I dagens digitale landskap har phishing angrep blitt en vedvarende trussel som setter både enkeltpersoners og organisasjoners sikkerhet og personvern i fare. Det er avgjørende å forstå omfanget og konsekvensene av disse truslene for å kunne iverksette effektive cybersikkerhetstiltak og unngå potensielt ødeleggende kostnader.
Phishing-statistikk kan gi et pålitelig bilde av den reelle trusselen bak phishing-angrep. Med utgangspunkt i ulike kilder på nettet har vi samlet data om den samlede effekten av phishing-angrep ved å undersøke phishing-data om den globale økonomien.
Nøkkelpunkter i phishing statistikk
- Phishing-angrep står for 36% av alle datainnbrudd i USA.
- 83% av alle selskaper utsettes for et phishing-angrep hvert år.
- Det var en økning på 345% i antall unike phising-sider mellom 2020 og 2021.
- Det ble rapportert 300 497 phishing angrep til FBI i 2022.
- Hvert phishing angrep koster bedrifter i gjennomsnitt 4,91 millioner dollar.
Ulike phishing angrep oppsummert
Phishing-svindel står for nesten 36% av alle datainnbrudd, ifølge Verizons 2022 Data Breach Report. Og ifølge en Proofpoint-studie opplevde 83% av alle bedrifter et phishing-angrep i 2021.
Her er noen av de vanligste phishing-angrepene en organisasjon kan bli utsatt for:
Type phishing | Forklaring |
Phishing via e-post |
|
“Spear Phishing” |
|
“Whaling” |
|
Pharming |
|
Phishing-statistikk etter mål
Ifølge en rapport fra FBIs Internet Crime Complaint Center (IC3) mottok de 800 944 rapporter om phishing, med tap på over 10,3 milliarder dollar i 2022. Rapporten fra IC3 om internettkriminalitet i 2022 viser hvordan phishing-svindel har blitt betydelig mer skadelig for privatpersoner og bedrifter.
Personlige phishing angrep
Personlige phishing angrep retter seg mot enkeltpersoner via e-post, tekstmeldinger eller andre personlige kommunikasjonsmetoder. Et personlig phishing-angrep tar ofte sikte på å samle inn sensitive data fra en person for å få tilgang til finansielle kontoer eller andre data.
Ifølge IC3 2022-rapporten var personer i alderen 30-39 år den største gruppen som rapporterte om phishing-svindel. Innbyggere over 60 år led det største økonomiske tapet.
En annen studie fra Telephone-operated Crime Survey of England and Wales (TCSEW) viste at personer mellom 25 og 44 år hadde større sannsynlighet for å bli utsatt for phishing i disse regionene.
Ifølge den britiske undersøkelsen var falske leveringsselskaper de mest fremtredende falske avsenderne av phishing svindel til privatpersoner.
Ifølge data fra Anti-Phishing Working Group (AWPG), publisert på Statista, økte antallet unike nettfiskesider som ble oppdaget på verdensbasis fra tredje kvartal 2021 til tredje kvartal 2022, fra 1,097 millioner til 1,270 millioner.
Det var en økning på ca. 345% i antall unike phishing-nettsteder i begynnelsen av covid-19-pandemien – den største økningen i phishing-data som er tilgjengelig.
Phishing angrep mot bedrifter
Ifølge en undersøkelse utført av Ironscales er phishing via e-post en markant bekymring for 90% av IT-ansatte. I tillegg har phishing svindel økt de siste årene.
En omfattende analyse fra IBM i 2022 avslørte at 16% av datainnbruddene i bedrifter var et direkte resultat av et phishing angrep. Og antallet varemerker og legitime virksomheter som utsettes for phishing angrep, øker.
I juli 2022 ble 621 varemerker verden over utsatt for phishing angrep. Dette kan sammenlignes med 522 merkevarer året før.
Nesten alle institusjoner er på vakt mot phishing angrep, særlig ettersom flere rapporter viser at phishing-angrep mot fjernarbeidere øker.
Ifølge Verizons Data Breach Investigation Report (DBIR) for 2021 var nettappene som oftest brukes av fjernarbeidere, ansvarlige for 90% av datainnbruddene. En annen studie fra Ponemon Institute i 2021 viste at IT-fagfolk mener det er lettere å beskytte bedriftsinformasjon når de ansatte jobber på kontoret.
Ifølge tall fra APWG, som er hentet fra data fra 3. kvartal 2022, var finansinstitusjoner den bransjen på nettet som var mest utsatt for phishing-angrep.
Kostnadene ved phishing angrep
Her er noen av kostnadene ved phishing angrep:
- Kostnader for forbrukere
- Kostnader for bedrifter
- Kostnader for forebygging
- Andre skjulte kostnader
Eksempler på skjulte kostnader kan være tap av bedriftens omdømme, tap av forbrukernes tillit eller brudd på personopplysningssikkerheten.
Kostnadene ved phishing for forbrukerne
IC3 FBI-rapporten fra 2022 avslørte et tap på rundt 52 millioner dollar som følge av phishing-svindel. Og FTC-rapporten fra 2022 viste at 2,4 millioner forbrukere rapporterte om svindel i 2022, og at den vanligste svindelen var bedragerisvindel.
Ifølge den samme IC3-rapporten var phishing den vanligste kriminalitetstypen i 2022, med 300 497 ofre. Til sammenligning var den nest vanligste kriminalitetstypen brudd på personopplysningssikkerheten, med 58 859 ofre.
IBMs Cost of a Data Breach Report viste at 60% av de undersøkte organisasjonene økte prisene som følge av datainnbrudd. Forbrukerne betaler kanskje en høyere pris for varer og tjenester på grunn av risikoen for phishing-angrep.
Kostnader for bedrifter som følge av phishing angrep
Ifølge en analyse fra Proofpoint fra 2022 ble 83% av organisasjonene utsatt for et vellykket e-postbasert phishing-forsøk i løpet av kalenderåret.
Kostnadene ved phishing- angrep er todelt: det faktiske beløpet som går tapt på grunn av phishing, og beløpet som brukes på å forhindre phishing-angrep.
Kostnadene ved å gjenopprette data fra phishing angrep
I Proofpoint-studien kom det frem at 80% av respondentene oppga at organisasjonen deres mottok minst ett vellykket phishing angrep i 2021. I studien ble det gjennomført en spørreundersøkelse blant 3500 voksne yrkesaktive over hele verden, og det ble simulert nesten 100 millioner phishing angrep.
Et phishing angrep koster i gjennomsnitt 4,91 millioner dollar for organisasjonene som deltok i undersøkelsen. Ifølge IBM-rapporten fra 2022 var phishing-angrep den nest dyreste kilden til kompromittering av legitimasjon. I tillegg viser rapporten at kostnadene for datainnbrudd har økt med nesten 13 % i løpet av de siste to årene.
Hver phishing-e-post tar 27,5 minutter og koster 31,32 dollar per phishing-melding, ifølge rapporten The 2022 Business Cost Of Phishing Report.
I tillegg til det økonomiske tapet kan virksomheter som rammes av et vellykket phishing-angrep, bli skadelidende med hensyn til omdømme, markedsverdi og lovpålagte bøter, som påpekt i Ironscales-rapporten fra 2022.
Kostnadene ved å forhindre phishing angrep
En studie fra Ponemon Institute og Proofpoint viste at opplæring i sikkerhetsbevissthet i gjennomsnitt reduserte kostnadene ved phishing med 50%.
Phishing-angrep fører til store kostnader i form av opplæring, deteksjon og høyere IT-bemanning. Ifølge Ironscales-rapporten fra 2022 bruker mellomstore bedrifter (med 5 IT-ansatte) 228 630 dollar årlig bare på e-postbaserte angrep. For store bedrifter med mer enn 25 IT-ansatte kan phishing koste 1,1 millioner dollar årlig.
Phishing-statistikk etter land
USA, Brasil og India er de vanligste ofrene for phishing via infiserte Telegram-grupper, ifølge data fra Group-1B.
En Kaspersky-rapport fra 2022 analyserte over 150 millioner ondsinnede e-poster og fant at kilden til mange phishing-angrep var som følger:
- Russland (24,77%)
- Tyskland (14,12%)
- USA (10,46%)
- Kina (8,73%)
- Nederland (4,75%)
Rapporten fant totalt 10 land som var ansvarlige for de fleste phishing-angrepene.
Statistikk over phishing: USA
IBM Data Breach Report 2022 viste at den gjennomsnittlige globale kostnaden for datainnbrudd var 4,35 millioner dollar, mens den gjennomsnittlige kostnaden for datainnbrudd i USA var 9,44 millioner dollar.
Ifølge IC3-rapporten for 2022 har antallet klager på nettsvindel gått ned fra 2021 til 2022, mens de totale tapene har økt drastisk. I 2021 ble det rapportert om totale tap på 6,9 milliarder dollar, sammenlignet med 10,3 milliarder dollar i 2022.
Phishing-svindel har også økt drastisk, med en økning på 1 139% i rapporterte phishing-angrep fra 2018 til 2022.
I tillegg avslørte Federal Trade Commissions (FTC) kriminalitetsrapport for 2022 en økning i svindel med tekstmeldinger mellom 2021 og 2022.
Statistikk om phishing: Storbritannia
En undersøkelse utført av Office of National Statistics (ONS) viser at over halvparten av britene mottok en phishing-melding, og at bare rundt 3% klikket på lenken.
Det har vært en økning på 900% i “advance fee fraud” sammenlignet med nivået før pandemien. “Advance fee fraud” – forhåndsbettaling, er en type svindel der personen må betale et gebyr før han eller hun mottar en lovet økonomisk gevinst, som aldri blir gitt.
Den nyeste 2023-rapporten fra National Cyber Strategy viser at antallet organisasjoner og veldedige organisasjoner som rapporterer om phishing-angrep, har gått ned i året, og at antallet virksomheter som rammes, har gått ned.
Av mai 2023 har 20 millioner svindelforsøk blitt rapportert til Storbritannias National Cyber Security Centre (NCSC). Rapporten viser også at 129 000 svindelforsøk har blitt fjernet fra 235 000 nettadresser.
Statistikk over phishing: Canada
Spear phishing-svindel er den tredje vanligste typen svindel i Canada, ifølge en artikkel fra The Royal Canadian Mounted Police (RCMP) fra 2023, som tar for seg den drastiske økningen i rapporter om svindel og nettkriminalitet. Ifølge uttalelsen utgjorde tapene for ofrene totalt 530 millioner dollar i 2022, en økning på 40% fra 2021.
I 2022 mottok Canadian Anti-Fraud Centre totalt 70 878 rapporter om svindel og nettkriminalitet. Investeringssvindel, romansesvindel og spear-phishing-svindel var de tre typene svindel som førte til størst tap for ofrene.
Phishing svindel på nettet var også blant de tre vanligste typene svindel i Canada, ifølge en Ipsos-undersøkelse. Undersøkelsen viste at phishing-svindel var den tredje vanligste typen svindel med 8%, bare slått av kredittkortsvindel og debetkortsvindel.
Statistikk over phishing: Australia
65% av australierne mottok en svindelforespørsel i 2022-2023, sammenlignet med 55% i 2021, ifølge Personal Fraud Survey.
Telefonsvindel var den vanligste typen svindel (48 %), og SMS-svindel var nest vanligst (47 %) i Australia. Disse phishing-dataene skiller seg fra andre internasjonale data som viser at e-post er en av de vanligste formene for phishing-angrep.
Australske forbrukere har tapte 11,5 millioner dollar i Australia på grunn av svindel frem til april 2023, med 37 809 rapporter, ifølge data fra Australian Competition & Consumer Commission (ACCC). Rapporten viser også at 2,9% av rapportene har resultert i et økonomisk tap.
Statistikk over phishing: India
En omfattende studie fra Group-IB viser at India er det tredje mest utsatte landet globalt og det mest utsatte landet i Asia.
En annen studie fra Microsoft viser at indiske forbrukere har større sannsynlighet for å bli økonomisk rammet av nettsvindel sammenlignet med globale data.
300 millioner mennesker i India er sårbare for phishing angrep, og 500 000 av dem blir lurt av slike svindelforsøk, ifølge en diskusjon på Mobile World Congress i Barcelona som India Times har omtalt.
Den samme rapporten viser at bare rundt 7% av de som blir utsatt for svindel, anmelder det til myndighetene.
Statistikk over phishing: Brasil
I 2019 økte antallet phishing-angrep i Brasil med 232%, ifølge data fra APWG. IBM X-Force Threat Intelligence Index 2023 underbygger økningen i phishing-angrep i Brasil. Ifølge den siste rapporten kom 67% av alle tilfellene X-Force reagerte på i Latin-Amerika fra Brasil.
12,39% av Internett-brukerne ble utsatt for phishing i Brasil, sammenlignet med Ecuador på andreplass, der 10,73% av brukerne ble utsatt for phishing. Brasil er det landet i Latin-Amerika og Karibia som er mest utsatt, ifølge en rapport fra Statista i 2021.
I tillegg rapporterte Brasil om over 500 000 blokkerte phishing e-poster, ifølge en DMARC-studie. Dette plasserer Brasil sammen med Thailand, USA, Tyskland og Kina blant landene med flest blokkerte phishing-e-poster.
Phishing-statistikk etter bransje
Ifølge data fra IBM Cost of a Data Breach Report 2022 er dette de fem bransjene som er mest økonomisk berørt av datainnbrudd:
- Helsevesen
- Finans
- Legemidler
- Teknologi
- Energi
Helsevesenet har vært den mest kostbare bransjen for datainnbrudd i 11 år. Mens andre sektorer opplever et skifte i momentum. For eksempel tapte finansbransjen mer penger i 2020 enn i 2021.
Data om phishing i finanssektoren
I 2022 var den gjennomsnittlige kostnaden for et datainnbrudd i finanssektoren 6 millioner dollar. Bedrifter i finanssektoren var den sektoren som ble utsatt for flest phishing-angrep, med 41% av alle angrepene. I tillegg hadde finanssektoren de nest høyeste kostnadene ved datainnbrudd, bare slått av helsesektoren.
Phishing-svindel mot den svenske banken Nordea, 2007
Den svenske banken Nordea ble offer for et omfattende phishing-angrep i 2007, noe som resulterte i et tap på rundt 1,1 millioner dollar.
En trojansk programvare samlet inn innloggingsinformasjonen til rundt 250 kunder og tappet penger fra de berørte kontoene. Ifølge banken refunderte de alle kundene for tapene, til sammen ca. 1,1 millioner dollar.
Carbanak-phishing-kampanjer i 2015
Phishing-kampanjen Carbanak ble først oppdaget i 2015 og viste seg å være et av de største ranene av globale finansinstitusjoner noensinne. Gruppen angrep over 100 banker og institusjoner over hele verden ved hjelp av avanserte spear-phishing-e-poster og skadevare.
Ifølge Visa Security Threat Statement fra 2015 anslås det at opptil 1 milliard dollar gikk tapt totalt, mellom 2,5 og 10 millioner dollar per bank.
Data om phishing i helsesektoren
En studie utført av British Medical Journal i 2019 viste at rundt 3% av alle e-poster som ble mottatt i helsesektoren, inneholdt en sikkerhetstrussel, for eksempel phishing.
Health Sector Cybersecurity Coordination Center (HC3) gikk i desember 2020 ut med en advarsel om økningen i covid-19-relaterte phishing angrep.
Phishing-angrep sto for 45 % av datainnbruddene i 2020, viser en undersøkelse fra Healthcare Information and Management Systems Society. Følgende typer phishing-angrep ble rapportert i undersøkelsen, og hvor utbredt de var:
- Generell phishing via e-post – 71%.
- Spear phishing – 67%.
- Voice phishing/vishing – 27%.
- Whale phishing – 27%
- Kompromittering av e-post fra bedrifter – 23%
- SMS-phishing – 21%
- Phishing på nettsteder – 20%
- Phishing via sosiale medier – 16%
The Cost Of A Data Breach Report fra IBM viser at gjennomsnittskostnaden steg til 10,10 millioner dollar i 2022. Ifølge denne rapporten har helsesektoren hatt de høyeste kostnadene for datainnbrudd i tolv år på rad.
WannaCry Ransomware Attack, 2017
Angrepet med løsepengeviruset WannaCry startet i mai 2017, og en artikkel publisert i The Journal of Law & Cyber Warfare forklarer at angrepet skjedde i over 150 land. Angrepet avslørte noen mangler i Storbritannias National Health Service (NHS) da over 40 sykehus ble rammet samtidig.
Angrepet begynte med en phishing-e-post til sykehusets ansatte. Når angrepet var vellykket, fikk svindlerne tilgang til og full kontroll over verdifulle data og funksjoner. Gjerningsmennene holdt tilbake tilgangen til disse viktige dataene og funksjonene inntil løsepenger ble betalt.
Selv om WannaCry-angrepet ikke førte til store økonomiske tap for sykehusene, viste det de svake punktene i sektoren. Dessuten illustrerte det hvordan en phishing-e-post raskt kan eskalere til noe mer.
Phishing-angrep mot University of Vermont Medical Center, 2020
University of Vermont Medical Center ble rammet av et omfattende phishing-angrep i 2020. Angrepet begynte med en phishing-e-post som ble sendt til UVM-ansatte.
Selv om UVM ikke betalte løsepenger til hackerne, kostet hendelsen rundt 50 millioner dollar. Ifølge rapporter fra Healthcare Compliance Association (HCCA) førte phishing-angrepet til at UVM-systemet var nede i 28 dager, og de ansatte ble tvunget til å fjerne skadevare fra 1300 servere.
Phishing-data fra produksjonssektoren
Ifølge IBM Cost of a Data Breach-rapporten opplevde industrisektoren tap på 4,47 millioner dollar i 2022.
I 2018 ble det rapportert at skadevare var til stede i 1 av 384 e-poster som ble sendt til ansatte i produksjonssektoren. I tillegg rapporterte 1 av 41 ansatte i sektoren at de hadde mottatt en phishing-e-post.
Det var en økning på 52% i løsepengevirusangrep mot produksjonsbedrifter mellom 2021 og 2022. Phishing, og spesielt spear-phishing, er ifølge Sophos en enkel og vanlig angrepsvektor.
ThyssenKrupps cyberspionasje, 2016
I 2016 ble ThyssenKrupp utsatt for et omfattende cyberangrep som begynte med spear-phishing-e-poster med ondsinnede vedlegg som ble sendt til bestemte personer i selskapet. Når de ble åpnet, fikk hackerne tilgang til sensitiv informasjon og hemmelig design.
Ifølge flere rapporter ble topphemmelige design avslørt, og prosjektdata ble stjålet fra flere avdelinger. Det var ikke noe direkte tyveri av selskapets midler i dette phishing-angrepet, men det er et eksempel på hvordan phishing kan føre til indirekte økonomisk tap.
Sosiale medier og selskaps phishing data
Ifølge rapporten Phishing Activity Trends Report fra APWG er den største risikoen ved phishing i sosiale medier å utgi seg for å være en bedriftsleder.
11% av phishing-angrepene i 1. kvartal 2022 involverte selskaper i sosiale medier.
Ifølge en pressemelding fra Check Point fra 2022 er LinkedIn det varemerket som er mest utsatt for phishing-angrep.
Ifølge de samme dataene fra Check Point er de mest imiterte varemerkene som følger:
Merke
Prosentandel av etterligning
LinkedIn
45%
Microsoft
1,3%
DHL
12%
Amazon
9%
Apple
3%
Adidas
2%
Google
1%
Netflix
1%
Adobe
1%
HSBC
1%
LinkedIn Spear Phishing-svindel, 2012
Ifølge rapporter ble 117 millioner data stjålet fra LinkedIn og solgt på “det mørke nettet” – darknet i 2012.
Selv om dette begynte som et datainnbrudd, var det et perfekt utgangspunkt for phishing-angrep.
Phishing-angrep mot Facebook og Google, 2017
Facebook og Google ble utsatt for det samme phishing-angrepet i 2017, og mistet til sammen 100 millioner dollar til en litauisk hacker. Ifølge United States Attorney’s Office utga hackeren seg for å være en asiatisk produsent som brukes av Facebook og Google. Han sendte en vellykket phishing-e-post med en falsk faktura og ba om at penger ble overført til hackeren.
Phishing-data fra offentlige tjenester
Noen populære offentlige etater som ifølge FTC phishere ofte utgir seg for å være, er blant annet:
- Trygdeetatenr
- Skattemyndigheter
- Helsetjenesten
Phishing svindel mot eller via offentlige tjenester kan lettere utvikle seg og reagere basert på det aktuelle klimaet eller samfunnstrender. Under covid-19-pandemien dukket det for eksempel opp flere phishing-svindelforsøk knyttet til stimulansesjekker eller statlig nødhjelp.
Datainnbruddet i Office of Personnel Management (OPM) i 2015
OPM-datainnbruddet begynte flere år før 2015. Hackere begynte å få et lite fotfeste i systemet og ga seg etter hvert tilgang til kritisk informasjon.
Ifølge mange rapporter finnes det ingen klare bevis for hvordan datainnbruddet hos OPM i 2015 begynte. Det utløste imidlertid en bølge av phishing-angrep.
Ifølge U.S. Office of Personnel Management ble sensitiv informasjon om 21,5 millioner personer sluppet ut i forbindelse med datainnbruddet.
COVID-19 Hjelp-phishing svindel, 2020
Phishing-angrepene økte med 220 % under covid-19-hjelpeforetakene.
Phishing-angrep dukket opp da folk mottok informasjon om offentlig støtte under pandemien. I Inky Stimulus Phishing Report bemerkes det at de fleste var e-poster som utga seg for å være fra myndighetene, og som oppfordret mottakerne til å oppgi personlig informasjon for å “motta en stimulansesjekk”.
- Explore our security report archive. (Verizon)
- 2022 State of the Phish Report Explores Increasingly Active Threat Landscape, Importance of People-Centric Security ProofPoint
- Number of unique phishing sites detected worldwide from 3rd quarter 2013 to 34th quarter 2022 (Statista)
- Internet Crime Complaint Center Releases 2022 Statistics (FBI)
- Cost of a Data Breach Report 2023 (IBM)
- Phishing attacks – who is most at risk? (ONS)
- IRONSCALES Releases Findings from State of Cybersecurity Survey (IRONSCALES)
- Cybersecurity 2022: Attackers will target remote teams’ weak spots (Samsung)
- The Impact of the New Normal on Workplace Privacy: A Study of Business & IT and IT Security Managers (Ponemon Institute)
- New FTC Data Show Consumers Reported Losing Nearly $8.8 Billion to Scams in 2022 (FTC)
- The large, less obvious costs of phishing attacks on organisations – report (SecurityBrief NZ)
- Professional stealers: opportunistic scammers targeting users of Steam, Roblox, and Amazon in 111 countries (Group-IB)
- Almost a quarter of all spam emails were sent from Russia in 2021 (ItPro)
- Cyber security breaches survey 2023 (Gov.UK)
- Phishing: Spot and report scam emails, texts, websites and calls (NCSC)
- Fraud Prevention Month 2023: Fraud losses in Canada reach another historic level (RCMP)
- Fraud is too Common in Canada: Nearly Half (43%) of Canadians Have Knowingly Been Victimized by Fraud or Scams, in their Lifetime (Ipsos)
- 13.2 million Australians exposed to scams (ABS)
- Scam statistics (ScamWatch)
- Global Tech Support Scam Research: India (Microsoft)
- Around 5 lakh people potentially fall victim to phishing scams in India: report (India Times)
- The overlooked pandemic: Brazilian phishing attacks and how to handle them (Lexology)
- Nordea loses $1.1 million to online fraud (NS Banking)
- Carbanak (Anunak) Advanced Persistent Threat (VISA)
- A Cost Analysis of Healthcare Sector Data Breaches Health Sector Cybersecurity Coordination Center (HC3) (HHS)
- The Ransomeware Assault on the Healthcare Sector (JSTOR)
- Hacked, Shut Down, But Still Seeing Patients: U. of Vermont Medical Center Shares Strategies (JDSupra)
- Whaling Case Study: Mattel’s $3 Million Phishing Adventure (InfoSec)
- Hackers steal Thyssenkrupp secrets (DW)
- Phishing Activity Trends Report (APWG Report)
- Scam Of The Week: LinkedIn Email Change Your Password (KnowBe4)
- Lithuanian Man Arrested For Theft Of Over $100 Million In Fraudulent Email Compromise Scheme Against Multinational Internet Companies (United States Attorney’s Office)
- Cybersecurity Incidents (OPM)
- Phishing Attacks Soar 220% During COVID-19 Peak as Cybercriminal Opportunism Intensifies (F5)
- Pandemic Phish Are Attacking Without Conscience (Inky)