Google指企業發釣魚信件測試員工反而有害

許多企業常在發送釣魚信件以測試員工對此類威脅的警戒，但Google專家卻警告，這作法害處多過好處，包括勞民傷財及效果不彰。

一些企業IT或資安部門會對員工發送釣魚信件，目的在提高員工資安防護意識。Google則是根據美國聯邦風險與授權管理計劃（FedRAMP）規定，由資安部門實施釣魚信件測試。在這類測試中，公司製作並對員工發送釣魚信件，再監測有誰對此類信件有回應，例如點擊信件中的連結或下載附件，這些員工就會被要求「加強教育」。但Google安全事件經理Matt Linton指出，這種類似火災演練的測試，實則有很多負面影響，包括沒有實質效果、繞過正常防護機制，而且增加員工困擾及資安部門工作負擔。

其一是沒有證據顯示這類測試有助於減少釣魚信件攻擊成功率。從結果來看，釣魚郵件測試實施這幾年來，釣魚信依舊是駭客駭入內部網路的首要方法，而且研究顯示，會中計的人仍然持續中計。其二是一些釣魚測試會繞過或降低系統控制，甚至美國FedRAMP指引要求企業IT部門這麼做。後果是讓測試人員刻意不模仿真正的駭客攻擊手法，或建立放水的白名單，後者若不小心落在真正駭客手裏反而造成風險。

研究人員還說，這類測試大幅增加資安部門的工作負擔，因為用戶誤點信件的警報並沒有用處，反倒占住他們寶貴的時間及作業頻寬。此外，員工可能因為公司資安部門「玩弄」他們而降低信任，長期而言不利公司安全防護。最後，一些具有多個產品線的大型企業員工，這些測試可能相互重疊，導致重覆作業，影響生產力。

Linton建議，教育員工辨識釣魚信件及社交工程、並主動回報，可讓資安團隊早一步採取回應措施。但和防火安全訓練一樣，測試前應預先公告而非突擊測試，因為訓練才是重點，而不是驚嚇與欺騙。

他並提醒演練中應讓員工練習通報，並且蒐集有用資料，像是完成測試的用戶數、開啟郵件和通報時間間隔、通報提升到資安小組的時間點，以及信件發出後1、4及24小時通報的案件數。