總結：

●   IEEE計算機協(xié)會近期研究指出，反詐和反釣魚訓練實際上效果甚微。

●   生成式人工智能的興起，使得個人更難分辨信息的真?zhèn)巍?/p>

●   理想情況下，企業(yè)應采取分層策略，將現(xiàn)代化培訓方法與技術手段相結合。

超過90%的成功網(wǎng)絡攻擊都始于釣魚郵件。企業(yè)每年投入數(shù)十億美元用于培訓項目，旨在幫助員工識別并規(guī)避這類詐騙。但IEEE計算機協(xié)會發(fā)布的最新研究表明，這些反詐和反釣魚訓練實際上效果甚微。

該研究聚焦醫(yī)療行業(yè)反釣魚培訓的實際效果。研究人員發(fā)現(xiàn)，平均而言，接受過常規(guī)反釣魚培訓的用戶，在識別釣魚詐騙方面僅比未接受培訓的用戶略好。兩者的總體差異約為1.7%。在多項模擬釣魚攻擊測試中，兩組中均有至少10%的用戶未能通過測試（即誤點擊或泄露信息）。

IEEE高級會員Elyson De La Cruz表示：“經(jīng)驗告訴我們，僅靠點擊模擬測試和警示海報無法培養(yǎng)出持久的防范能力。這可能是因為用戶過度接觸模擬內(nèi)容，進而產(chǎn)生警惕疲勞，最終導致識別真實攻擊的效果變差?！?/p>

IEEE高級會員Steven Furnell則指出，釣魚攻擊培訓的成效在很大程度上“取決于培訓的形式，以及在規(guī)劃和為相關用戶提供支持方面投入的努力”。

Furnell認為，僅要求員工完成線上培訓 —— 這類培訓通常僅討論威脅、并通過幾個簡化案例測試員工的識別能力—— 本身不太可能見效。開展一系列模擬釣魚攻擊測試同樣如此。這些培訓項目需要內(nèi)部宣傳活動的配合，才能起到支持和強化的作用。

此外，攻擊者對人工智能的使用日益增多，這使得個人更難分辨信息的真?zhèn)?。IEEE 高級會員Vaibhave Tupe建議：“盡管培訓能提高安全意識，但它無法可靠地保護企業(yè)抵御現(xiàn)代釣魚攻擊的規(guī)模與復雜程度?！?/p>

生成式人工智能在釣魚攻擊激增中的作用

據(jù)麥肯錫研究顯示，自2022年生成式人工智能興起以來，釣魚攻擊數(shù)量已激增1200%。對攻擊者而言，人工智能為其實時優(yōu)化攻擊策略打開了大門，尤其能讓釣魚嘗試看起來更具合法性。

IEEE高級會員Kayne McGladrey表示：“人工智能生成的釣魚內(nèi)容，消除了培訓項目中教人們識別的所有傳統(tǒng)警示信號?！?/p>

常規(guī)培訓通常會教人們留意語法錯誤、格式異?；虿缓铣＠淼膱鼍啊?/p>

“然而，如今人工智能已能生成語法完美、格式規(guī)范且看似可信的郵件。它甚至能利用從社交媒體或數(shù)據(jù)泄露事件中獲取的信息，發(fā)起針對性攻擊?！?/p>

盡管人工智能確實讓制作極具迷惑性的釣魚攻擊內(nèi)容變得更容易，但IEEE高級會員Suélia de Siqueira Rodrigues Fleury Rosa表示，人工智能也為安全負責人和企業(yè)提供了創(chuàng)新機遇。

她指出：“智能體人工智能（agentic AI）的興起不僅是一種威脅途徑，也為安全教育領域的跨學科創(chuàng)新打開了大門。通過研究自主系統(tǒng)的規(guī)劃、學習與決策方式，我們能夠構建防御性人工智能系統(tǒng)，預判攻擊者的行動。高校及培訓項目必須與時俱進，同時涵蓋人工智能驅(qū)動的攻擊與防御所涉及的技術層面和倫理層面。”

什么方法有效？

既然釣魚攻擊培訓效果不佳，那什么方法才管用？

IEEE高級會員Shaila Rana表示：“有效的釣魚安全教育需要沉浸式、有吸引力的體驗，讓網(wǎng)絡安全思維成為一種直覺，而非負擔。”

她指出，虛擬現(xiàn)實（VR）和增強現(xiàn)實（AR）環(huán)境能模擬真實的工作場景。員工可在這種安全、隔離且無實際后果的環(huán)境中練習做決策，同時獲得即時、建設性的反饋。她進一步補充，包含游戲化元素、互動敘事，以及能根據(jù)個人職位和風險特征調(diào)整的場景化學習，比通用的郵件模擬測試更有效。

“理想情況下，未來的反釣魚解決方案應將人工智能技術防御與以人為本的設計原則相結合，讓安全行為成為最容易做出的選擇?！?/p>

然而在McGladrey看來，技術防御必須成為首要策略。

他表示：“我們正進入一個新時代 —— 即便是具備安全意識的人，也無法可靠分辨郵件是合法的還是AI生成的?！?/p>

理想的反釣魚解決方案

展望未來，釣魚攻擊培訓需與時俱進，以應對不斷變化的威脅，尤其是在全球AI應用持續(xù)普及的背景下。

IEEE高級會員Márcio Andrey Teixeira指出：“理想的反釣魚防御體系需要具備分層特性。”這包括植入先進AI過濾器以攔截惡意信息、采用強身份驗證（如無密碼登錄）以降低損失，以及通過持續(xù)監(jiān)控實現(xiàn)實時威脅檢測。

人員與員工仍是企業(yè)防御體系中的關鍵一層 —— 畢竟，針對現(xiàn)代AI驅(qū)動型詐騙的沉浸式、場景化培訓，目前仍不可或缺。

Teixeira表示：“人們常說人員是安全防御中最薄弱的一環(huán)，但實際情況要復雜得多。僅靠釣魚攻擊培訓遠遠不夠，配備技術防御手段同樣必要?！?/p>

想了解更多網(wǎng)絡安全領域的趨勢嗎？