洞察员工易受钓鱼邮件攻击的“五大”潜在因素

前言

网络钓鱼邮件已成为网络安全领域最常见的威胁，其实质是一种精心设计的欺诈性电子邮件，其意图是通过模仿合法邮件诱骗收件人泄露其个人及企业的敏感信息(如：账号密码、财务信息、敏感数据等)或安装恶意软件。钓鱼邮件通常是更复杂网络攻击的初始阶段,利用各种心理因素和社会行为来规避传统邮件安全防护措施，往往以紧急信息(制造紧迫感)的形式出现，看似来自可信赖的来源(营造信任感和熟悉性)，仿冒官方或领导身份(利用权威性)，以促使收件人立即采取行动（利用恐惧和焦虑）。钓鱼邮件的操纵性本质在于通过社会工程学技术，利用人类的心理弱点、性格特质缺陷，以及一系列认知偏差和行为漏洞等，绕过用户的理性大脑和认知防御，对个人和组织都构成重大威胁。

本文重点探究了导致用户(员工)易受网络钓鱼攻击的诸多因素，尤其是“人的因素”，研究表明人口统计学因素（用户的个人特征、知识与技能等）、心理特征（情绪状态）、行为倾向（日常行为习惯）、情境因素（时间压力、分心等）以及钓鱼邮件自身的特定属性（邮件的技术特点）等在钓鱼邮件易感性方面起着关键作用，这些因素使得网络钓鱼邮件攻击能够得逞。

本文有助于组织设计“以用户为中心”的安全机制，更准确地预测和识别容易受网络钓鱼攻击的关键因素和用户群体，从而为更有针对性地实施安全培训、干预措施和防护策略提供有价值的见解。

用户(员工)易受网络钓鱼攻击的潜在因素

（一）人口统计学因素：指的是人口的统计特征，如年龄、性别和受教育程度等，这些因素会不同程度地影响用户对网络钓鱼攻击的易感性。研究表明：年轻人和老年人可能比中年人更容易中招钓鱼攻击。年轻人更熟悉信息技术，但这可能会让他们对自己的网络钓鱼识别能力过于自信，从而导致更冒险的网络行为。相反，老年人可能缺乏识别网络钓鱼所需的数字技术熟练度(技术技能较低，缺乏识别欺诈性邮件的经验或知识)，因此沦为攻击者的主要目标。性别差异也在网络钓鱼易感性中起到一定作用，研究显示，女性通常更谨慎，可能比男性更不容易成为钓鱼邮件的受害者。此外，受教育程度较高的用户通常更善于识别钓鱼邮件，因为他们更多地接收到有关网络威胁与防范的相关信息。

（二）心理因素：心理因素在钓鱼邮件的易受骗性中起着重要作用，因为攻击者常常利用常见的认知偏差和情感触发因素来操纵用户。关键的心理因素包括信任和权威，钓鱼邮件常常冒充权威人物或受信任的组织以获取可信度。恐惧和紧迫感也是常见的手段，因为引发恐惧或紧迫感的信息会促使用户迅速行动，而不会仔细思考和评估邮件的合法性。此外，贪婪和好奇心也会诱使用户与这类邮件互动，因为它们承诺会有经济收益、奖励或其他形式的回报。

（三）行为倾向：日常做法和行为习惯也起着关键作用，那些习惯于不加审视就点击邮件中的链接或打开附件的用户，更容易落入钓鱼邮件的圈套。此外，那些对于网络钓鱼攻击原理、技术及相关风险缺乏认知的用户，也更容易受到攻击。

（四）情境因素：指的是影响用户受骗点击钓鱼邮件可能性的各种情境条件。时间压力是一个重要因素，因为处于时间限制下的用户可能不会花时间仔细评估邮件的合法性；分心也会起到关键作用：多任务处理时或无法集中注意力而未关注细节时，会降低用户识别钓鱼邮件线索的能力。另一方面，所使用的设备类型，比如屏幕较小的手机，可能会使用户更难注意到钓鱼邮件的迹象。此外，组织环境，包括组织的文化和安全实践，也会对用户的钓鱼邮件易受骗程度产生影响。

（五）以往经历：用户以往遭遇网络钓鱼的经历会使其对钓鱼邮件的易感性产生显著影响。那些过去曾遭遇过网络钓鱼攻击并从中吸取教训的用户通常会更加警惕，也更有能力识别网络钓鱼的线索。这种经验学习能够提升其识别能力，并在处理可疑邮件时更加谨慎。另一方面，那些曾因钓鱼邮件而遭受损失的用户可能会对电子邮件通信更加谨慎和保持适度怀疑态度。然而，如果之前的经历是负面的，并且造成了重大损失，这可能会导致他们产生恐惧和焦虑，从而影响其判断力，使其更容易受到未来的攻击。因此，以往经历的性质以及对钓鱼邮件的反应，在影响用户对网络钓鱼的易感性方面起着关键作用。

防范网络钓鱼：安全意识、培训与演练

对上述所有因素的洞察，突显了网络钓鱼攻击的多面性。这种理解对于组织制定有效的应对措施、缓解策略和教育策略，以增强员工抵御网络钓鱼威胁的能力至关重要。

例如，新员工、年轻员工或技术技能较低的年长员工可能更容易成为钓鱼邮件攻击的受害者，因为他们可能缺乏识别欺诈性邮件的经验或知识。这突显了针对不同人口统计学群体的特定脆弱性量身定制安全意识与培训计划的重要性。

除了人口统计学因素外，诸如冲动性、信任度、认知偏差和情绪反应等心理特征因素，对员工与钓鱼邮件的互动方式有显著影响。表现出更高信任度或情绪脆弱性的员工可能更容易成为钓鱼邮件的受害者，因为他们更容易被这些欺骗性信息所营造的紧迫感或合法性所操纵。这突显了在安全意识与培训计划中关注心理因素的必要性，例如，将管理情绪反应和提升批判性思维能力结合起来，能够更好地帮助员工识别并抵御钓鱼邮件攻击。此外，倡导一种适度质疑的精神，并鼓励对发件人及邮件内容进行信息核实，能够显著降低钓鱼攻击的威胁。

另外，员工的行为倾向也是一项关键因素。员工过去遭遇钓鱼攻击的经历（先前经验与自我效能感），习惯性的邮件使用与处理行为以及对网络安全威胁的认知水平，对其易受攻击程度产生显著影响。例如，曾遭遇过钓鱼邮件的人可能会提高警惕性，而那些对这类威胁认识不足的人则可能继续做出高风险的行为。这表明持续性、常态化开展安全意识与培训计划，制定有效的干预措施纠正员工的不良风险行为并鼓励员工采取更安全的网络行为，以及长期性打造组织网络安全文化的重要性。

通常，安全团队在开展网络安全意识与培训计划的同时，还会向员工发送钓鱼模拟邮件，通过模仿现实世界中的网络钓鱼攻击手段，包括欺骗性链接、二维码和附件等，以测试和评估员工的钓鱼邮件上当受骗可能性，以及对不同复杂程度的钓鱼邮件威胁的防范意识和应对能力。其主要目的是通过向在模拟攻击中中招的员工提供即时反馈和安全培训，教育员工识别并避免钓鱼攻击。这种主动的方法有助于提升组织的整体安全态势，降低钓鱼攻击成功的可能性。此外，钓鱼模拟演练还能预测和识别出组织内的“薄弱环节”~易受攻击的个人或部门，从而制定更全面的、有针对性的和个性化的安全意识与培训计划，并制定更有效的干预策略与防护措施，从而提升组织的整体网络安全水平。

声明：本文来自超安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。