一项新研究证实了我们许多人早已怀疑的事实——员工钓鱼培训根本不值得投入。

该研究由加州大学圣迭戈分校健康系统（UC San Diego Health）和Censys的研究人员共同完成，结果表明，针对钓鱼的网络安全培训项目对员工是否会被钓鱼邮件欺骗毫无影响。

研究人员对在八个月内向UC San Diego Health超过19,500名员工发送的10次不同钓鱼邮件活动的结果进行分析后发现，“用户最近是否完成了强制性的年度网络安全培训，与其是否会中招钓鱼邮件之间并不存在显著关联”。

团队还调查了嵌入式钓鱼培训的有效性——即组织向员工发送模拟钓鱼邮件，观察其是否上当。结论是根本不起作用，完成培训的员工与未完成培训的员工在失败率上几乎没有差别，差距仅为2%。

这尤其令人担忧，因为根据最新的SpyCloud身份威胁报告，钓鱼是今年导致勒索软件的首要因素，背后是信息窃取工具和AI工具的滥用。钓鱼也是参与调研企业报告的最常见攻击向量，受影响组织的比例从2024年的25%上升至35%。

钓鱼是一种长期困扰个人、小型企业以及大型企业的威胁。钓鱼攻击常以“大面积投放”的欺诈邮件或针对性信息出现，旨在激发收件人的好奇、恐慌或恐惧。

网络犯罪分子通过制造恐慌或紧迫感，让受害者冲动点击链接或泄露敏感信息，这些信息随后可能被用于身份盗窃、进行欺诈交易或更大范围的网络犯罪。

当威胁如此严峻，钓鱼相关的泄露可能导致组织面临数据被窃、毁损、财务损失、勒索软件部署以及声誉受损等严重后果时，公司自然会寻求解决方案。

钓鱼培训项目是一种流行的降低成功钓鱼攻击风险的手段。这类培训可能是年度一次，也可能是持续进行，通常要求员工观看教学材料，或在一段时间内收到培训合作伙伴发送的假钓鱼邮件，若点击了其中的可疑链接，则记录为未能识别钓鱼。

UC San Diego Health和Censys的研究人员指出，邮件主题对钓鱼邮件的成功率至关重要。例如，几乎没有人会点击“更新Outlook密码”的链接，而超过30%的受试者会点击冒充公司更新假期政策的链接。

钓鱼活动持续时间越长，员工点击欺诈链接的可能性越大——第一个月只有10%的参与者点击，到了第八个月这一比例已超过50%。

“综上所述，我们的结果表明，当前常见的反钓鱼培训项目在实际降低钓鱼风险方面几乎没有显著价值，”研究人员如此总结。

研究人员认为，现代网络安全培训缺乏参与度是主要原因，许多培训的参与时长甚至不到一分钟，或根本没有参与。当学习材料没有被真正阅读时，毫不奇怪不会产生任何效果。

为了解决这一问题，团队建议，为了在钓鱼防护上获得更好的投资回报，可以转向更具技术性的措施。例如，在终端设备上强制使用双因素或多因素认证（2FA/MFA），并仅在受信任的域名上允许凭证共享和使用。

这并不意味着钓鱼培训在企业中没有位置。我们仍需回归教学的基本原则，提升学习者的参与度。作为一名前教师，我建议可以采用桌面讨论、线下研讨会，甚至游戏化的方式，填补培训与实际效果之间的缺口。