In totaal bedraagt de schadepost van phishing in de Verenigde Staten 61 miljoen dollar per jaar. Dat stellen Microsoft-onderzoekers Cormac Herley en Dinei Florêncio in het rapport 'A Profitless Endeavor: Phishing as Tragedy of the Commons' (pdf). "Phishing is een activiteit waarvoor weinig vaardigheden nodig zijn. Bovendien levert het weinig op."

Herley en Florêncio noemen de vaak geciteerde bedragen die gemoeid zouden zijn met phishing-activiteiten onbetrouwbaar (Gartner becijferde de financiële schade in de VS als gevolg van phishing in 2007 op 3,2 miljard dollar). "Het percentage slachtoffers in onderzoeken is vaak kleiner dan de foutmarge. En de geldbedragen die verloren gaan, zijn schattingen die op geen enkele manier worden geverifieerd." De onderzoekers vermoeden dat de phishing-slachtoffers nogal eens de neiging hebben hun verliezen te overdrijven.

Dat er nog steeds talloze phishing-aanvallen plaatsvinden, is volgens de onderzoekers eerder een aanwijzing dat deze vorm van criminaliteit weinig geld oplevert dan dat het een succes is. Volgens Herley en Florêncio is er bij phishing sprake van een klassiek geval van wat speltheoretici de 'tragedie van de meent' (in het Engels: tragedy of the commons) noemen.

De onderzoekers vergelijken phishing met gewone visserij. Als iedereen zonder voorwaarden (quota, vangstbeperkingen) kan gaan vissen, zal dat leiden tot overbevissing. Het gevolg is dat vissers verder uit de kust moeten om nog wat te vangen en bovendien langer op zee moeten blijven om dezelfde hoeveelheid vis binnen te halen als voorheen.

Bij phishing doet zich eenzelfde fenomeen voor, menen Herley en Florêncio. De opbrengst van phishing is beperkt, terwijl er grote aantallen cybercriminelen zijn die proberen allemaal een stuk van de taart mee te pikken. "Omdat elke phisher een maximale opbrengst nastreeft, raakt de bron uitgeput en zijn de werkelijke opbrengsten uiteindelijk lager dan het potentieel."

Bron: Techworld