![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科半数职场员工难辨钓鱼陷阱,盲目自信成最大安全漏洞](https://www.anquan114.com/wp-content/uploads/2025/05/20250528115536850-image-1024x295.png)
最新研究显示,尽管多数高管和员工自信能识别钓鱼诈骗,但实际判断错误率极高。网络罪犯往往无需入侵公司系统,只需诱导员工点击恶意邮件即可得手。
网络安全公司Dojo对2000名英国员工和高管的调研揭示令人警醒的事实:56%的参与者无法辨别真实邮件与钓鱼诈骗,尽管他们普遍对自身识别能力高度自信。这种现象不仅存在于基层员工——高管群体同样容易中招,尤其面对人工智能生成的钓鱼攻击时。2025年英国企业遭遇钓鱼攻击的比例已达85%(较去年上升2%),但仍有27%的企业高层将网络安全视为次要事务。
核心数据披露
- 识别能力缺陷:53%受访者未能识别测试中的钓鱼邮件;仅38%能准确挑出测试组中两封真实邮件
- 高管表现矛盾:识别商业通讯工具(Slack)和密码管理应用(Dashlane)真实邮件的正确率达58%(远超普通员工的36%),但66%高管未能识破AI生成的钓鱼邮件(尽管90%自称有信心)
- 经典诈骗漏洞:47%未发现虚假Google警报邮件的危险信号;57%误信伪造的Google表格邀请;48%未察觉伪造Dropbox消息的虚假网址
- AI诈骗成功率:64%普通员工和66%高管被AI生成的诈骗邮件欺骗
测试方法
研究团队向2000名参与者(含高管与普通员工)发送六封邮件:三封为通用内容,三封针对不同职级定制,并额外加入AI生成的钓鱼邮件进行测试。
AI诈骗技术升级
测试采用ChatGPT生成的钓鱼邮件,模仿Google警报风格并植入虚假网址(如no-reply@google-alerts.com),制造紧迫感诱导下载文件。这类邮件成功欺骗了64%普通员工。经典CEO诈骗手段同样有效:64%员工未识破伪造高管邮件,其中应届毕业生受骗率高达68%。诈骗话术强调“加急签署”“今日截止”等时间压力,刻意阻止收件人通过电话核实真伪。
高管群体漏洞
创始人群体表现最差,73%被AI生成的诈骗邮件欺骗。Dojo首席信息安全官纳维德·伊斯兰指出:“56%英国工作者无法区分钓鱼邮件,仅半数能正确定义‘钓鱼攻击’概念,这暴露了认知鸿沟。若不优先保护数据资产,企业投资将面临重大风险。”
人为因素成最大弱点
伦敦市警察局网络保护官丹尼尔·霍顿强调:“影视剧中黑客疯狂打键盘的画面纯属虚构——罪犯极少强攻系统,而是通过钓鱼攻击和社会工程学针对人。”他指出高达88%的安全漏洞源于人为失误:“无论是弱密码、不良数字习惯或误点邮件链接,网络安全始终始于人也终于人。”
企业防护建议
- 强化培训:超越年度安全视频形式,实施逼真钓鱼演练,培训员工查验邮件信头而非仅依赖拼写错误识别
- 警惕AI威胁:勿轻信“能识别深度伪造”的自信,需默认所有收件箱均为威胁载体
- 锁定邮件协议:采用基于域名的认证机制(DMARC, SPF, DKIM),确保内部通讯工具无法被仿冒
- 重点防护前线:为频繁接触诈骗尝试的行政、接待及财务人员提供专项支持
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容