魔鏡魔鏡，誰是網絡釣魚最易上鉤的人

“我，秦始皇，打錢。”

經典的電信騙術已鮮少有人上當，但內核邏輯相似的網絡釣魚卻仍是黑客屢試不爽的攻擊手段。至于在大規模的網絡釣魚攻擊中，哪些人才是更容易中招的“衰仔”，近期的一份研究報告給出了不一樣的答案。

找到最易上鉤的“魚”

蘇黎世聯邦理工學院與第三方公司合作進行了一項為期15個月的大規模網絡釣魚調查研究。期間以14733名參與者為樣本，通過常規工作電子郵箱發送模擬的網絡釣魚電子郵件，部署電子郵件客戶端按鈕的方式，測試參與者對可疑電子郵件的識別能力。

具體說來，這項研究有四個明確的目的，首先就是研究哪些員工容易被網絡釣魚？培訓和警告的有效性到底如何？個體是否可以做些什么提高網絡釣魚檢測能力？以及漏洞如何隨時間演變？

經過一年零三個月的測試，最終蘇黎世聯邦理工學院的研究人員得到了一些意想不到的結果。

中招與否無關性別

與多數統計數據一樣，研究人員在研判哪些員工更容易被網絡釣魚時，首先想到的就是性別，但從參與者那里統計到的數據卻證明性別與網絡釣魚易感性無關。

也就是說，僅從性別上來看，并不能判別出誰在網絡釣魚攻擊面前更容易中招。反倒是在年齡上有一定的差異。研究結果顯示，年輕人和老年人更容易點擊網絡釣魚鏈接，以及與那些不需要計算機來完成日常工作的人相比，使用專門軟件執行重復性任務的人更容易陷入網絡釣魚陷阱。

近1/4重復點擊率

看別人排雷都是理論高手，輪到自己上陣，那就不一定了。在這份研究中，有一項名為“重復點擊者”的數據顯示，30.62%的人打開模擬網絡釣魚電子郵件，點擊了其他電子郵件。此外，在執行危險操作（啟用宏、提交憑據）的人員中，有23.91%的人執行了不止一次。

經過反復測試，研究人員還發現，32.1%的研究參與者點擊了至少一個危險鏈接或附件，簡單說來就是不斷暴露于網絡釣魚的測試參與人員最終會陷入網絡釣魚。如果從安全防護的角度出發，即使是對釣魚郵件攻擊高敏感的普通人，在頻繁遭遇釣魚郵件攻擊的情況下，依然會大大提高中招的概率。

有效的電子郵件安全和反網絡釣魚過濾器，是十分必要的。

發揮個體能動性

前文中，有提到研究人員在參與者電子郵件上配備了一個“報告網絡釣魚”的按鈕。在測試期間，90%的員工報告了6封或更少的可疑電子郵件，用戶報告網絡釣魚的準確率為68%，垃圾郵件的準確率為79%，而最多產的報告者的準確率超過80%。比例如此之高的數據，也說明在網絡釣魚攻擊面前個體是可以發揮一定效果。

如若付諸實際，會發現利用全公司范圍內安全意識較高用戶的眾包網絡釣魚檢測服務的方式，不僅可以降低網絡釣魚攻擊的威脅，還可以降低檢測系統的工作量，不失為一種抵御網絡釣魚攻擊的好方法。

寫在最后

一直以來，網絡釣魚都是一種典型常見的欺詐式攻擊，偽裝成真實的人、系統或者企業的攻擊者總能通過廣撒大網的電子郵件，輕而易舉地捕獲想要的目標。由于個體巨大的差異性，很難輕易地斷定那些因素導致受害者中招，但蘇黎世聯邦理工學院的研究雖不能作為防御網絡釣魚攻擊的普適性原則，卻給了我們帶來了一些新的思考角度。

在越發依賴安全解決方案的今天，人本身的識別安全風險的能力，也許不該被忽略。