不，你没有拿到奖金你的公司只是在测试你——《华尔街日报》

白驹松对那封邮件记忆犹新。

九月初，他打开工作邮箱时收到了令人惊喜的消息：他正式从泰勒·斯威夫特时代巡演的候补名单中脱颖而出——可以购买多伦多站门票了。

但就在这位26岁的产品设计师点击链接前，他突然意识到：自己从未用工作邮箱注册过票务平台。这其实是雇主发来的钓鱼测试邮件。

从尼日利亚王子以财富为诱饵求助的古老骗局，到如今高度精细化的社会工程学攻击，企业正通过创新培训方式来应对这种威胁。这些模拟钓鱼邮件会以奖金、礼品卡乃至千载难逢的演唱会门票为饵，既让部分员工会心一笑，也引发人们对企业测试网络安全意识时可能越界的担忧。

白驹松识破泰勒·斯威夫特门票通知是钓鱼邮件，因其催促购票的紧迫性显得可疑。点击邮件中的钓鱼警报按钮后，他发现这竟是公司自己发送的。

“从没有哪封邮件让我感觉受到如此精准的针对。“这位居住在阿尔伯塔省埃德蒙顿市的受访者表示。

钓鱼邮件已成规模性难题，去年美国联邦调查局互联网犯罪投诉中心收到超30万起相关投诉。2022年全美民众因网络诈骗（包括钓鱼邮件和身份盗窃）损失高达103亿美元。

‘打击士气’

企业试图通过发送钓鱼测试来培训员工识别这些攻击。如果员工报告了一封可疑邮件，他们就通过了测试。如果他们未能通过测试，点击了链接或下载了PDF文件，可能会被要求参加额外的培训。

莎拉·菲耶特在她的上一份工作中经常收到钓鱼测试和培训。然而，去年12月的一封邮件让她上了当。邮件中说，公司想感谢她的辛勤工作，赠送一张礼品卡，并让她点击链接领取。当她点击链接时，却被告知她未能通过钓鱼测试。

一些钓鱼模拟测试承诺赠送礼品卡，看起来像是来自真实的公司。图片来源：KnowBe4现年33岁的菲耶特目前在纽约一家艺术投资工作室担任营销和传播总监，她将责任归咎于她的手机。她通常都会检查钓鱼邮件，但因为这次是在手机上打开的，她无法悬停在链接上查看其指向。她还补充说，公司过去确实曾赠送过礼品卡，所以收到这样的邮件并不完全出乎意料。

她并没有收到礼品卡。她还带着一肚子气去上班。菲耶特说：“公司自己发送的这些钓鱼邮件，感觉对士气的打击远大于它们带来的任何好处。”

‘让你心烦’

泰勒·斯威夫特的钓鱼测试是由安全意识公司KnowBe4创建的模板。该公司表示，在过去30天内，该测试被发送了17,600次，有533人点击了它。这与KnowBe4钓鱼测试的通常范围一致。

KnowBe4成立于2010年，与超过65,000家客户合作，隶属于安全与风险管理行业，为企业提供合规培训和其他信息保护工具。这个不断发展的领域还包括Living Security和Proofpoint等公司，后者被《华尔街日报》的母公司所使用。

KnowBe4拥有一支由四人组成的创意内容团队，他们梳理社交趋势以设计这些钓鱼模拟测试。他们利用的另一个流行文化时刻是约翰尼·德普对艾梅柏·希尔德的诽谤诉讼，发送与审判相关的突发新闻提醒。他们还制作季节性电子邮件，比如情人节鲜花送达通知。该公司首席产品官格雷格·克拉斯表示，团队已创建了20,000个模板供企业选择。

KnowBe4有一个“争议性”类别，包含更多令人心跳加速的模板。一封电子邮件自称来自推特用户，提醒人们他们的信息出现在婚外情网站Ashley Madison上，该网站在2015年发生了数据泄露。任何职场测试，比如公司人力资源部门要求开会或发送关于更新薪资标准的通知，也被视为具有争议性。

KnowBe4拥有争议性的钓鱼测试模板，比如关于婚外情网站Ashley Madison的模板。照片：KnowBe4克拉斯特表示，这些仅在公司网络安全团队认为组织已准备好接受更严格测试时使用。他补充说，这些邮件更具煽动性和情绪化，旨在模拟真实攻击者诱导用户点击、破坏公司信息的行为。

“攻击者正是这样做的，他们试图激怒你，让你情绪化反应而停止思考——因为只要得逞他们就赢了，“克拉斯特说，“通过模拟训练发现问题，远比在现实中付出代价要好得多。”

根据KnowBe4的报告，经过一年的钓鱼训练和模拟测试后，员工点击可疑邮件或链接的概率从33.2%降至5.4%。

‘尤其残酷’

距离年末仅剩两个月，一些公司开始发放年终奖金等福利，作为员工辛勤工作的感谢礼。

但贝基·罗宾逊的收件箱却是例外。

这位35岁的企业传讯专员在9月收到主题为"您的年度奖金.pdf已共享"的邮件。在公司工作六年的她清楚奖金并非定期发放，立即意识到这是钓鱼邮件。

肯塔基州路易维尔市的罗宾逊并未上当——她表示多年来从未中过公司内部测试的钓鱼邮件。但这次邮件的口吻让她感到异样。

又一项钓鱼测试以让员工查看奖金为诱饵，诱导他们点击邮件中的链接。图片来源：KnowBe4“在诡异的经济环境下，用奖金概念诱惑员工显得尤为残忍，特别是对那些可能不知情的人。”罗宾逊表示。

部分职场专家认为，企业不应采取如此极端的手段来教育员工识别钓鱼攻击。投资应用Stash的人力资源总监林恩·奥德姆指出，企业完全可以通过传统培训课程实现这一目标。

“这能帮助员工锻炼‘反钓鱼肌肉’，既有利于公司发展，最终也惠及员工自身。”她解释道。

加州尔湾市的27岁平面设计师茉莉·露西坦言，2019年在前公司曾两次中招钓鱼测试。

“一次是礼品卡骗局，另一次邮件主题暗示公司要处理停车场两位女同事的纠纷。”虽然对所谓纠纷毫不知情，但出于好奇她点击了链接，结果弹出卡通提示告知其未能通过钓鱼测试。

“每天工作生活邮件铺天盖地，实在没精力逐一甄别真伪。”露西无奈道。

——欲获取更多《华尔街日报》科技资讯、深度评测、实用建议及头条新闻，请订阅我们的每周简报。

联系记者安-玛丽·阿尔坎塔拉请致信：[email protected]

更正与补充KnowBe4的首席产品官是格雷格·克拉斯。本文早期版本错误地称其名为乔治·卡斯。（已于10月10日更正）

刊登于2023年10月11日印刷版，标题为《企业伪造钓鱼邮件手法日趋创意》