據統計， 2019 年 94% 的惡意軟件來自電子郵件，32% 的安全漏洞包括網絡釣魚，盡管在過去一年中中小企業應對漏洞甚至零日攻擊的方式有了很大改進，其結果是攻擊者正在將攻擊重點從操作系統轉移到遠程控制工具和顧問，并轉向針對用戶的網絡釣魚攻擊。

企業通過使用“修補人類”網絡釣魚攻擊模擬來應對這一變化，但這些通常是無效的，有時甚至是不道德的。該系統可以通過員工培訓來保持安全，但網絡釣魚誘餌需要牢記外部問題，設計的重點是培訓員工而不是羞辱他們。

未通過網絡釣魚模擬的員工表明，他們所在的公司在培訓和保護他們方面的努力失敗了。教育需要成為一種持續的強化技術才能取得成功，而不僅僅是引起公眾注意并導致事故的事件。除非有適當的使用準備，否則網絡釣魚模擬活動不會成功，因此公司在測試員工之前了解他們需要提供或教授的內容非常重要。

解釋攻擊者的動機和技術

在開始網絡釣魚模擬測試之前，攻擊者需要了解基于特定行為和主題攻擊用戶的概念。攻擊者應該了解人們真正想要的信息類型。在過去的一年中，真正的攻擊者使用了基于從大流行到美國大選的一切事物的網絡釣魚誘餌。

應該對用戶進行教育，讓他們知道任何可能被用作網絡釣魚誘餌的新聞，并且不要相信電子郵件鏈接中的新聞，并避免訪問提供此類新聞的網站。

強密碼是必不可少的

攻擊者使用此類站點作為誘騙用戶輸入身份驗證數據的一種方式，解釋密碼策略處理這種情況的方式很重要。這已經接近認證信息管理的臨界點，一種長期存在的保護認證信息的過程方法是確保信息經常更改。

但是，這種方法會導致身份驗證信息疲勞，目前使用的其他保護措施包括雙因素身份驗證和根本不使用密碼的技術。公司必須確保用戶了解這些變化，這一點很重要。

可信鏈接

應教導用戶使用少量可信鏈接并避免點擊電子郵件中包含的鏈接。例如，如果用戶收到一封電子郵件，指示他們更改密碼，則應通過已建立的鏈接而不是該電子郵件中包含的鏈接來更改該密碼。

對于管理員來說，擁有一個他們信任的管理工作站同樣重要。網絡管理員可能需要點擊各種管理鏈接，使用書簽進入管理門戶是個好主意。僅通過受信任的位置打開此類鏈接很重要。使用專用于該功能并受到充分保護的工作站，或使用遠程訪問。

識別惡意鏈接

應該教導用戶只訪問以標準 HTTPS 開頭的鏈接，永遠不要訪問僅使用 HTTP 的未受保護的站點。即使是專家也會發現很難檢查 SSL 證書是否真正合適并鏈接到正確的根證書，因此可以為用戶做的最好的事情就是教他們檢查站點是否帶有掛鎖符號和站點證書。另一種確保合規性的方法是使用強制使用 SSL 的瀏覽器工具。

需要教用戶在單擊鏈接之前將鼠標光標懸停在鏈接上，因為即使您在電子郵件軟件中打開了防火墻或鏈接過濾，用戶仍然應該知道如何檢查電子郵件中的鏈接。

結論

應定期運行隨機模擬網絡釣魚攻擊，但需要采用該過程來教育員工而不是責備他們。除了檢查您的防火墻的能力之外，這些服務還有助于測試您公司的電子郵件防御能力，確定網站防御漏洞并測試和詳細說明勒索軟件、間諜軟件、病毒和蠕蟲等惡意軟件如何在您的設備中傳播，以及您的安全解決方案的任務是檢測和防止惡意軟件的傳播。