企业不应试图用虚假钓鱼邮件测试员工——《华尔街日报》

许多企业的IT安全团队会通过模拟钓鱼攻击活动来测试有多少员工会上钩。插图：乔恩·克劳斯我们都见过这种情况：一封意外邮件带着附件或重要链接。实际上这并非来自发件人声称的源头，而是IT部门发送的虚假钓鱼邮件，旨在测试你是否会点击。

真实的钓鱼邮件可能给企业带来危险，导致数百万美元的损失。这些骗局旨在诱骗人们下载恶意软件或泄露敏感信息，其数量正在上升：2021年，美国联邦调查局收到超过30万起钓鱼攻击投诉，较前一年增长逾30%。

为应对此问题，许多企业IT安全团队采用模拟钓鱼活动（又称钓鱼演练），向员工发送欺诈性邮件以统计上钩人数。此举旨在教育员工识别和抵制钓鱼攻击，并帮助安全团队评估企业面对此类攻击的脆弱性。

但最新研究表明，这些钓鱼演练可能弊大于利——在未能显著提升企业防御能力的同时，还激怒了员工。

以下是具体问题分析。

它们并未增强防御能力

IT部门开展模拟钓鱼活动的一个原因是为了培训员工。当员工做了不该做的事情时，他们会感到内疚。这创造了一个“可教时刻”，员工此时更愿意学习如何避免将来犯同样的错误。确实，研究发现人们会花更多时间阅读那些在他们点击了模拟钓鱼邮件后立即呈现的培训信息。

但在实际让员工抵御未来钓鱼攻击方面，这些活动效果并不理想。虽然早期研究表明，钓鱼模拟可以将后续虚假钓鱼邮件的点击率降低约50%，但在更现实的设置和更大群体的最新研究中发现，模拟活动后点击率几乎没有改善。

我在一个组织中进行了模拟钓鱼活动，涉及近2000名员工。我的团队比较了员工点击虚假钓鱼邮件后呈现的四种不同培训信息的有效性。具体来说，我们想知道人们在收到其中一条信息后，与完全没有接受培训相比，是否更不可能点击后续的钓鱼邮件。只有一条培训信息比没有培训时点击率更低；其他三条信息反而导致点击率上升。而那条带来改善的信息仅将总体点击率降低了1到2个百分点。

其他研究也得出了类似结论。例如，一个与医疗行业合作的研究团队发现，接受过此类培训活动的人群与未接受培训者之间并无差异。而德国研究团队最新数据显示，所有改善效果在四到六个月后都会消失。

并非风险的有效衡量标准

许多首席信息安全官和IT安全团队通过钓鱼模拟来评估员工对此类骗局的脆弱程度——以及情况是否在恶化。

问题在于，钓鱼模拟收集的数据并不总是可靠。首先，很难判断所有中招员工是否真的认为测试邮件是真实的。某家公司向我反馈，培训后点击钓鱼链接的人数反而增加——原因是该公司每月制作新培训视频，部分员工故意点击链接以期观看。

模拟钓鱼邮件的措辞也会扭曲测试结果。包括我在内的研究者发现，实际点击率更多取决于邮件撰写方式和上下文语境，而非公司性质、员工素质或既往培训经历。

在我的研究中，我进行了大量测试，试图确保发送的四封钓鱼邮件难度相当。然而其中一封关于扩容员工邮箱存储空间的邮件，其识别难度是其他三封的两倍。由于这封邮件恰好在公司实际升级邮箱系统期间发送，导致更多员工点击了它。

因此，如果组织选择用容易识别的邮件进行演练，点击率数据会显得很漂亮；若使用特别狡猾的钓鱼话术，数据就会很难看。而由于时机和情境会极大影响钓鱼邮件效果，我们往往难以提前预判哪种情况会发生。

它们制造压力与不信任

多数员工对模拟钓鱼邮件深恶痛绝。

他们厌恶被戏弄的感觉，认为这种模拟有失公允。在我主导的一次演练中，当员工得知收到的邮件是虚假无害的测试后，我收到了大量投诉。有位女员工向我坦言，她非常反感这种被当成实验对象的感觉。

也有员工指出，企业提供的反钓鱼建议——比如点击前检查每个链接、绝不打开附件——根本不切实际。甚至连安全部门的员工都难以完全遵守。一位严格遵守所有防范措施的IT员工告诉我，她曾多次因误删邮件错过重要信息，还因拒绝点击链接或打开附件而遭到上司责难。

模拟钓鱼活动的根本目的是吓唬那些上当的员工，希望他们未来能更加谨慎。但研究表明，制造恐惧实际上并不能帮助人们提高对网络安全的警惕性，也无法让他们更容易区分正常邮件和恶意邮件。这只会让他们更加焦虑。

因此，参与这些测试的员工往往会承受不必要的压力，并逐渐不信任本应保护公司和员工的IT团队。

企业在决定是否及何时开展模拟钓鱼活动前，应充分考虑其广泛影响。虽然目前没有万无一失的方法能教会员工识别和阻止钓鱼攻击，但存在不会引发不信任和抵触情绪的替代方案。

里克·沃什是密歇根州立大学媒体与信息学系副教授。联系方式：[email protected]。

刊载于2023年6月7日印刷版，标题为《为什么企业不该用虚假钓鱼邮件测试员工》。