员工从钓鱼安全培训中学不到任何东西，原因如下

一项新研究证实了许多人的猜测——员工钓鱼培训根本不值得投入精力。

这项由加州大学圣地亚哥分校健康中心和Censys研究人员进行的研究发现，与钓鱼相关的网络安全培训项目对员工是否会被钓鱼邮件欺骗没有任何影响。

在分析了八个月内发送给加州大学圣地亚哥分校健康中心超过19,500名员工的10个不同钓鱼邮件活动结果后，研究人员发现"用户最近是否完成了年度强制性网络安全培训与遭受钓鱼邮件攻击的可能性之间没有显著关系"。

什么是钓鱼攻击？

钓鱼攻击是一种持续存在的威胁，影响着个人、中小型企业和大型企业。钓鱼活动通常采取广撒网的欺诈邮件形式，或是针对性的信息设计，旨在引起收件人的好奇、恐慌或恐惧。

通过制造引发恐惧或紧迫感的信息，网络犯罪分子希望受害者不会退后一步理性思考，而是恐慌地点击按钮或交出敏感信息，这些信息可用于身份盗窃、进行欺诈交易或更广泛的网络犯罪。

加州大学圣地亚哥分校健康中心和Censys研究人员表示，主题内容对钓鱼邮件的成功至关重要。例如，几乎没有人点击更新Outlook密码的链接，而超过30%的参与者点击了伪装成雇主休假政策更新的邮件中的链接。

钓鱼计划持续的时间越长，员工点击欺诈链接的可能性就越大，从第一个月的10%参与者上升到第八个月的超过50%。

研究人员表示：“综合来看，我们的结果表明，反钓鱼培训项目以其当前和常见的部署形式，不太可能为降低钓鱼风险提供显著的实际价值。”

据研究人员称，现代网络安全培训项目缺乏参与度是罪魁祸首，参与率通常记录为不到一分钟或根本没有。当学习材料没有参与度时，没有影响也就不足为奇了。

为了解决这个问题，研究团队建议，为了获得更好的钓鱼防护投资回报，转向更多技术帮助可能有效。例如，在终端设备上实施双重或多因素认证（2FA/MFA），并强制要求在受信任的域上共享和使用凭证。

这并不意味着钓鱼培训项目在企业界没有立足之地。我们还应该回归吸引学习者的基础。作为一名前教师，我建议桌面讨论、现场研讨会甚至游戏化可以在培训和积极结果之间提供缺失的联系。