黑客寄钓鱼信当然很烦，但公司资安部门故意寄测试钓鱼信给你更烦！最近 Google 资安专家 Matt Linton 就呼吁大家不要再故意寄试钓鱼信给员工了，理由也很简单，没有任何明确证据能够证明，测试钓鱼信真可以降低成功钓鱼攻击的发生率。

他首先引用了一项为期 15 个月的研究，该研究结论是这类钓鱼测试并未提高员工抵御钓鱼攻击的能力。

另外在 Google 内部的经验也是如此，Linton 指出，Google 内部的模测试钓鱼信有时无法完全反映真实攻击在的样貌。这是因为测试邮件必须绕过现有的反钓鱼防护机制才能送达，「这会让测试信为了绕过反钓鱼防护机制，反而长得不像真钓鱼信，反而加重员工对实际风险的错误认知。」

另一个大问题是，测试钓鱼信更可能惹怒员工，反而对公司资安团队更不信任。「他们会觉得资安团队是在『欺骗』他们。这反而让资安团队要真的去做更多更有意义的系统改善或是发生真正的资安事件时，会让员工怀疑资安团队、不知所措。」

Linton 认为光靠这种「矫正」式的行为是不可能 100% 防堵钓鱼信，反而真的去投资更扎实的反钓鱼技术，例如使用硬件安全密钥，或是使用无密码验证机制会更有效。

另外一个作法是用更透明、更明确的「防堵钓鱼训练」来取代骗自家员工的做法，具体作法是发送一封明确告知「我是一封演练的钓鱼信」，信中明确指出哪里有问题、哪里可能引导大家骗点击，然后详细说出怎么跟公司资安团队通报的步骤。

快加入 INSIDE Google News 按下追踪，给你最新、最 IN 的科技新闻！