谷歌研究报告:企业发送钓鱼邮件“测试员工应急能力”多此一举,反而有害
据悉,许多公司会在这种测试中制作一批钓鱼邮件,并在邮件链接中安下“炸弹”以监测哪些员工点击了邮件中的链接或下载了附件,这些员工随后会被要求进行“强化培训”。但谷歌安全经理 Matt Linton 指出,这种类似火灾演练的测试实际上有很多负面影响,只会增加员工困扰及信息安全部门的工作负担。
Matt Linton 表示,目前没有证据表明这类测试有助于减少企业被钓鱼邮件攻击的概率,哈迈百科从报告中获悉,以谷歌自身为例,尽管这些年实施了大量钓鱼邮件测试,但还是有不少员工点击了黑客发送的钓鱼邮件。
而从技术层面而言,为了进行钓鱼测试,企业 IT 管理员需要降低系统权限,建立“放水”的群发邮件白名单,如果这些白名单不慎落入真正的黑客手中反而增加风险。
研究人员还表示,这类测试大幅增加了信息安全部门的工作负担,这是因为群发邮件及记录用户行为的成本反而占用公司相关部门的时间和操作带宽。此外,员工还有可能因为公司信息安全部门“戏弄”他们而降低信任,造成“狼来了”情况,从长远来看不利于公司的安全性。