Google 安全经理 Matt Linton 通过官方安全博客发表博文,认为企业没必要用假的钓鱼邮件去训练员工,因为钓鱼邮件测试并不会增加员工抵抗钓鱼邮件的能力。为了满足美国政府的安全合规要求,企业会向员工发送模拟的钓鱼邮件,如果员工上当他们将需要参加安全方面的学习。以 Google 为例,如果员工点击了模拟钓鱼邮件,他们会被告知未通过测试,需要参加安全培训。Linton 指出,没有证据表明此类测试能减少钓鱼邮件的成功率。 2021 年的一项为期 15 个月的研究结论认为,钓鱼测试不会让员工对钓鱼邮件更有抵抗力。
https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html