或许该重新思考钓鱼攻击意识培训了

Marcus Hutchins

在MGM事件发生后，我认为是时候讨论钓鱼攻击意识培训了。据传言，攻击者冒充MGM内部员工，通过社会工程学手段让客服重置了密码。无论这一传闻是否属实，它引发了关于钓鱼攻击及其在威胁模型中定位的广泛讨论。

钓鱼攻击——无论是通过短信、电话、邮件甚至面对面进行——通常有一个共同点：它们针对缺乏网络安全经验的员工，这些人难以识别社会工程学攻击。

一种常见但常被误导的做法是钓鱼培训，许多组织试图将普通员工培养成业余威胁分析师。别误会，我并非全盘否定钓鱼意识培训，但效果因方法而异：它可能提升安全防护，也可能彻底破坏它。

误导性钓鱼意识培训与测试的陷阱

钓鱼测试尤其是一把双刃剑。如果模拟攻击不够真实，员工可能只学会识别特定案例，甚至只会躲避测试本身；反之，若攻击过于逼真，则会侵蚀员工信任并引发内部矛盾。

攻击者肆无忌惮地利用人性弱点，但安全测试者不应如此。我见过模拟重病亲属、虚假奖金通知的钓鱼测试，甚至公开羞辱未通过测试的员工。这些手段或许高效，但结果往往适得其反。

试想：你历经艰难一年，正为账单发愁，爱车急需维修——此时突然收到"圣诞奖金"通知！点击链接后却发现不仅要不到奖金，还得在繁忙工作中额外参加培训。这种情况下，员工更可能对安全措施产生抵触，甚至主动规避安全控制（如使用未安装EDR的个人设备）。

我曾开玩笑说：最厉害的黑客不是勒索软件组织或NSA成员，而是被安全措施妨碍工作的员工。

钓鱼意识应成为众包威胁情报的高效途径。组织应建立正向激励机制，鼓励员工报告可疑行为。钓鱼攻击常制造虚假紧迫感，受害者往往事后才察觉。由于一次成功的钓鱼可能几小时内升级为全面入侵，员工主动报告可能成为避免灾难的关键。

即使未成功的钓鱼尝试也能提供攻击者工具和手法的重要情报，用于加固防御。已知钓鱼链接和载荷可被监控拦截，保护其他员工。

关于钓鱼测试，我尚不确定其价值。员工完全可以在不成为靶标的情况下学习识别常见手法。模拟测试极易在员工与安全团队间制造不信任。

若必须进行测试，需谨慎行事：完全避免涉及加薪、假期、亲属生病等情感操纵内容；不应惩罚测试失败者——包括强制参加培训。让忙碌员工放下工作完成琐碎任务本就令人疲惫，被单独点名或连累团队更是莫大羞辱。

测试的终极目标不应是阻止员工报告真实威胁。个人倾向于"静默测试"：不告知测试存在或结果，后台收集数据用于安全决策，同时保全员工信任。即便如此，也应彻底避免情感操纵手段。

总体而言，钓鱼意识培训可以非常有效，但太多组织将其异化为"胡萝卜加大棒"的管控手段。负面激励在生活中罕有成效，组织安全领域也不例外。