знаете ли вы, что 91 % всех кибератак начинается с фишингового письма? Шокирует, не правда ли? Эта статистика показывает, что независимо от нашей технической подкованности, каждый может стать жертвой хорошо проведенной фишинговой атаки. В условиях постоянно развивающегося мира онлайн-угроз очень важно понимать тактику фишеров и уметь распознавать их “красные флажки”. В этом посте мы исследуем мир лучших данных о фишинге, охватывая такие темы, как глобальные тенденции атак, меры противодействия и стратегии повышения осведомленности, принятые различными мировыми брендами, типы атак и их распространенность, демографические характеристики жертв и их влияние и т. д., что поможет нам вооружиться знаниями и защитить наши драгоценные личности в Интернете. Давайте посмотрим на мировую статистику того, насколько эффективны эти мошенничества, несмотря на усилия, предпринимаемые для их предотвращения.
Фишинг: надвигающаяся угроза в цифрах
- Наводнение спама: Ежедневно в наши почтовые ящики попадает 3,4 миллиарда писем со спамом.
- Вредоносные: 1,2% писем – это вредоносные ловушки, замаскированные под невинные сообщения.
- Google: Каждый день компания Google защищает около 100 миллионов фишинговых писем, ограждая нас от этих цифровых опасностей.
- Человеческий фактор: В отчете Verizon за 2022 год раскрывается отрезвляющая истина: 82 % утечек данных связаны с человеческими манипуляциями посредством фишинга или кражи учетных данных.
- BEC: Атаки на деловую электронную почту (BEC) выросли в 2022 году на 35 % до 383 928 случаев, что подчеркивает уязвимость профессиональной коммуникации.
- Счет за утечку данных: В 2022 году утечки данных нанесут серьезный удар, в среднем составляя 4,35 миллиона долларов на каждый инцидент.
- Потерянные миллионы в минуту: Компания Astra Security обнародовала ошеломляющую цифру – в 2021 году предприятия теряли почти 1,7 миллиарда долларов в минуту из-за фишинговых атак.
- Дорогая плата: Спам по электронной почте не только раздражает, но и дорого обходится. Ежегодно предприятия теряют из-за этих нежелательных сообщений 20,5 миллиарда долларов.
- Расходы на отток клиентов: Доходы тоже не застрахованы от фишинга. 46 % организаций столкнулись с проблемой оттока клиентов, вызванной этими атаками, что свидетельствует о более широких последствиях.
Финансовые последствия фишинга вызывают тревогу, как видно из этой удивительной статистики. Однако есть способы уберечься от того, чтобы не стать жертвой такого рода атак: это и обучение сотрудников, и установка надежной защиты электронной почты, и бдительное поведение в Интернете. Будьте в безопасности, не теряя надежды в современном мире информационно-коммуникационных технологий.
Частота фишинговых атак
Ежедневно рассылается 150 миллиардов писем со спамом, многие из которых содержат фишинговые ссылки
Учитывая, что ежедневно рассылается более 150 миллиардов спам-сообщений, неудивительно, что они составляют значительные 45 % всего мирового почтового трафика. Среди стран-лидеров – США, Китай, Россия (почти 30 %) и Бразилия.
Фишинговые атаки были самым распространенным киберпреступлением, о котором сообщили в ФБР в 2022 году
В 2022 году киберпреступность принесла более 10 миллиардов долларов, а в Центр жалоб на интернет-преступления ФБР (IC3) обратилось более 800 000 жертв. Самым распространенным преступлением было фишинговое мошенничество, на которое пришлось более 300 000 жалоб. Удивительно, но инвестиционные схемы привели к наибольшим финансовым потерям для жертв – впервые для данных IC3. Граждане в возрасте от 30 до 39 лет составили самую многочисленную группу жертв, в то время как люди старше 60 лет понесли наибольший денежный ущерб.
83 % организаций по всему миру подверглись хотя бы одной фишинговой атаке в 2023 году
Компания Verizon опубликовала отчет Data Breach Investigations Report (DBIR) за 2023 год с интересной статистикой о состоянии киберугроз. Согласно углубленному анализу нескольких организаций, результаты показали, что около 83 %, или подавляющее большинство, подверглись хотя бы одной фишинговой атаке за последний год. В отчете также подробно описаны атаки с помощью социальной инженерии, на которые приходится 82 % случаев взлома, и которые часто осуществляются тайком, с помощью мошеннических электронных писем или афер с предлогом.
Спам и фишинг резко возросли в 2022 году: почти половина писем – спам, многие – фишинговые аферы
По данным Statista, почти половина всех электронных писем в мире оказалась спамом, что вызвало обеспокоенность по поводу безопасности в сети и эффективности коммуникаций. Несмотря на небольшое увеличение по сравнению с 2021 годом, в 2022 году почти половина всех электронных писем в мире была классифицирована как спам. Снижение количества спама с 2011 года свидетельствует об улучшении систем фильтрации и осведомленности пользователей, однако бдительность по-прежнему крайне важна.
54 % успешных фишинговых атак заканчиваются утечкой данных клиентов
В 2021 году привели к утечке данных клиентов или заказчиков, а 48 % – к компрометации учетных данных и аккаунтов. По данным, собранным командой Atlas VPN, 83 % организаций стали жертвами успешных атак.
Proofpoint 2023 Статистика фишинга
В своем девятом ежегодном отчете State of the Phish компания Proofpoint погрузилась в сложный мир фишинговых технологий. Результаты исследования показывают, как злоумышленники продолжают получать преимущество, и проливают свет на их наиболее распространенные тактики. Среди наиболее ошеломляющих статистических данных можно назвать следующие: 44 % людей считают, что брендированные электронные письма заслуживают доверия, однако в 2022 году более 30 миллионов вредоносных сообщений были замаскированы под бренды или продукты Microsoft. Кроме того, еще одним уникальным способом, используемым хакерами, являются телефонные атаки, в результате которых ежедневно совершается около 300-400 тысяч попыток, а в августе их количество достигло пика в 600 тысяч ежедневно. Все эти фишинговые атаки привели к росту прямых финансовых потерь на 76 %. Интересно, что отчетность пользователей сыграла значительную роль в предотвращении примерно каждой десятой угрозы при общем количестве, превышающем 75 миллионов.
Всплеск фишинга от Microsoft: Рост на 10 % в 4 квартале, теперь 41 % мошенничеств, связанных с кражей учетных данных
Неудивительно, что, поскольку продукты Microsoft так широко распространены в организациях по всему миру, этот пакет представляет собой богатый источник целей для киберпреступников. Как следует из отчета Fortra “Тенденции, цели и изменения в методах BEC в 2023 году”, кража учетных данных для компрометации деловой электронной почты (BEC) имела тенденцию к росту после спада, наблюдавшегося во второй половине 2022 года. В первом квартале кража учетных данных занимала первое место среди всех типов угроз, связанных с выдачей себя за пользователя электронной почты. Этот рост был вызван главным образом увеличением числа фишинговых писем, выдающих себя за Microsoft O365, на долю которых приходится почти 41 % всех фишинговых атак, связанных с кражей учетных данных.
Жертвы и последствия
Представители поколений Z и Millennials больше всего страдают от мошеннических писем
В современный цифровой век бытует мнение, что пожилые люди, которые не так хорошо знакомы с технологиями, более восприимчивы к мошенничеству в Интернете. Однако недавний , проведенный командой Atlas VPN, показал, что это совсем не так. Удивительно, но миллениалы и представители поколения Z в США становятся жертвами фишинговых писем чаще, чем их старшие сверстники. Более того, 23 % представителей поколения Z и миллениалов в прошлом были обмануты этими мошенническими письмами.
Многие ресурсы утверждают, что 90 % всех кибератак начинаются с фишинга.
По статистике, от 80 до 95 % кибератак инициируются с помощью фишинговых писем.
- В последнем отчете CISCO “Тенденции угроз кибербезопасности” говорится, что подавляющее 90 % случаев утечки данных происходит из-за успешных попыток фишинга.
- Отчет Cloudflare о фишинговых угрозах предсказывает, что эта тенденция сохранится, поскольку к 2023 году на фишинг с помощью электронной почты будет приходиться почти 90 % всех кибератак.
- В соответствии с этими выводами Comcast Business подчеркивает, что примерно от 80 до 95 % киберугроз возникают в результате успешных атак с использованием фишинга электронной почты.
Бум утечек данных: средняя стоимость достигает $4,45 млн (рост на 15% за 3 года)
Компания IBM опубликовала отчет об утечках данных в 2023 году, основанный на ответах большинства из более чем 550 организаций, столкнувшихся с соответствующими инцидентами. В отчете сообщается, что средняя стоимость глобальной утечки данных составила 4,45 миллиона долларов США, что на 15 % больше за три года. Отчет также показал, что предприятия, использующие передовые технологии, такие как искусственный интеллект и автоматизация, могут сэкономить до 1,76 миллиона долларов США по сравнению с теми, кто не использует их в широком масштабе.
Финансы, энергетика и производство возглавляют список целей
В основном жертвами фишинговых атак становятся финансовые, энергетические и производственные предприятия. Последние статистические данные показывают, что энергетический сектор подвергается атакам в 60% случаев, за ним следуют финансовый сектор и, в основном, производственная отрасль – 46% и 40% соответственно.
1 минута, 1,7 миллиарда долларов пропали: фишинговые атаки сильно пострадали в 2021 году
Согласно одному из отчетов, в 2021 году в мире в результате фишинговых атак ежеминутно будет теряться почти 1,7 миллиарда долларов, что приведет к увеличению глобальных потерь на 65 % в период с июля 2019 года по декабрь 2021 года.
Типы и тенденции
Массовые фишинг-атаки: поражение 85% компаний в 2022 году
По данным Statista, в современном цифровом ландшафте киберпреступность представляет собой значительный риск, поскольку она принимает различные формы и платформы. Наиболее распространенной формой является массовый фишинг, жертвами которого в 2022 году станут 85 % мировых компаний.
Предупреждение об угрозе смишинга: 75% организаций стали жертвами в 2022 году
В 2022 году заметно увеличилось количество мобильных фишингов, также известных как smishing. По данным Proofpoint, 75 % организаций сталкивались с этой угрозой, не связанной с электронной почтой, что ставит ее на 5-е место среди всех атак. К этой форме атак относятся SMS-фишинг, вишинг (голосовой фишинг) и квишинг (фишинг с помощью QR-кодов).
Более половины фишинговых атак совершались с использованием фишинговых вложений
Отчет IBM Security X-Force Threat Intelligence Index 2023 предоставляет командам безопасности, а также руководителям компаний обоснованную информацию для лучшего понимания угроз атак. Одним из важных факторов в отчете является то, что более половины всех эффективных фишинговых атак используют вложения spear phishing, что делает их одной из наиболее важных проблем для организаций, ищущих меры проактивной защиты.
Горячие точки фишинга: Перу и Багамы подверглись наибольшему количеству фишинга в 2022 году
Тактики фишинга продолжают развиваться так же, как и технологии. Один из таких методов называется smishing, когда фишинговые атаки осуществляются через мобильные телефоны. Согласно отчету Statista, в 2022 году 75 % организаций по всему миру стали жертвами этого типа атак. Более того, в таких странах, как Перу и Багамы, зафиксировано наибольшее количество случаев кражи учетных данных с помощью схем smishing.
В 2022 году резко возросло количество фишинговых атак: 27%
В 4-м квартале 2022 года в центре внимания фишинга оказались финансы, а за ними – программное обеспечение и электронная почта. В исследовательском отчете говорится, что не обошли стороной и службы доставки – на них пришлось более 27 % атак. Бизнес и СМИ приняли на себя финансовый удар, а инженеры чаще всего проваливали фишинговые тесты, поднимая тревожный флажок цифрового обучения.
Фишинговые атаки скрываются почти год (295 дней) – третья по продолжительности киберугроза
Согласно отчету IBM об утечках данных, утечки паролей занимают первое место в утечках данных, на поиск которых уходит 327 дней и которые обходятся в миллионы. Мошенничество с деловой электронной почтой длится 308 дней, что также обходится в 4,89 миллиона долларов за одно проникновение. Хотя фишинг обнаруживается за 295 дней, его первоначальный укус оказывается самым тяжелым – в среднем 4,91 миллиона долларов.
Меры противодействия и осведомленность
В предыдущем разделе мы подробно рассказали о фишинговых атаках и связанных с ними затратах, тенденциях, затронутых отраслях и т. д. В этом подразделе мы рассмотрим, как ведущие организации принимают меры по предотвращению фишинговых атак.
Google ежедневно блокирует около 100 миллионов фишинговых писем
Арсенал Google для борьбы со спамом стал еще острее! Новая система защиты, работающая на основе TensorFlow, ежедневно блокирует на 100 миллионов больше спам-сообщений. Этот искусственный интеллект помогает отлавливать такой хитрый спам, как скрытый контент, сообщения с изображениями и даже сообщения с недавно созданных доменов.
33,2 % сотрудников по всему миру попадаются на фишинг до обучения
Данные отчета KnowBe4 2023 Phishing by Industry Benchmarking Report свидетельствуют о результатах обучения сотрудников навыкам безопасности. В отчете говорится, что до обучения около 33,2 % сотрудников не смогли пройти тест на фишинг. После 90 дней обучения этот показатель снизился до 18,5 %, а после года обучения – до 5,4 %.
В машиностроении, аэрокосмической и горнодобывающей отраслях наблюдается наибольшее количество неудач при моделировании фишинга
Восприимчивость различных отраслей к фишинговым атакам выявила некоторые удивительные тенденции в ходе недавнего глобального исследования. Согласно отчету Statista, производители электроники возглавили список уязвимых отраслей, в которых 14 % сотрудников попались на симуляцию фишинговых атак. За ними следуют аэрокосмические и горнодобывающие компании с показателем 13 %. Юридические фирмы, напротив, продемонстрировали значительное улучшение по сравнению с прошлогодним показателем в 11 % и станут отраслью с самым низким показателем фишинга в 2022 году.
Чемпионы по самозванству: Amazon, Google, Facebook, WhatsApp
AstraSecurityAudit: Топ брендов, которые чаще всего подделывают для фишинга: Amazon, Google (13 %), Facebook, Whatsapp (9 %), Netflix, Apple (2 %)
Фишинг отнимает половину времени у ИТ-специалистов по кибербезопасности
По данным IronScales, 52 % времени киберпрофессионалы посвящают решению проблем кибербезопасности, а 37 % назвали этот тип атак самым ресурсозатратным.
40% попадаются на фальшивую срочность в письмах от HR, пропуская важную проверку
Безопасность электронной почты является главным приоритетом для всех видов бизнеса, поскольку хакеры пользуются нашим обычным поведением и срочностью. Последний анализ KnowBe4 показывает, что 40 % таких обманных сообщений, направленных на манипуляции, имитируют HR-мессенджеры с целью выяснения отношения к сотрудникам в плане стабильности работы или нехватки времени. Таким образом, замаскированные фишинговые ссылки могут содержать вредоносные вложения и запросы, как если бы они исходили от отдела кадров.
Стоимость фишинговых атак в США выросла с $3,8 млн в 2015 году до $14,8 млн в 2022 году
Журнал “Хиппа”: В настоящее время на одну атаку в здравоохранении приходится 14,8 млн долларов, что в четыре раза больше, чем в 2015 году. Мало того, что поддельные электронные письма приносят 6 миллионов долларов на восстановление, но потерянные рабочие часы съедают еще 65 343, нанося двойной удар по операциям и бюджетам.
Заключительные слова
Поскольку технологии и тактики быстро меняются, важно сохранять бдительность в условиях меняющегося ландшафта фишинговых атак. Допущение незнания или некомпетентности может легко привести к катастрофическим финансовым и операционным последствиям. Мы должны относиться к этой надвигающейся угрозе со всей серьезностью; хотя тревожные цифры могут быть довольно удручающими, есть некоторые обнадеживающие разработки в области технологий и безопасности, которые могут дать надежду на уменьшение числа случаев успешных фишинговых атак. Благодаря взаимодействию людей и организаций мы можем эффективно создать более безопасную цифровую среду, в которой можно будет уверенно совершать сделки и общаться.
