I dagens digitala landskap har phishing (nätfiske) blivit ett ständigt hot som äventyrar säkerheten och integriteten för både individer och organisationer. Att förstå omfattningen och effekterna av dessa hot är avgörande för att kunna implementera effektiva cybersäkerhetsåtgärder eller undvika potentiellt förödande kostnader.
Statistik över phishing kan fungera som en tillförlitlig bild av det verkliga hotet bakom phishingattacker. Med hjälp av olika källor online har vi sammanställt data om den övergripande effekten av phishing genom att undersöka phishingdata för den globala ekonomin.
Huvudpunkter i statistiken över nätfiske
- Phishingattacker står för 36 % av alla dataintrång i USA.
- 83 % of all companies experience a phishing attack each year.
- Antalet unika phishingwebbplatser ökade med 345 % mellan 2020 och 2021.
- Under 2022 rapporterades 300 497 phishingattacker till FBI.
- Varje phishingattack kostar företagen i genomsnitt 4,91 miljoner dollar.
Sammanfattning av olika typer av phishingattacker
Phishingattacker står för nästan 36 % av alla dataintrång, enligt Verizons rapport om dataintrång 2022. Enligt en studie från Proofpoint utsattes 83 % av alla företag för en nätfiskeattack under 2021.
Här är några av de vanligaste phishingattackerna som en organisation kan utsättas för:
Typ av phishing | Förklaring |
Phishing via e-post |
|
Spear Phishing |
|
Whaling |
|
Pharming |
|
Statistik över phishing utifrån målgrupp
Enligt en rapport från FBI:s Internet Crime Complaint Center (IC3) inkom 800 944 rapporter om phishing, med förluster på över 10,3 miljarder dollar under 2022. Internet Crime Report 2022 från IC3 visar hur phishingbedrägerier har blivit betydligt mer skadliga för privatpersoner och företag.
Personliga phishingattacker
Personliga phishingattacker riktas mot individer via e-post, textmeddelanden eller andra metoder för personlig kommunikation. En personlig phishingattack syftar ofta till att samla in känsliga uppgifter från en person för att få tillgång till finansiella konton eller andra uppgifter.
Enligt IC3 2022-rapporten var personer i åldern 30-39 år den mest betydande rapporteringsgruppen för phishingbedrägerier. Medborgare över 60 år drabbades av de mest omfattande ekonomiska förlusterna.
En annan studie från Telephone-operated Crime Survey of England and Wales (TCSEW) visade att personer mellan 25 och 44 år var mer benägna att utsättas i dessa regioner.
Enligt den brittiska undersökningen var bedrägliga leveransföretag de mest framträdande falska avsändarna av phishingbedrägerier till privatpersoner.
Enligt uppgifter från Anti-Phishing Working Group (AWPG) som publicerats på Statista ökade antalet unika phishing-webbplatser som upptäcktes i världen från tredje kvartalet 2021 till tredje kvartalet 2022 från 1,097 miljoner till 1,270 miljoner.
Antalet unika phishingwebbplatser ökade med ungefär 345 % i början av covid-19-pandemin, vilket är den största ökningen i tillgängliga phishingdata.
Phishingattacker mot företag
Enligt en undersökning från Ironscales är phishing via e-post ett stort problem för 90 % av IT-proffsen. Dessutom har antalet phishingbedrägerier ökat under de senaste åren.
En omfattande analys från IBM under 2022 visade att 16 % av dataintrången i företag var ett direkt resultat av en phishingattack. Antalet varumärken och legitima enheter som utsätts för phishingattacker ökar dessutom.
I juli 2022 utsattes 621 varumärken världen över för phishingattacker. Detta kan jämföras med 522 varumärken under föregående år.
Nästan alla institutioner är på sin vakt mot phishingattacker, särskilt som allt fler rapporter visar på ökade antal attacker mot distansarbetare.
Enligt Verizons Data Breach Investigation Report (DBIR) från 2021 var de webbappar som oftast används av distansarbetare ansvariga för 90 % av dataintrången. En annan studie från Ponemon Institute 2021 visade att IT-personal anser att det är lättare att skydda företagsinformation när personalen arbetar på kontoret.
Enligt siffror från APWG som hämtats från data under Q3 2022 var finansinstitut den onlinebransch som var mest utsatt för phishingattacker.
Kostnaden för phishingattacker
Här är några av kostnaderna för phishingattacker:
- Kostnader för konsumenter
- Kostnader för företag
- Kostnader för förebyggande åtgärder
- Andra dolda kostnader
Några exempel på dolda kostnader är kostnaden för ett företags rykte, förlusten av konsumentförtroende eller ett intrång i personlig information.
Konsumenternas kostnader för phishing
IC3:s (FBI:s Internet Crime Complaint Center) brottsrapport för 2022 avslöjade förluster på ungefär 52 miljoner dollar till följd av phishingbedrägerier. Och FTC:s (Federal Trade Commission) rapport för 2022 visade att det inkom anmälningar om bedrägerier från 2,4 miljoner konsumenter under 2022, där det vanligast rapporterade bedrägeriet var bedrägerier genom förfalskning av identitet.
Enligt samma IC3-rapport var phishing den vanligaste brottstypen 2022, med 300 497 offer. Som jämförelse kan nämnas att den näst vanligaste brottstypen var personuppgiftsincidenter, med 58 859 offer.
IBM:s Cost of a Data Breach Report visade att 60 % av de undersökta organisationerna höjde sina priser på grund av ett dataintrång. Konsumenterna får eventuellt betala ett högre pris för varor och tjänster på grund av risken för phishingattacker.
Företagens kostnader för phishingattacker
Enligt en analys från Proofpoint 2022 utsattes 83 % av organisationerna för ett framgångsrikt e-postbaserat phishingförsök under kalenderåret.
Företag drabbas av kostnader för phishingattacker på två sätt: det faktiska belopp som förloras på grund av phishingattacker och det belopp som spenderas på att försöka förhindra phishingattacker.
Data om kostnaden för att återhämta sig från phishingattacker
I Proofpoints studie framkom att 80 % av de tillfrågade uppgav att deras organisation mottagit minst en framgångsrik phishingattack under 2021. Studien omfattade över 3 500 yrkesverksamma vuxna över hela världen och simulerade nästan 100 miljoner phishingattacker.
En phishingattack kostar i genomsnitt 4,91 miljoner dollar för de svarande organisationerna. Enligt IBM:s rapport från 2022 var nätfiskeattacker den näst dyraste källan för att komma över uppgifter. Rapporten visar också att kostnaderna för intrång har ökat med nästan 13 % under de senaste två åren.
Varje phishingmeddelande tar 27,5 minuter och kostar 31,32 $ per meddelande, enligt The 2022 Business Cost of Phishing Report.
Förutom den ekonomiska förlusten kan företag som drabbas av en framgångsrik phishingattack få sitt rykte och marknadsvärde skadat och få böter, vilket framgår av Ironscales-rapporten från 2022.
Data om kostnaderna för att förhindra phishingattacker
En studie från Ponemon Institute och Proofpoint visade att utbildning i säkerhetsmedvetande i genomsnitt minskade kostnaderna för phishing med 50 %.
Phishingattacker orsakar stora kostnader för utbildning, upptäckt och högre IT-bemanning. Enligt 2022 års Ironscales-rapport spenderar medelstora företag (med 5 IT-anställda) 228 630 $ per år enbart på e-postbaserade attacker. För stora företag med 25+ IT-anställda kan phishing kosta 1,1 miljoner dollar per år.
Statistik över phishing utifrån land
USA, Brasilien och Indien är de vanligaste offren för phishing genom att infektera användare av Telegram-grupper, enligt data som samlats in från Group-1B.
I en Kaspersky-rapport från 2022 analyserades över 150 miljoner skadliga e-postmeddelanden och man fann att källan till många phishingattacker var följande:
- Ryssland (24,77%)
- Tyskland (14,12%)
- USA (10,46%)
- Kina (8,73%)
- Nederländerna (4,75%)
Enligt rapporten var det totalt 10 länder som stod för de flesta phishingattackerna.
Statistik över phishing: USA
IBM Data Breach Report 2022 visade att den genomsnittliga globala kostnaden för ett dataintrång var 4,35 miljoner dollar, medan den genomsnittliga kostnaden för dataintrång i USA var 9,44 miljoner dollar.
Enligt IC3-rapporten för 2022 har klagomålen om internetbedrägerier minskat från 2021 till 2022, medan de totala förlusterna har ökat drastiskt. År 2021 rapporterades totala förluster på 6,9 miljarder dollar, jämfört med 10,3 miljarder dollar i totala förluster 2022.
Phishingbedrägerier har också ökat drastiskt, med en ökning på 1 139 % av rapporterade phishingattacker från 2018 till 2022.
Dessutom avslöjade Federal Trade Commission (FTC) 2022 brottsrapport en ökning av bedrägerier via textmeddelanden mellan 2021 och 2022.
Statistik över phishing: Storbritannien
En undersökning från Office of National Statistics (ONS) visade att över hälften av de brittiska medborgarna fick ett phishingmeddelande och att endast cirka 3 % klickade på länken.
Det har skett en 900 % ökning av “bedrägerier med förskottsavgifter” jämfört med nivåerna före pandemin. Förskottsbedrägeri är en typ av bedrägeri där individen måste betala en avgift innan han eller hon får någon utlovad monetär vinst, som aldrig ges.
Den senaste 2023-rapporten från National Cyber Strategy visar hur organisationers och välgörenhetsorganisationers rapporter om phishingattacker minskar i år, och antalet drabbade företag har minskat.
Fram till maj 2023 har 20 miljoner bedrägerier rapporterats till Storbritanniens nationella cybersäkerhetscenter (NCSC). I rapporten anges också att 129 000 bedrägerier har tagits bort från 235 000 webbadresser.
Statistik över phishing: Kanada
Spear phishing-bedrägerier är den tredje vanligaste typen av bedrägeri i Kanada, enligt en artikel från The Royal Canadian Mounted Police (RCMP) från 2023 som tar upp drastiska ökningar av bedrägeri- och cyberbrottsrapporter. Enligt deras uttalande uppgick kontona till totalt 530 miljoner dollar i offerförluster 2022, en ökning med 40 % från 2021.
Under 2022 mottog Canadian Anti-Fraud Centre totalt 70 878 rapporter om bedrägerier och cyberbrottslighet. Investerings-, kärleks- och spear-phishing-bedrägerier var de tre bedrägerier som ledde till flest förluster för offren.
Phishingbedrägerier på nätet hamnade också bland de tre vanligaste typerna av bedrägerier i Kanada, enligt en Ipsos-undersökning. Undersökningen visade att phishingbedrägerier var den tredje vanligaste typen av rapporterade bedrägerier (8 %), endast efter kreditkorts- och betalkortsbedrägerier.
Statistik över phishing: Australien
65 % av befolkningen i Australien fick en bluffförfrågan under 2022-2023, jämfört med 55 % under 2021, enligt Personal Fraud Survey.
Telefonbedrägerier var den vanligaste typen av bedrägeri (48 %) och sms-bedrägerier var den näst vanligaste (47 %) i Australien. Dessa uppgifter om phishing skiljer sig från andra internationella uppgifter som pekar på att e-post är en av de vanligaste formerna av phishingattacker.
Australiska konsumenter har förlorat 11,5 miljoner dollar i Australien på grund av bedrägerier fram till april 2023, med 37 809 rapporter, enligt uppgifter från Australian Competition & Consumer Commission (ACCC). I rapporten anges också att 2,9 % av rapporterna har resulterat i en ekonomisk förlust.
Statistik över phishing: Indien
En omfattande studie från Group-IB visade att Indien var det tredje mest utvalda landet globalt sett och det mest utvalda landet i Asien.
En annan studie från Microsoft visar att indiska konsumenter är mer benägna att drabbas ekonomiskt av cyberbedrägerier jämfört med globala data.
300 miljoner människor i Indien är sårbara för phishingattacker, varav 500 000 människor luras av dessa bedrägerier, enligt en diskussion vid Mobile World Congress i Barcelona som beskrivs i India Times.
Samma rapport visar att endast omkring 7 % av de personer som utsätts för bedrägerier anmäler detta till berörda myndigheter.
Statistik över phishing: Brasilien
Under 2019 ökade antalet phishingattacker i Brasilien med 232 %, enligt uppgifter från APWG. IBM X-Force Threat Intelligence Index 2023 stöder ökningen av phishingattacker i Brasilien. Enligt den senaste rapporten kom 67 % av alla fall som X-Force hanterade i Latinamerika från Brasilien.
12,39 % av internetanvändarna utsattes för phishing i Brasilien, jämfört med Ecuador på andra plats där 10,73 % av användarna utsattes för phishingbedrägerier. Enligt en rapport från Statista 2021 är Brasilien det land i Latinamerika och Karibien som är mest utsatt för nätfiske.
Dessutom rapporterade Brasilien över 500 000 blockerade phishing-e-postmeddelanden, enligt en DMARC-studie. Detta placerar Brasilien där uppe tillsammans med Thailand, USA, Tyskland och Kina med de mest blockerade phishing-meddelandena.
Statistik över phishing utifrån bransch
Enligt uppgifter från IBM Cost of a Data Breach Report 2022 är detta de fem branscher som drabbas hårdast ekonomiskt av dataintrång:
- Hälso- och sjukvård
- Finans
- Läkemedel
- Teknologi
- Energi
Hälso- och sjukvården har varit den mest kostsamma branschen för dataintrång i 11 år. Medan andra sektorer upplever en förändring i momentum. Till exempel förlorade finansbranschen mer pengar under 2020 än under 2021.
Phishingdata från finanssektorn
År 2022 var den genomsnittliga kostnaden för ett dataintrång i finanssektorn 6 miljoner dollar. Företag i finanssektorn utsattes för flest phishingattacker, 41 % av alla. Dessutom drabbades finanssektorn av den näst högsta kostnaden för ett dataintrång, endast överträffad av hälso- och sjukvårdssektorn.
Svenska banken Nordea phishingbedrägeri, 2007
Den svenska banken Nordea föll offer för ett storskaligt phishingbedrägeri 2007, vilket ledde till en förlust på cirka 1,1 miljoner dollar.
Trojanprogramvaran samlade in cirka 250 kunders inloggningsuppgifter och snappade upp pengar från de drabbade kontona. Enligt banken ersatte de alla kunder för deras förluster, totalt cirka 1,1 miljoner dollar.
Carbanaks phishingkampanjer, 2015
Phishingkampanjen Carbanak upptäcktes första gången 2015 och visade sig vara en av historiens största stölder mot globala finansinstitut. Gruppen riktade in sig på över 100 banker och institutioner över hela världen med hjälp av avancerade spear-phishing-mejl och skadlig kod.
Enligt 2015 års Visa Security Threat Statement uppskattas att upp till 1 miljard dollar förlorades totalt, mellan 2,5 miljoner och 10 miljoner dollar per bank som drabbades.
Phishingdata från sjukvårdssektorn
En studie från 2019 av British Medical Journal visade att cirka 3 % av alla e-postmeddelanden som kom in till en sjukvårdsrelaterad e-postadress innehöll ett säkerhetshot, såsom phishing.
Health Sector Cybersecurity Coordination Center (HC3) utfärdade i december 2020 en varning om ökningen av covid-19-relaterade phishingattacker.
Phishingattacker stod för 45 % av dataintrången under 2020, enligt en undersökning från Healthcare Information and Management Systems Society. De typer av phishing som rapporterades i undersökningen och deras omfattning var följande:
- Allmänt phishing via e-post – 71 %
- Spear-phishing – 67 %
- Röstfiske/vishing – 27 %
- Whaling – 27 %
- Intrång i företags e-post – 23 %
- Phishing via SMS – 21 %
- Phishing på webbplatser – 20 %
- Phishing via sociala medier – 16 %
The Cost Of A Data Breach Report från IBM visade att den genomsnittliga kostnaden ökade till 10,10 miljoner dollar år 2022. Enligt rapporten har sjukvårdssektorn haft den högsta kostnaden för dataintrång tolv år i rad.
Ransomware-attacken WannaCry, 2017
Ransomware-attacken WannaCry inleddes i maj 2017 och i en artikel som publicerades i The Journal of Law & Cyber Warfare framgår det att den inträffade i över 150 länder. Den avslöjade vissa brister i Storbritanniens National Health Service (NHS) när över 40 sjukhus drabbades samtidigt.
Attacken inleddes med ett phishingmejl till sjukhusets personal och anställda. Efter att ha lyckats kunde bedragarna komma åt och få fullständig kontroll över värdefulla data och funktioner. Förövarna höll inne tillgången till dessa viktiga data och funktioner tills en lösensumma betalades.
Även om WannaCry-attacken inte resulterade i någon betydande ekonomisk förlust för sjukhusen, visade den på de svaga punkterna i sektorn. Dessutom illustrerade den hur ett phishingmejl snabbt kan eskalera till något mer.
Phishingattack mot University of Vermont Medical Center, 2020
University of Vermont Medical Center drabbades av en omfattande phishingattack under 2020. Attacken började med ett phishingmejl som skickades till UVM-anställda.
Även om UVM inte betalade hackarna någon lösensumma kostade incidenten cirka 50 miljoner dollar. Enligt rapporter från Healthcare Compliance Association (HCCA) ledde phishingattacken till att UVM-systemet låg nere i 28 dagar, och de anställda tvingades rensa 1 300 servrar från skadlig kod.
Phishingdata från tillverkningssektorn
Enligt IBM:s rapport Cost of a Data Breach drabbades industrisektorn av förluster på 4,47 miljoner dollar under 2022.
Under 2018 rapporterades det att skadlig kod fanns i 1 av 384 e-postmeddelanden som skickats till anställda inom tillverkningssektorn. Dessutom rapporterade 1 av 41 anställda inom sektorn att de hade fått ett phishingmejl.
Antalet ransomware-attacker mot tillverkningsföretag ökade med 52 % mellan 2021 och 2022. Phishing, och särskilt spear-phishing, ses av Sophos som en enkel och vanlig attackvektor.
Cyberspionage mot ThyssenKrupp, 2016
Under 2016 utsattes ThyssenKrupp för en omfattande cyberattack som började med spear-phishing-mejl med skadliga bilagor som skickades till specifika personer inom företaget. När de öppnades fick hackarna tillgång till känslig information och hemlig design.
Enligt flera rapporter avslöjades topphemlig design och projektdata stals från flera avdelningar. Det förekom ingen direkt stöld av företagets medel i denna phishingattack, men det är ett exempel på hur phishing kan leda till indirekta ekonomiska förluster.
Enligt rapporten om trender inom phishingaktivitet från APWG (Anti-Phishing Working Group) är det största risken med nätfiske via sociala medier att man utger sig för att vara företagsledare.
11 % av phishingattackerna under första kvartalet 2022 riktades mot sociala medieföretag.
Enligt ett pressmeddelande från Check Point 2022 är LinkedIn det mest använda varumärket i phishingattacker.
Enligt samma uppgifter från Check Point är de mest använda varumärkena följande
Varumärke | Andel förfalskningar |
45 % | |
Microsoft | 13 % |
DHL | 12 % |
Amazon | 9 % |
Apple | 3 % |
Adidas | 2 % |
1 % | |
Netflix | 1 % |
Adobe | 1 % |
HSBC | 1 % |
Spear phishing-bedrägeri på LinkedIn, 2012
Enligt rapporter stals 117 miljoner uppgifter från LinkedIn och såldes på dark web under 2012.
Även om detta började som ett dataintrång gav det ett perfekt tillfälle för phishingattacker.
Phishingattacker mot Facebook och Google, 2017
Facebook och Google föll offer för samma phishingattack 2017 och förlorade sammanlagt 100 miljoner dollar till en litauisk hackare. Enligt United States Attorney’s Office utgav sig hackaren för att vara en asiatisk tillverkare som används av Facebook och Google. Han skickade ett framgångsrikt phishingmejl med en falsk faktura med en begäran om att pengar skulle överföras till hackaren.
Phishingdata från regeringstjänster
Några populära myndigheter som enligt FTC ofta utges för att vara myndigheter är bland annat:
- Socialförsäkringsadministrationen
- Skattemyndigheten
- Sjukförsäkring
Phishingbedrägerier från myndigheter kan lättare utvecklas och reagera baserat på det aktuella klimatet eller samhällstrender. Under covid-19-pandemin dök det till exempel upp flera phishingbedrägerier som handlade om stimulanscheckar eller statligt stöd.
Dataintrång i Office of Personnel Management (OPM), 2015
Dataöverträdelsen mot OPM började flera år före 2015. Hackare började få ett litet fotfäste i systemet och gav så småningom sig själva tillgång till kritisk information.
Enligt många rapporter finns det inga tydliga bevis för hur OPM-dataintrånget 2015 började. Det triggade dock igång en våg av phishingattacker.
Enligt U.S. Office of Personnel Management har känslig information om 21,5 miljoner personer läckt ut i samband med dataintrånget.
Phishingbedrägerier relaterade till COVID-19-stöd, 2020
Phishingattackerna ökade med 220 % under perioden med insatser mot covid-19.
Phishingattacker dök upp när människor fick information om statligt stöd under pandemin. I Inky Stimulus Phishing Report noteras att de flesta var e-postmeddelanden som utgav sig för att vara myndighetspersoner och uppmanade målgruppen att ange personlig information för att “få en stimulanscheck”.
Referenser
- Explore our security report archive. (Verizon)
- 2022 State of the Phish Report Explores Increasingly Active Threat Landscape, Importance of People-Centric Security ProofPoint
- Number of unique phishing sites detected worldwide from 3rd quarter 2013 to 34th quarter 2022 (Statista)
- Internet Crime Complaint Center Releases 2022 Statistics (FBI)
- Cost of a Data Breach Report 2023 (IBM)
- Phishing attacks – who is most at risk? (ONS)
- IRONSCALES Releases Findings from State of Cybersecurity Survey (IRONSCALES)
- Cybersecurity 2022: Attackers will target remote teams’ weak spots (Samsung)
- The Impact of the New Normal on Workplace Privacy: A Study of Business & IT and IT Security Managers (Ponemon Institute)
- New FTC Data Show Consumers Reported Losing Nearly $8.8 Billion to Scams in 2022 (FTC)
- The large, less obvious costs of phishing attacks on organisations – report (SecurityBrief NZ)
- Professional stealers: opportunistic scammers targeting users of Steam, Roblox, and Amazon in 111 countries (Group-IB)
- Almost a quarter of all spam emails were sent from Russia in 2021 (ItPro)
- Cyber security breaches survey 2023 (Gov.UK)
- Phishing: Spot and report scam emails, texts, websites and calls (NCSC)
- Fraud Prevention Month 2023: Fraud losses in Canada reach another historic level (RCMP)
- Fraud is too Common in Canada: Nearly Half (43%) of Canadians Have Knowingly Been Victimized by Fraud or Scams, in their Lifetime (Ipsos)
- 13.2 million Australians exposed to scams (ABS)
- Scam statistics (ScamWatch)
- Global Tech Support Scam Research: India (Microsoft)
- Around 5 lakh people potentially fall victim to phishing scams in India: report (India Times)
- The overlooked pandemic: Brazilian phishing attacks and how to handle them (Lexology)
- Nordea loses $1.1 million to online fraud (NS Banking)
- Carbanak (Anunak) Advanced Persistent Threat (VISA)
- A Cost Analysis of Healthcare Sector Data Breaches Health Sector Cybersecurity Coordination Center (HC3) (HHS)
- The Ransomeware Assault on the Healthcare Sector (JSTOR)
- Hacked, Shut Down, But Still Seeing Patients: U. of Vermont Medical Center Shares Strategies (JDSupra)
- Whaling Case Study: Mattel’s $3 Million Phishing Adventure (InfoSec)
- Hackers steal Thyssenkrupp secrets (DW)
- Phishing Activity Trends Report (APWG Report)
- Scam Of The Week: LinkedIn Email Change Your Password (KnowBe4)
- Lithuanian Man Arrested For Theft Of Over $100 Million In Fraudulent Email Compromise Scheme Against Multinational Internet Companies (United States Attorney’s Office)
- Cybersecurity Incidents (OPM)
- Phishing Attacks Soar 220% During COVID-19 Peak as Cybercriminal Opportunism Intensifies (F5)
- Pandemic Phish Are Attacking Without Conscience (Inky)