駭客寄釣魚信當然很煩，但公司資安部門故意寄測試釣魚信給你更煩！最近 Google 資安專家 Matt Linton 就呼籲大家不要再故意寄試釣魚信給員工了，理由也很簡單，沒有任何明確證據能夠證明，測試釣魚信真可以降低成功釣魚攻擊的發生率。

他首先引用了一項為期 15 個月的研究，該研究結論是這類釣魚測試並未提高員工抵禦釣魚攻擊的能力。

另一個大問題是，測試釣魚信更可能惹怒員工，反而對公司資安團隊更不信任。「他們會覺得資安團隊是在『欺騙』他們。這反而讓資安團隊要真的去做更多更有意義的系統改善或是發生真正的資安事件時，會讓員工懷疑資安團隊、不知所措。」

Linton 認為光靠這種「矯正」式的行爲是不可能 100% 防堵釣魚信，反而真的去投資更扎實的反釣魚技術，例如使用硬體安全金鑰，或是使用無密碼驗證機制會更有效。

另外一個作法是用更透明、更明確的「防堵釣魚訓練」來取代騙自家員工的做法，具體作法是發送一封明確告知「我是一封演練的釣魚信」，信中明確指出哪裡有問題、哪裡可能引導大家騙點擊，然後詳細說出怎麼跟公司資安團隊通報的步驟。

文章來源