研究显示：白费工夫，73%的员工随时被钓鱼

新的研究表明，大多数高管和员工认为他们能够识别网络钓鱼诈骗，但他们中的大多数人都错了。通常，网络犯罪分子无需入侵你的公司，他们只需诱使你点击错误的电子邮件。

Dojo对2000名英国员工和高管进行的一项新研究揭示了一个发人深省的事实：56%的人无法区分真实的电子邮件和网络钓鱼诈骗，尽管他们对自己的能力充满信心。而且不仅仅是基层员工，高管层人员也屡屡落入陷阱，尤其是针对AI设计的网络钓鱼攻击。

与此同时，网络钓鱼攻击的数量持续上升，2025年英国85%的企业受到攻击，比去年上升2%。然而，尽管威胁不断增加，超过四分之一（27%）的组织在高层仍将网络安全视为低优先级事项。

●53%的受访者未能识别出展示给他们的网络钓鱼邮件。

●高管们在识别来自Slack等商业消息应用程序和Dashlane等密码管理应用程序的合法电子邮件方面表现更佳：平均识别率为58%，而非高管员工的平均识别率为36%。

●90%的高管表示，他们有信心能够识别人工智能诈骗，但在实际测试中，66%的人却难以察觉。

●在测试批次中，只有38%的人能够识别出两封合法的电子邮件。

●47%的人在一封伪造的谷歌提醒邮件中忽略了危险信号。

●57%的人轻信了虚假的谷歌表格邀请。

●48%的人看不出虚假Dropbox消息存在的问题，尽管发件人使用了伪造的网址。

●总体而言，大多数人都被人工智能生成的诈骗手段所蒙骗：64%的非高管员工和66%的高级管理人员无法识别出人工智能生成的诈骗。

共有2000人接受了诈骗识别技能测试，其中包括企业高管和普通员工。

每个小组都收到了六封电子邮件：其中三封对两个小组来说是相同的，而另外三封则是根据他们的角色定制的。两个小组还收到了一封由人工智能生成的网络钓鱼邮件，以测试谁能识破骗局。

冒充Dropbox的网络钓鱼骗局

该调查使用了在ChatGPT帮助下编写的人工智能生成的诈骗电子邮件，这些邮件模仿了谷歌风格的提醒。它们包含虚假网址，营造出一种紧迫感，并促使员工下载文件。

尽管有明显的线索，以及像_no-reply_ @_google-alerts.com_ 或[email protected]_ 这样可疑的网址，但这个骗局还是成功骗过了64%的非高管员工。

员工们还接受了一次经典的CEO假冒诈骗测试，这是一种常见手段，网络犯罪分子会冒充高级管理人员，套取敏感的支付信息。

64%的非高管员工未能识别出人工智能生成的冒充首席执行官骗局中的危险信号。其中，应届毕业生最易受骗，68%的人误将虚假请求当作真实邮件。

这种骗局利用了紧迫性。诸如“快速签名”和“今天下班前”之类的表述，旨在对收件人施加压力。它还通过催促员工迅速行动，并让他们只通过电子邮件沟通，阻止他们进行核实，避免通过电话或当面核实而暴露欺诈行为。

Dojo的CISO Naveed Islam表示：“我们的研究发现，平均而言，接受调查的英国员工中有56%无法区分真实邮件和网络钓鱼邮件，只有一半的人能正确定义‘网络钓鱼’一词。”

据他介绍，这凸显了知识方面的巨大差距，而通过对人员进行投入并树立他们在防范网络钓鱼方面的信心，就可以弥补这一差距。他补充道：“如果不把保护数据和资金放在优先位置，投资的领域可能面临重大风险。”

冒充谷歌文档的网络钓鱼骗局

你可能会认为企业高管在识别网络钓鱼诈骗方面更敏锐，从某些方面来看，确实如此。在这项研究中，企业高管层受访者正确识别出Slack和Dashlane公司合法邮件的概率为58%，而非高管员工的这一比例仅为36%。

然而，三分之二（66%）的高管未能识别出人工智能生成的网络钓鱼邮件，尽管十分之九的高管表示他们对自己的识别能力很有信心。表现最差的是公司创始人，其中73%的人被ChatGPT撰写的诈骗邮件所骗。

冒充CEO电子邮件的网络钓鱼诈骗

据伦敦市警察局网络保护官员丹尼尔·霍顿称，最大的漏洞并非过时的软件，而是人。

“好莱坞电影中黑客疯狂敲击电脑键盘的形象与事实相去甚远——网络犯罪分子很少直接入侵系统，而是通过网络钓鱼和社会工程手段来攻击人们。”他说。

他强调，高达88%的网络安全漏洞可归因于人为失误。“无论是弱密码短语、不良的数字操作习惯，还是点击电子邮件中的链接。这就是为什么网络安全始于且终于你组织中的人员。”霍顿补充道。

●更明智地培训：不要局限于年度安全视频。进行逼真的网络钓鱼模拟，并教导员工查看电子邮件头，而不仅仅是留意拼写错误。

●对人工智能保持谦逊态度：每个人都觉得自己能识别深度伪造内容，直到自己无法识别。要假定每封收件箱邮件都是一个威胁源头。

●锁定电子邮件协议：使用基于域名的身份验证（DMARC、SPF、DKIM），并确保内部通信工具无法被伪造。

●保护一线人员：管理员、接待员和收款人员遇到的诈骗企图最多。给予他们最大程度的支持。