人口因素

年龄

• ｛E｝在绘制网络钓鱼易感性模式方面，实验结果并不是决定性的[Mohebzada 2012]。

• {E｝在大学环境中，学生、教师和工作人员之间的网络钓鱼易感性没有发现显著差异[Damija 2006]。

• 印第安纳大学487名18-24岁的学生中，｛E｝72%在一项实验中成功钓鱼。

• {S｝18-25岁的人更容易受到网络钓鱼的影响[Seng 2010]。

• {I｝1

• ｛I｝2

• ｛I｝24

性别

• ｛E｝男性和女性在最初的网络钓鱼攻击中同样受到欺骗，男性在第二次攻击中更有可能点击网络钓鱼链接，也更有可能提供个人信息：在绘制网络钓鱼易感性模式方面，结果并不是决定性的[Mohebzada 2012]。

• {E}女性对数字通信感到更自信，可能更倾向于回复带有商业优惠或奖品的电子邮件[Halevi 2013]。

• ｛E｝女性比男性更容易受到网络钓鱼的影响[Halevi 2013]。

• {S｝女性比男性更容易受到网络钓鱼的影响；可能的原因是女性的技术经验比男性少[Seng 2010]。

• ｛D｝6

• {D｝9

文化

• ｛E｝在阿拉伯联合酋长国美国沙迦大学抽取的10917名学生中，8.74%的学生被网络钓鱼攻击[Mohebzada 2012]。

• ｛E｝学生比教职员工更容易受到网络钓鱼攻击，针对网络钓鱼企图的警告通知基本上被忽视，用户很难识别网络钓鱼计划[Mohebzada 2012]。

• ｛E｝在沙特阿拉伯参加一项研究的200名学生中，有7%的人回复了钓鱼电子邮件[Alseadoon 2012]。

• ｛E｝发表的各种研究结果显示，西方文化中的网络钓鱼响应率在3%至11%之间，这表明网络钓鱼易感性的文化差异很小（如果有的话）[Damija 2006，Jakobsson 2006，Knight 2004，Mohebzada 2012]。

个性特征

• ｛E｝神经质与回复钓鱼电子邮件计划的相关性更高[Halevi 2013]。

• {E}开放性有助于社会工程易感性[Alseadoon 2012，Halevi 2013]。

• ｛E｝规范承诺更高、更信任、更服从权威的人更有可能屈服于社会工程【Workman 2008】。

• ｛E｝低水平的尽责性预示着工作场所的异常行为，如违反规则或行为不负责任[Salgado 2002]。

• ｛E｝回复钓鱼电子邮件代表判断错误，可能是由于某些情绪偏见造成的；为了验证这一假设，进行了一项研究，发现了与网络钓鱼相关的性格特征，但仅适用于女性[Halevi 2013]。然而，在100名参与者中，只有17名是女性，因此可能的抽样错误可能会对结果产生一些怀疑。

• ｛T｝外向型可能导致网络钓鱼漏洞增加[Parrish 2009]。

• ｛T｝由于开放性与技术经验和计算机熟练程度有关，开放性得分高的人可能不太容易受到社会工程攻击[Parrish 2009]。

• {T}随和可能是最常与社会工程易感性相关的人格因素，因为随和的人有信任、利他主义和顺从的倾向[Parrish 2009]。

• ｛T｝更高水平的尽责性将使个人更有可能遵守培训指南，而不太可能违反安全政策[Parrish 2009]。

• {D} 6

• {D} 14

组织因素

安全系统、策略和做法不足

• ｛E｝许多人不知道网络钓鱼攻击[Mohebzada 2012]。

• ｛S｝接受反钓鱼教育可能会对网络钓鱼的易感性产生很大影响[Seng 2010]。

• ｛E｝难以理解或使用的系统会被用户负面感知，不太可能被使用【Venkatesh 2003】。

• ｛T｝易用密码不安全，但安全密码不易使用[Zurko 1996]。

• 对于普通计算机用户来说，安全措施往往是困难和令人困惑的，安全系统的困难导致的错误可能会产生严重后果[Whitten 1999]。

｛D｝5

｛D｝24

｛I｝1

｛D｝7

｛D｝28

｛D｝8

｛D｝9

｛D｝11

｛D｝20

管理和管理体系不足

• ｛E｝人们不了解网络钓鱼威胁的性质或如何识别社会工程计划[Damija 2006，Mohebzada 2012]。

• ｛S/E｝能够正确定义网络钓鱼的用户在角色扮演场景中不太容易受到网络钓鱼攻击，有网络钓鱼网站经验的参与者也不太可能点击网络钓鱼链接[Downs 2007]。

• ｛T｝当前的反盗版工具可能无法检测到实施良好的恶意网站[Erkkila 2011]。

工作压力（时间因素/截止日期、任务难度）

• ｛E｝在大量电子邮件的情况下，用户更有可能对钓鱼电子邮件作出回应[Vishwanath 2011]。

• ｛E｝即使是训练有素的个人，时间压力也会对其表现产生负面影响[Lehner 1997]。

• ｛E｝繁重和长时间的工作量会导致疲劳，这不仅会对简单任务的表现产生不利影响，还会对更复杂的任务产生不利影响[Soetens 1992]。

• ｛E｝工作场所的压力源往往会对人类表现产生负面影响，并增加错误，这是由认知效应引起的，如注意力缩小（注意较少的线索）[Houston 1969，Stokes 1994]和工作记忆能力降低[Davies 1982，Hockey 1986，Wachtel 1968]。

人为因素

缺乏关注

• ｛E｝用户不注意钓鱼电子邮件中使用的来源、语法和拼写；相反，他们过分关注紧迫性提示[Vishwanath 2011]。

• ｛E｝钓鱼电子邮件中的四个提示可能会引起个人的注意：主题行或标题、电子邮件来源、紧急提示、语法和拼写[Vishwanath 2011]。

• ｛E｝地址栏和状态栏中可能会遗漏提示[Damija 2006]。

• ｛T｝用户可能没有注意到或阅读安全警告或其他安全指示灯，也没有注意到当他们应该在场时没有安全指示灯（例如，状态栏中的挂锁图标）[Erkkila 2011]。

• ｛T｝即使反盗版工具在技术上可行，用户大多会忽略它们，因此效率低下[Erkkila 2011]。

• ｛S/E｝人们往往更喜欢网站内容中的提示，而不是更权威的工具。警告和工具栏可能使用通常不被理解的术语[Downs 2006]。

• {E}在22名参与者中，有23%的人忽视了基于浏览器的安全提示（地址栏、状态栏、SSL挂锁图标），导致40%的人选择错误[Damija 2006]。

• {E}钓鱼者实施的视觉欺骗甚至可以欺骗最老练的用户[Damija 2006]。

• ｛E｝成功的钓鱼电子邮件的一个特点是紧迫感[Milletary 2005，Chandrasekaran 2006]。

缺乏知识/记忆力衰退

• ｛E｝用户对区分真实和虚假错误消息的设计不一致性缺乏了解[Sharek 2008]。

• ｛E｝用户几乎没有意识到点击虚假弹出窗口的潜在风险[Sharek 2008]。

• {T}用户对互联网和计算机系统的总体结构缺乏基本了解[Erkkila 2011]。

• ｛E｝｛S｝关键因素是缺乏关于计算机系统和安全功能（例如挂锁图标）的知识，以及缺乏对URL/域语法和互联网基础知识的理解[Damija 2006，Downs 2006]。

• ｛S/E｝用户较少意识到旨在直接从他们那里获取信息的社会工程攻击[Downs 2006]。

• ｛E｝关键知识元素是关于安全功能的知识和对URL/域名语法的理解[Damija 2006]。

• {I} 2

• {I} 1

• {I} 27

• {I} 9

• {I} 10

错误的推理/判断

• ｛T｝用户倾向于忽视威胁，认为威胁不太可能发生[Sandouka 2009）]。

• {T}用户低估了社会工程师的能力，他们通常认为组织安全系统在设计上非常安全[Sandouka2009]。

• ｛T｝用户受到销售人员的鼓励，即“客户永远是对的”，这使社会工程师能够操纵友好、乐于助人的管理员或服务台[Sandouka 2009]。

• {E}人们的决定往往是有偏见的，并且不是纯粹合乎逻辑的[Cahneman 1979]。

• ｛E｝对弹出消息的不满可能会导致用户点击虚假弹出窗口[Sharek 2008]。

• ｛T｝用户可能认为他们不需要冗余的安全功能，这些功能会减慢他们的工作速度，并且互联网中的安全风险被过度炒作[Erkkila 2011]。

• ｛T｝依赖习惯来处理电子邮件中的网络钓鱼线索的用户在认知上处理邮件的深度不够，无法检测到一些相当明显的线索【Watters 2009】。

• {E}用户认为电子邮件比网页更狡猾，网页比电话更狡猾[Jakobsson 2007]。

• ｛I｝6

风险承受能力/风险感知

• ｛E｝向用户发送的针对网络钓鱼企图的警告通知基本上被忽视[Mohebzada 2012]。

• ｛E｝更多参与Facebook活动的人的隐私设置限制较少[Halevi 2013]。

• ｛S｝参与者越厌恶风险，他或她陷入网络钓鱼的可能性就越小[Seng 2010]。

对合规性的随意价值观/态度

• {S}员工的态度、规范信念和习惯是遵守信息系统安全政策的主要决定因素[Pahnila 2007，Bulgurcu 2010]。

• ｛S｝制裁并没有显著影响员工的合规意愿，奖励也没有对实际合规产生显著影响[Pahnila 2007]。

• ｛S｝对后果进行全面评估的信念是态度的直接前因；因此，激励员工遵守信息系统安全政策的因素超出了制裁和奖励[Bulgurcu 2010]。

• ｛S｝合规成本的影响与合规效益和不合规成本的影响力一样大[Bulgurcu 2010]。

• ｛S｝在组织内建立一种安全意识文化将提高信息安全[Bulgurcu 2010]。

压力/焦虑

• ｛E｝即使是训练有素的个人，时间压力也会对其表现产生负面影响[Lehner 1997]。

• {T}工作压力对员工绩效产生负面影响[Leka 2004]。

身体状况受损

• ｛E｝一项神经认知障碍研究报告称，在进入为期14天的药物滥用住院病房的患者中，约有三分之二的患者神经认知能力受损；最常受损的功能领域包括注意力、记忆、计算、抽象、遵循复杂命令的能力和视觉空间技能[Meek 1989]。

• ｛P｝滥用药物和酒精可能与生产力下降等问题有关[HealthyPeople.gov 2013]。

• {E}多巴胺在冒险者的大脑中更为普遍，或者他们的多巴胺抑制受体更少[Zald 2008]。

• ｛E｝多巴胺在人们承担的风险中起着一定作用【Park 2008】。