不，你沒有拿到獎金你的公司只是在測試你——《華爾街日報》

白駒松對那封郵件記憶猶新。

九月初，他打開工作郵箱時收到了令人驚喜的消息：他正式從泰勒·斯威夫特時代巡演的候補名單中脱穎而出——可以購買多倫多站門票了。

但就在這位26歲的產品設計師點擊鏈接前，他突然意識到：自己從未用工作郵箱註冊過票務平台。這其實是僱主發來的釣魚測試郵件。

從尼日利亞王子以財富為誘餌求助的古老騙局，到如今高度精細化的社會工程學攻擊，企業正通過創新培訓方式來應對這種威脅。這些模擬釣魚郵件會以獎金、禮品卡乃至千載難逢的演唱會門票為餌，既讓部分員工會心一笑，也引發人們對企業測試網絡安全意識時可能越界的擔憂。

白駒松識破泰勒·斯威夫特門票通知是釣魚郵件，因其催促購票的緊迫性顯得可疑。點擊郵件中的釣魚警報按鈕後，他發現這竟是公司自己發送的。

“從沒有哪封郵件讓我感覺受到如此精準的針對。“這位居住在阿爾伯塔省埃德蒙頓市的受訪者表示。

釣魚郵件已成規模性難題，去年美國聯邦調查局互聯網犯罪投訴中心收到超30萬起相關投訴。2022年全美民眾因網絡詐騙（包括釣魚郵件和身份盜竊）損失高達103億美元。

‘打擊士氣’

企業試圖通過發送釣魚測試來培訓員工識別這些攻擊。如果員工報告了一封可疑郵件，他們就通過了測試。如果他們未能通過測試，點擊了鏈接或下載了PDF文件，可能會被要求參加額外的培訓。

莎拉·菲耶特在她的上一份工作中經常收到釣魚測試和培訓。然而，去年12月的一封郵件讓她上了當。郵件中説，公司想感謝她的辛勤工作，贈送一張禮品卡，並讓她點擊鏈接領取。當她點擊鏈接時，卻被告知她未能通過釣魚測試。

一些釣魚模擬測試承諾贈送禮品卡，看起來像是來自真實的公司。圖片來源：KnowBe4現年33歲的菲耶特目前在紐約一家藝術投資工作室擔任營銷和傳播總監，她將責任歸咎於她的手機。她通常都會檢查釣魚郵件，但因為這次是在手機上打開的，她無法懸停在鏈接上查看其指向。她還補充説，公司過去確實曾贈送過禮品卡，所以收到這樣的郵件並不完全出乎意料。

她並沒有收到禮品卡。她還帶着一肚子氣去上班。菲耶特説：“公司自己發送的這些釣魚郵件，感覺對士氣的打擊遠大於它們帶來的任何好處。”

‘讓你心煩’

泰勒·斯威夫特的釣魚測試是由安全意識公司KnowBe4創建的模板。該公司表示，在過去30天內，該測試被髮送了17,600次，有533人點擊了它。這與KnowBe4釣魚測試的通常範圍一致。

KnowBe4成立於2010年，與超過65,000家客户合作，隸屬於安全與風險管理行業，為企業提供合規培訓和其他信息保護工具。這個不斷發展的領域還包括Living Security和Proofpoint等公司，後者被《華爾街日報》的母公司所使用。

KnowBe4擁有一支由四人組成的創意內容團隊，他們梳理社交趨勢以設計這些釣魚模擬測試。他們利用的另一個流行文化時刻是約翰尼·德普對艾梅柏·希爾德的誹謗訴訟，發送與審判相關的突發新聞提醒。他們還製作季節性電子郵件，比如情人節鮮花送達通知。該公司首席產品官格雷格·克拉斯表示，團隊已創建了20,000個模板供企業選擇。

KnowBe4有一個“爭議性”類別，包含更多令人心跳加速的模板。一封電子郵件自稱來自推特用户，提醒人們他們的信息出現在婚外情網站Ashley Madison上，該網站在2015年發生了數據泄露。任何職場測試，比如公司人力資源部門要求開會或發送關於更新薪資標準的通知，也被視為具有爭議性。

KnowBe4擁有爭議性的釣魚測試模板，比如關於婚外情網站Ashley Madison的模板。照片：KnowBe4克拉斯特表示，這些僅在公司網絡安全團隊認為組織已準備好接受更嚴格測試時使用。他補充説，這些郵件更具煽動性和情緒化，旨在模擬真實攻擊者誘導用户點擊、破壞公司信息的行為。

“攻擊者正是這樣做的，他們試圖激怒你，讓你情緒化反應而停止思考——因為只要得逞他們就贏了，“克拉斯特説，“通過模擬訓練發現問題，遠比在現實中付出代價要好得多。”

根據KnowBe4的報告，經過一年的釣魚訓練和模擬測試後，員工點擊可疑郵件或鏈接的概率從33.2%降至5.4%。

‘尤其殘酷’

距離年末僅剩兩個月，一些公司開始發放年終獎金等福利，作為員工辛勤工作的感謝禮。

但貝基·羅賓遜的收件箱卻是例外。

這位35歲的企業傳訊專員在9月收到主題為"您的年度獎金.pdf已共享"的郵件。在公司工作六年的她清楚獎金並非定期發放，立即意識到這是釣魚郵件。

肯塔基州路易維爾市的羅賓遜並未上當——她表示多年來從未中過公司內部測試的釣魚郵件。但這次郵件的口吻讓她感到異樣。

又一項釣魚測試以讓員工查看獎金為誘餌，誘導他們點擊郵件中的鏈接。圖片來源：KnowBe4“在詭異的經濟環境下，用獎金概念誘惑員工顯得尤為殘忍，特別是對那些可能不知情的人。”羅賓遜表示。

部分職場專家認為，企業不應採取如此極端的手段來教育員工識別釣魚攻擊。投資應用Stash的人力資源總監林恩·奧德姆指出，企業完全可以通過傳統培訓課程實現這一目標。

“這能幫助員工鍛鍊‘反釣魚肌肉’，既有利於公司發展，最終也惠及員工自身。”她解釋道。

加州爾灣市的27歲平面設計師茉莉·露西坦言，2019年在前公司曾兩次中招釣魚測試。

“一次是禮品卡騙局，另一次郵件主題暗示公司要處理停車場兩位女同事的糾紛。”雖然對所謂糾紛毫不知情，但出於好奇她點擊了鏈接，結果彈出卡通提示告知其未能通過釣魚測試。

“每天工作生活郵件鋪天蓋地，實在沒精力逐一甄別真偽。”露西無奈道。

——欲獲取更多《華爾街日報》科技資訊、深度評測、實用建議及頭條新聞，請訂閲我們的每週簡報。

聯繫記者安-瑪麗·阿爾坎塔拉請致信：[email protected]

更正與補充KnowBe4的首席產品官是格雷格·克拉斯。本文早期版本錯誤地稱其名為喬治·卡斯。（已於10月10日更正）

刊登於2023年10月11日印刷版，標題為《企業偽造釣魚郵件手法日趨創意》