企業不應試圖用虛假釣魚郵件測試員工——《華爾街日報》

許多企業的IT安全團隊會通過模擬釣魚攻擊活動來測試有多少員工會上鈎。插圖：喬恩·克勞斯我們都見過這種情況：一封意外郵件帶着附件或重要鏈接。實際上這並非來自發件人聲稱的源頭，而是IT部門發送的虛假釣魚郵件，旨在測試你是否會點擊。

真實的釣魚郵件可能給企業帶來危險，導致數百萬美元的損失。這些騙局旨在誘騙人們下載惡意軟件或泄露敏感信息，其數量正在上升：2021年，美國聯邦調查局收到超過30萬起釣魚攻擊投訴，較前一年增長逾30%。

為應對此問題，許多企業IT安全團隊採用模擬釣魚活動（又稱釣魚演練），向員工發送欺詐性郵件以統計上鈎人數。此舉旨在教育員工識別和抵制釣魚攻擊，並幫助安全團隊評估企業面對此類攻擊的脆弱性。

但最新研究表明，這些釣魚演練可能弊大於利——在未能顯著提升企業防禦能力的同時，還激怒了員工。

以下是具體問題分析。

它們並未增強防禦能力

IT部門開展模擬釣魚活動的一個原因是為了培訓員工。當員工做了不該做的事情時，他們會感到內疚。這創造了一個“可教時刻”，員工此時更願意學習如何避免將來犯同樣的錯誤。確實，研究發現人們會花更多時間閲讀那些在他們點擊了模擬釣魚郵件後立即呈現的培訓信息。

但在實際讓員工抵禦未來釣魚攻擊方面，這些活動效果並不理想。雖然早期研究表明，釣魚模擬可以將後續虛假釣魚郵件的點擊率降低約50%，但在更現實的設置和更大羣體的最新研究中發現，模擬活動後點擊率幾乎沒有改善。

我在一個組織中進行了模擬釣魚活動，涉及近2000名員工。我的團隊比較了員工點擊虛假釣魚郵件後呈現的四種不同培訓信息的有效性。具體來説，我們想知道人們在收到其中一條信息後，與完全沒有接受培訓相比，是否更不可能點擊後續的釣魚郵件。只有一條培訓信息比沒有培訓時點擊率更低；其他三條信息反而導致點擊率上升。而那條帶來改善的信息僅將總體點擊率降低了1到2個百分點。

其他研究也得出了類似結論。例如，一個與醫療行業合作的研究團隊發現，接受過此類培訓活動的人羣與未接受培訓者之間並無差異。而德國研究團隊最新數據顯示，所有改善效果在四到六個月後都會消失。

並非風險的有效衡量標準

許多首席信息安全官和IT安全團隊通過釣魚模擬來評估員工對此類騙局的脆弱程度——以及情況是否在惡化。

問題在於，釣魚模擬收集的數據並不總是可靠。首先，很難判斷所有中招員工是否真的認為測試郵件是真實的。某家公司向我反饋，培訓後點擊釣魚鏈接的人數反而增加——原因是該公司每月製作新培訓視頻，部分員工故意點擊鏈接以期觀看。

模擬釣魚郵件的措辭也會扭曲測試結果。包括我在內的研究者發現，實際點擊率更多取決於郵件撰寫方式和上下文語境，而非公司性質、員工素質或既往培訓經歷。

在我的研究中，我進行了大量測試，試圖確保發送的四封釣魚郵件難度相當。然而其中一封關於擴容員工郵箱存儲空間的郵件，其識別難度是其他三封的兩倍。由於這封郵件恰好在公司實際升級郵箱系統期間發送，導致更多員工點擊了它。

因此，如果組織選擇用容易識別的郵件進行演練，點擊率數據會顯得很漂亮；若使用特別狡猾的釣魚話術，數據就會很難看。而由於時機和情境會極大影響釣魚郵件效果，我們往往難以提前預判哪種情況會發生。

它們製造壓力與不信任

多數員工對模擬釣魚郵件深惡痛絕。

他們厭惡被戲弄的感覺，認為這種模擬有失公允。在我主導的一次演練中，當員工得知收到的郵件是虛假無害的測試後，我收到了大量投訴。有位女員工向我坦言，她非常反感這種被當成實驗對象的感覺。

也有員工指出，企業提供的反釣魚建議——比如點擊前檢查每個鏈接、絕不打開附件——根本不切實際。甚至連安全部門的員工都難以完全遵守。一位嚴格遵守所有防範措施的IT員工告訴我，她曾多次因誤刪郵件錯過重要信息，還因拒絕點擊鏈接或打開附件而遭到上司責難。

模擬釣魚活動的根本目的是嚇唬那些上當的員工，希望他們未來能更加謹慎。但研究表明，製造恐懼實際上並不能幫助人們提高對網絡安全的警惕性，也無法讓他們更容易區分正常郵件和惡意郵件。這隻會讓他們更加焦慮。

因此，參與這些測試的員工往往會承受不必要的壓力，並逐漸不信任本應保護公司和員工的IT團隊。

企業在決定是否及何時開展模擬釣魚活動前，應充分考慮其廣泛影響。雖然目前沒有萬無一失的方法能教會員工識別和阻止釣魚攻擊，但存在不會引發不信任和牴觸情緒的替代方案。

裏克·沃什是密歇根州立大學媒體與信息學系副教授。聯繫方式：[email protected]。

刊載於2023年6月7日印刷版，標題為《為什麼企業不該用虛假釣魚郵件測試員工》。