Secondo una recente indagine che Gartner ha realizzato negli Stati Uniti, il numero di cittadini che si dicono sicuri o pensano di avere ricevuto una email phishing è quasi raddoppiato rispetto al 2004: circa 109 milioni contro 57 milioni. Le perdite finanziarie causate da questi tipi di attacchi hanno superato nel 2006 i 2,8 miliardi di dollari. La buona notizia, diciamo così, è che nel corso del 2006 meno gente ha perso denaro per colpa dei phisher; la cattiva notizia è che ogni singolo “colpo” ha fruttato ai phisher molto di più. Come dire, c’è stata una redistribuzione nelle perdite e nei guadagni, dipende da quale punto di vista si guarda la cosa. Ogni vittima infatti ha perso in media cinque volte di più rispetto alla media del 2005; questo perché i ladri hanno reso più sofisticate le loro conoscenze e prendono di mira quelli che hanno redditi più elevati (in pratica, quelli che fanno transazioni più sostanziose su Internet): la perdita media per truffato è cresciuta da 257 a 1244 dollari. Tra i “benestanti”, i possessori di redditi annuali superiori a 100 mila dollari hanno subìto molti più attacchi, pari a una media di 112 email phishing, contro le 74 se si considera la media di tutte le fasce di reddito, e hanno lasciato sul terreno circa 4362 dollari a testa, quattro volte in più rispetto alle altre fasce.
La media di soldi rimborsati è stata dell’80% nel 2005, mentre nel 2006 è scesa drammaticamente al 54 per cento. Le email phishing si spacciano sempre meno per banche, più spesso per marchi come PayPal ed eBay.

I cybercriminali stanno passando agli attacchi online diretti alle banche, e stanno facendo meno leva su e/o usando con forza brand convenzionali per scoprire metodi di social engineering che hanno l’obiettivo di perseguire in modo illecito guadagni finanziari. Contromisure, quali indagini e smantellamento del phishing, implementate da banche, Isp e altri fornitori di servizi, in genere poco diffusi, si sono rivelati inefficaci. Secondo Gartner, sui circa 24,4 milioni di americani incappati su una email phishing nel 2006, (molto di più rispetto ai 12 milioni circa del 2005), 3,5 milioni hanno incautamente fornito informazioni sensibili ai phisher (nel 2005, sono stati 1,9 milioni).
I recenti aggiornamenti dei browser più diffusi (tra gli altri, Microsoft Internet Explorer e Mozilla Firefox) consentiranno di far conoscere ai consumatori molti siti phishing, ma, a detta di Gartner, molti attacchi potrebbero ancora andare a buon fine. Questo perché molti degli aggiornamenti dei browser sono ancora incompleti e immaturi in termini di affidabilità della protezione. Purtroppo, per i prossimi due anni, gli attacchi phishing sono destinati ad aumentare.
La paura degli attacchi phishing ha un impatto drammatico sulle cosiddette “email non sollecitate”, dal momento che moltissimi destinatari cancellano email quando non conoscono l’identità del mittente. Tantissimi utenti, che pure hanno sempre utilizzato la posta elettronica in piena fiducia, sono stati negativamente influenzati dalle recenti recrudescenze degli incidenti relativi alla sicurezza; risultato: l’85% cancella le email che non si fidano di aprire per primi.
Le misure anti-phishing avviate da alcune imprese per proteggere brand e clienti non si stanno dimostrando molto efficaci. Per lanciare i loro attacchi, i phisher si muovono da sito a sito sempre più velocemente. Si pensi che la vita media di un sito phishing, che qualche tempo fa era di una settimana, nel 2006 è appena di un’ora. Si registra anche il fenomeno di siti phishing creati ad hoc per attacchi contro un singolo utente. Una guerra di movimento contro cui finora non è stato ancora trovato un antidoto efficace.