我認為您需要解決一個潛在的問題。 用戶為什麼要擔心自己失敗了？

網絡釣魚模擬首先應該是一種 教育工具 不是測試工具。

如果失敗會帶來負面影響，那麼可以，您的用戶會抱怨如果測試比準備的難度大。您也會抱怨。

因此，您的答案應該是：

• 對他們進行更多（或不同）的教育，以便他們 通過測試（或更確切地說，
• 消除失敗的負面後果

這可能不需要對教學材料進行任何內容更改，而只需要為用戶，管理人員和您的安全團隊重新設計網絡釣魚模擬。

另一種嘗試的策略是對網絡釣魚模擬進行分級，以便在用戶成功響應網絡釣魚後變得更加困難。我已經通過我的自定義程序做到了這一點。在後端，它更為複雜，但是如果您能做到，那麼收益是巨大的。

您的關注點必須是組織抵抗網絡釣魚攻擊的能力的不斷發展成熟，而不是讓所有人都處於完美狀態測試。一旦您採用了這種觀點，圍繞這些測試和抱怨的文化就會改變。

正確執行此操作，您的用戶將要求網絡釣魚模擬變得更更難 。如果您追求最終結果，那麼您將擁有一個更具彈性的組織。

我們一直在從最終用戶那裡撤回，他們無法區分他們每天會從真正的惡意網絡釣魚電子郵件中收到的合法電子郵件。

這表明受過訓練的安全專業人員可以將其根除為偽造品的測試正在用於評估不是這樣的人。您可能有技巧將電子郵件分開並解釋標題，但Accounting Accounting中的Dan可能沒有，他的管理層也不太可能同意RFC 822中的主類是對他時間的很好利用。

必鬚根據收集到的有關用戶和聲稱的發件人的情報來製作有針對性的電子郵件，以提高命中率。這不是網絡釣魚者應該掌握的信息，並且正如邁克爾·漢普頓（Michael Hampton）在其評論中指出的那樣，這些信息變成了魚雷。

如果有對手（真實的或潛在的）能夠充分利用魚雷來破壞您的業務，那麼所有網絡釣魚的對策和培訓都將無濟於事。您的工作是部署一些工具，這些工具將使Dan in Accounting能夠區分真假與偽造。這可能意味著發送端的安全性，例如加密簽名，當某些內容未簽名或簽名不匹配時，用戶的郵件客戶端可以檢查並發布突出的警告。您不能完全依靠人類來100％地做到這一點，尤其是隨著您的組織規模不斷擴大，人們之間彼此之間的了解也越來越之淺。

有一個可能的觀點使我沒有在其他答案中見過，但在現實世界中見過。

用戶說，他們“無法區分將收到的合法電子郵件每天從真正的惡意網絡釣魚電子郵件中刪除”。這可能會告訴您，有關密碼續訂，服務更改等的合法電子郵件不遵守用戶應遵循的規則。

我肯定看到組織的培訓材料告訴用戶不要這樣做。單擊電子郵件中的鏈接，絕對不要將其密碼放入這些鏈接所指向的站點，也不要從中安裝軟件。然後，這些組織的服務團隊會發送大量電子郵件，說明需要採取措施的服務更新（例如密碼更新，軟件安裝等），並附上有用的點擊鏈接。

一件可能有用的事情是以明確說明用戶應報告這些合法電子郵件。它可能無法直接幫助用戶，但可能有助於提醒服務團隊，他們的電子郵件必須遵守規則，從長遠來看，這應該使用戶更清楚。

1. 何時網絡釣魚教育發展得太遠？
ol>

當成本超過收益時。收益通常以較低的點擊率和真實的網絡釣魚電子郵件的報告率來衡量。成本可以通過以下方式衡量：

• 實施測試的努力
• （非）網絡釣魚電子郵件的誤報
• 降低合法用戶的參與率電子郵件
• 將發送給安全組。

最後一個是最難衡量的，通常被忽略，但是如果您的工作是欺騙自己的人，那麼當他們開始懷疑您時，您應該不會感到驚訝。 p>

1. 最終用戶的回覆是否表明他們的意識仍然缺乏，需要進一步培訓，特別是無法從惡意電子郵件中識別合法用戶？
ol>

嗯？

如果點擊率仍然很高，那麼人們的意識仍然不足，需要進一步培訓。

如果點擊-總體而言，通過率下降了，但是測試電子郵件始終在欺騙他們，因此他們對測試的擔憂可能是合理的。

聽起來您的內容非常適合用戶甚至他們的工作角色。這可能是產生負面反應的原因。理想情況下，網絡釣魚測試不應該依賴於對內部電子郵件行為的了解或理解，就像攻擊者不應該訪問這些電子郵件一樣。 （請注意，出於相同的原因，您的內部消息看起來不像外部消息）。

您可能需要考慮將網絡釣魚測試外包。致力於提供這項服務的組織對“野外”的外觀有更好的感覺，它們用於衡量和報告參與率的工具通常比您自己可以做的更好。

就個人而言，我不喜歡網絡釣魚測試，因為我認為它會侵蝕用戶與安全性之間的信任。但事實是，這是提高用戶防禦能力的最佳方法之一。

有一種方法可能會解決這個問題：

我們採用了高度針對性的策略，不僅基於用戶的工作角色，而且還基於此類員工可能提供的內容請參閱。

您需要問自己，公司的員工是否會實際上受到這種級別的欺騙性攻擊。如果答案是否定的，那麼您就太過分了。當然，這完全取決於小組的工作。如果是DNC，則答案為是。

您似乎在我們的安全專家中犯了一個非常常見的錯誤：您已經太多進入了攻擊者的心態，而您卻在努力地嘗試失敗

您的網絡釣魚活動應基於您的威脅模型和風險分析。您的員工是否有可能成為精心設計的魚叉式攻擊的目標，​​還是較高的風險是攻擊者俱有中等技能的，更常見的，無針對性的大規模網絡釣魚活動？

根據您的風險分析，發現您的員工非常不可能。您根本無法向管理層解釋為什麼要這樣做，而且看來您正試圖從顯得更聰明和“擊敗”常規員工中獲得更大收益。 （當然，您可以在專業領域中做到這一點，就像他們可以使您在預算，處理客戶投訴或供應管理方面不勝一籌）。

如果您願意 ，在威脅模型中使用高技能的魚叉式廣告系列，那麼您需要逐步升級並分多個步驟計劃一個廣告系列。因為您的目標是教導，而不是失敗和尷尬。因此，您可以做每位老師要做的事情：從簡單的基本練習開始，然後再從難度較高的練習開始。

示例

例如，在一個三步過程中，您將以容易被發現為偽造品的郵件開始，但也包含更難於看到的元素。當用戶正確地將其標識為網絡釣魚郵件時，您祝賀他們，然後指出所有線索，包括更好的隱藏線索。這是學習的一部分-他們會從發現的線索中獲得積極的強化，並教給他們錯過的其他線索。

在第二輪中，您發送的網絡釣魚郵件大致是針對性的（例如，發送到部門或職能部門），並且明顯的線索更少，難以發現的線索更多。至少有一半應該包括上一封郵件中講授的內容。再次，當用戶正確發現網絡釣魚企圖時，您要祝賀並指出所有線索，包括您引入的新線索。這樣可以加強，教授新的線索，並提高了人們的認識，即某些線索可能比用戶以前認為的要難得多。

在第三輪中，您發送了針對個人的郵件，沒有明顯的線索，但是至少，有一半的隱藏線索必須位於用戶之前所教過的場景中。再次，如果用戶正確識別，您會祝賀並突出顯示所有線索，以便他可以再次學習更多。

在某些情況下，如果用戶誤認了網上誘騙郵件，則您還指出所有線索，然後重複該步驟，直到得到為止。在學習者仍在為當前課程苦苦掙扎的同時，不要繼續上更困難的課程。

這方面的工作很多，但可以為員工提供更強大的支持和更大的參與度，最後您要為他們做。

“走得太遠”的問題需要背景。

網絡釣魚測試正在嘗試執行的操作是使人們懷疑自己的電子郵件，因為當他們不在時，他們將處於危險之中從根本上邀請未經授權的用戶進入網絡。

因此，不應有過多的電子郵件，以至於它們正在篩選已知的不良電子郵件，以找到需要處理的電子郵件，但通常應該足夠知道組織中有人在描繪攻擊者並試圖讓他們單擊錯誤的鏈接，因為組織外部已經有人在試圖使他們這樣做。

問題就出在當某人確實採取欺騙手段時，您是否為抓住他們而不是惡意行為者而感到高興？正如其他人在這裡提到的（我認為@BoredToolBox不應被否決），這是關於教育的問題。

如果您在問題的措辭中加上這一點，那麼我相信這並不是說“ 教育要走得太遠？”。是嗎？

在大多數組織中，可能做得太過分了，就是對單擊徹底的人的反應，尤其是在懲罰方面。當您是趕上行動的人時，您應該高興，因為這是您幫助用戶了解可能發生的事情以及為什麼執行此練習的機會。人們不應受到懲罰或羞辱。

想像一下，這是關於如何預防疾病在工人之間傳播的練習。一種致命病毒，它將潛伏直到找到合適的宿主，然後可能殺死所有人，但他們不知道該病毒是由隨機進入前門遞給他們包裹的人員傳播的。

我們有足夠的常識，知道不只是接受走進大樓的人的包裹，但是人們沒有看到的是這正是他們的電子郵件所發生的事情。因此，這是關於文化和觀念的改變，當您談論教育時，我真的看不出這方面的知識有什麼過分。

面對過類似的事情，目前是一支運行類似事情的團隊的一部分。這是我的兩分錢。

教育是一個非常棘手的概念，因為人們學習的方式因人而異。但是我所看到的是，如果您嘗試將要傳達的信息簡明扼要地以2-4點的方式傳達，那麼請盡可能少地使用這些信息，這總是有幫助的。在教育人員方面，我們會執行以下操作：

每當您收到組織外部某人的電子郵件時，都會詢問以下問題：

• 您個人是否知道此電子郵件ID ？
• 您是否對電子郵件ID和域名感到討厭？
• 您真的要單擊該鏈接還是要向此人提供您的個人信息？

最後，我們總是提到：

• 如果不確定，請將該電子郵件轉發至{email id，以驗證此} @@ {yourorg} .com

  1. 。由於他們所需要做的（我想）是忽略該電子郵件，或者將其轉發給您的內部安全團隊進行審查。
  ol>

我想這裡需要做的是更多關於教育的事情。因為員工需要知道成功的網絡釣魚不僅會傷害公司，而且也會傷害員工。

我不知道這是否適用於您的情況，但是一個潛在的問題可能是，如果您對用戶意識的期望高於所使用的安全規範。例如：

• 您可以教育用戶始終檢查https證書，但與此同時，某些內部網站可能使用自簽名或過期的證書，甚至要求通過以下方式提交用戶名和密碼：普通的未加密http。
• 或者您可以教育用戶所有正式的內部工具都位於您的公司域中，但實際上，您使用的是流行的第三方服務，例如與OAuth連接的Gmail或Slack。

雖然第一個示例是基礎架構的實際問題，但是第二個示例是安全實踐，並附有過時的建議。我已經看到，這兩種情況都是在野外發生的，在這種情況下，您嘗試教的原理無法應用於日常實踐中，並且最終可能導致混亂和不遵守。

我不確定您的組織規模如何，但是我可以提供的最實用的建議是，如果您過度考慮，您可能會走得太遠。-製作一些欺騙性電子郵件，將其發送給用戶，然後查看用戶的工作。

我們使用一種工具（KnowBe4）-對用戶進行一些試用，然後使用該工具來教育他們/使他們意識到。我們捕獲誰通過，誰失敗，並使用整個過程進行教育並演示我們所進行的教育。

不要用自定義定位來思考受眾群體；不要進行複雜的數據分析...如果您願意，則可能是在浪費時間來應對下一個挑戰。

如果您發現高管或某些人員有魚叉式釣魚，請親自並經常與他們進行交往，並可能要進行一些操作以確保他們被欺騙了。例如，通過更改操作，如果某人試圖讓您的CFO釋放電匯付款，則CFO最好有一個額外的製造商/檢查程序，或者獲得第二個非電子郵件確認（語音？），以確認電匯應該發送出去。

在我看來，這可能是兩個問題：

1. 用戶對他們經常受到抨擊感到沮喪，因為他們未通過他們認為不可能的測試。

2. 用戶很煩惱IT浪費了無休止的可疑價值測試。

ol>

RE＃1，那裡三種可能性：

A：您正在對用戶提出不可能的要求。至少，就您所要求的意義而言，這是不可能的，您必須證明它們具有復雜的水平，遠遠超出了非安全專家的合理預期。打個比方，合理地要求所有僱員準備進行基本的急救：戴上繃帶，給某人服用阿司匹林等。但是，您肯定不會期望所有僱員都能進行緊急心臟手術。如果您開始讓他們進行緊急心臟手術的練習演習，並對無法充分描述他們將如何植入支架或無法正確列出心臟移植中所有182步的僱員進行砲彈，顯然那是不合理的。提出不切實際的要求，然後指責員工未能滿足他們的要求，除了樹立怨恨和打擊士氣之外，什麼都做不了。

B：您的期望是完全合理的，並且員工沒有得到足夠的培訓。如果是這樣，顯而易見的答案是提供培訓。如果您從未提供過任何培訓，並且現在由於不了解員工從未接受過的培訓而斥責員工，那麼您又是不合理的。請記住，對計算機安全專業人員“顯而易見”的事情對於沒有這樣背景的人不一定是顯而易見的。我敢肯定，會計中有很多事情對專業會計師來說是顯而易見的，但對我而言卻不是，或者對汽車維修業來說，對於專業技師來說是顯而易見的，等等。

C：您的期望是完全合理的，並且員工過於懶惰或不負責任，無法做出努力。如果是這樣，那就是管理問題。有人必須給員工適當的動力，使其更努力地工作，其範圍從鼓舞人心的鼓舞人心的講話到解僱那些不遵守規定的人。

RE＃2：當我在空軍時，當然，安全是一個主要問題。我們有想要摧毀我們的飛機並殺死我們的人。但是即使在這種極端情況下，安全人員也清楚地知道，更嚴格的安全性並不總是最好的。標準是安全性應盡可能有效，以應對現實風險，同時盡可能減少對工作人員的干擾。

在這種情況下，如果某些敵對的黑客掌握了密碼並竊取或破壞了您的數據，那當然是一件壞事。這可能會花費您大筆資金，甚至可能使您倒閉。但是，除非威脅是巨大的，否則您不能指望員工花費90％的時間來抵禦威脅，而只有10％的員工從事能夠為公司帶來收入的工作。這也是破產的秘訣。您必須在防范威脅與使任何人無法履行職責之間取得合理的平衡。

我懷疑您的模擬使用的是關於目標目標的知識，而真正的網絡釣魚者永遠不會知道。因此，他們抱怨您的假貨很難與真品區分開。簡而言之，您是作弊。