文章总结： 本文基于大规模实证研究指出，传统钓鱼演练与即时培训因引发虚假安全感反而增加员工中招率。研究揭示了易感人群特征，并证实详细警示不如简洁警示有效。文章建议企业放弃惩罚性演练，转而建立员工众包钓鱼检测体系，通过一键上报与正向激励将员工转化为高效防御资源。 综合评分： 90 文章分类： 安全意识,社会工程学,安全建设,安全运营,威胁情报

深度研究颠覆认知：传统钓鱼演练与培训反而让员工更容易中招

原创

HardyXie HardyXie

超安全

2026年3月10日 12:01 北京

研究揭示：钓鱼模拟演练与培训竟产生反作用

网络钓鱼攻击已成为当代组织面临的最主要、最持久的安全威胁之一。随着钓鱼工具平民化、AI钓鱼智能化、攻击场景常态化，尽管邮件过滤器、威胁情报库等技术手段已在企业广泛部署，但攻击者持续升级话术与伪装技巧，使得钓鱼攻击依然保持极高成功率。传统依赖技术拦截的防御模式已难以完全应对钓鱼攻击，“以员工为核心”的安全意识培训机制与协同防御能力，正在成为企业安全体系的关键一环。

长期以来，钓鱼模拟演练与安全意识培训被视为企业抵御网络钓鱼攻击的“标准方案”：定期向员工发送钓鱼邮件，对点击钓鱼链接或执行危险操作的员工即时推送安全培训内容或警示页面，以此提升警惕性、降低中招率。然而，瑞士苏黎世联邦理工学院计算机科学系与合作企业联合开展的一项超大规模、历时15个月、覆盖14733名企业员工的真实企业环境研究，颠覆了行业普遍认知：与钓鱼模拟演练绑定的嵌入式即时安全培训，不仅无法提升员工的反钓鱼抵御能力，反而使其更容易中招。数据显示，接受嵌入式安全培训的员工，钓鱼链接点击率高出16%，输入账号密码、打开恶意附件等危险行为发生率高出27%。这意味着，企业投入大量资源推行的传统钓鱼演练与安全培训，正在成为削弱防御能力的负面因素。

该研究围绕四大核心问题展开：第一，哪些员工更容易成为钓鱼攻击目标？第二，组织钓鱼脆弱性如何随时间变化？第三，邮件警示与嵌入式安全意识培训是否真正有效？第四，员工能否作为可信的人工“钓鱼检测器”与“威胁情报员”，以众包方式帮助组织快速发现新型钓鱼攻击？系统揭示了企业员工网络钓鱼易感性特征、安全培训与警示的真实效果，以及员工众包钓鱼检测(Crowd-Sourced Phishing Detection)的可行性，为组织构建高效、低成本、可持续的网络钓鱼防御体系提供实证依据。

研究详述：钓鱼演练与培训的商业逻辑与研究发现

为应对网络钓鱼攻击这一全球性安全威胁，一套成熟的商业安全意识培训体系已形成：

向员工发送仿冒真实场景的钓鱼模拟邮件->自动追踪点击链接、输入密码、打开附件、扫描二维码等风险行为->对中招人员即时跳转至安全培训或警示页面，讲解钓鱼邮件识别技巧与防范要点->安全意识服务商及被服务组织以“中招率下降”证明钓鱼演练与培训有效。

从工程逻辑来看，这套模式完全自洽：通过定期演练发现薄弱环节，通过即时教育纠正风险行为。因此，钓鱼模拟演练已成为全球企业安全意识培训的默认标配，几乎成为行业“政治正确”。

但学术界始终未给出统一结论。大量验证钓鱼演练与安全培训效果的研究存在样本量小、参与者类型单一、场景脱离真实工作环境等缺陷，结论难以迁移到真实企业。此次大规模研究，填补了这一科学空白。

1)易中招员工特征：谁更脆弱？

研究团队在一家业务多元（业务覆盖物流、金融、IT、线下服务）、岗位覆盖外勤、门店员工、IT、财务、市场等各类人员的大型企业中开展。通过年龄、性别、日常工作中计算机使用程度情况三个维度，对员工钓鱼点击与风险行为进行统计分析，得出了清晰结论。

首先，年龄与钓鱼中招风险显著相关。18–19岁年轻员工风险最高，50–59岁员工风险同样偏高，20-29岁与60岁以上群体相对稳健。这一结果印证了认知习惯、网络经验、计算机技能与风险警惕性的差异：年轻员工对线上诱导更敏感、警惕性更低；中老年员工计算机与网络技能较低，对新型诈骗套路不熟悉，更容易被“官方通知”类话术迷惑。

其次，性别本身不直接决定钓鱼易感性。部分早期研究认为女性更容易中招，但该研究基于员工岗位与计算机使用分布情况后发现，性别差异不显著。以往观察到的差异，本质是不同性别在岗位类型、电脑使用习惯上的分布不均导致，而非性别本身带来的风险差异。这一结论对企业开展公平、无偏见的安全培训具有重要意义。

最后，计算机使用方式比使用频率更能预测钓鱼易感性。最脆弱的员工是那些每天仅使用固定业务软件、从事重复性操作完成事重性任务的员工，其点击率和危险行为发生率显著高于高频使用电脑的办公人员和低频使用电脑的一线人员。这类员工通常具备基础电脑操作能力，但对邮件异常特征、网址伪装、钓鱼话术的识别经验不足，更容易在仿冒度较高的钓鱼邮件中犯错。

研究同时证实，组织中存在明显的“重复点击者(Repeated Clickers)”，少数员工会在多次钓鱼演练中持续中招，最高甚至在8次测试中中招6次，这类人群是安全意识培训的重点关注对象。

2)长期暴露下的组织脆弱性：谁都会中招

在长达15个月的观测中，研究发现一个关键结论：只要暴露时间足够长，相当大比例的员工最终都会出现失误中招。在14733名参与者中，32.10%的员工至少点击过一次钓鱼链接，25.43%至少执行过一次提交密码、启用恶意宏等危险行为。

这意味着，依靠单次安全意识培训+季度钓鱼模拟演练无法长期保证安全。钓鱼攻击是持续性威胁，员工警惕性会随时间下降，熟悉的工作环境会带来天然的安全感，从而降低判断阈值。因此，企业钓鱼防范必须从“运动式宣传”转向常态化、轻量化、不间断的提醒机制。

3)邮件警示与嵌入式安全培训：效果被高估

研究对企业最常用的两种防御手段进行严格对照测试：邮件顶部警示与钓鱼演练后的嵌入式安全培训，结果颠覆了许多行业惯性认知。

第一，邮件警示非常有效，但详细警示并不比简洁警示更好。研究设置三组对照：无警示、简短标准警示、详细警示（列出可疑原因，如发件人异常、网址不匹配等）。结果显示，两种警示都能显著降低点击与危险行为，但详细警示并未带来额外提升。这说明，员工在邮件场景下注意力有限，过多信息不会提高识别能力，简洁、明确、标准化的警示已足够高效。

第二，主流嵌入式钓鱼培训不仅无效，反而可能产生副作用。当前行业普遍做法是：员工点击钓鱼链接后，自动跳转到安全培训页面，讲解钓鱼特征与防范技巧。该研究中，这一培训内容完全遵循行业最佳实践，但结果显示，接受培训的员工后续中招率更高。问卷揭示核心原因：虚假安全感。43%的员工表示“看到培训页面让我感到邮件是安全的（钓鱼攻击不过如此）”，40%认为“反正公司会保护我免受恶意邮件伤害”。安全培训反而降低了员工自主警惕性，使其过度依赖组织防护，在真实攻击面前更易放松警觉与判断。这一发现极具现实意义：企业广泛采用的钓鱼演练+即时安全培训模式，可能正在悄悄削弱安全防御能力。

4)员工众包钓鱼检测：高效、低成本、可持续

该研究最具突破性的结论，是证实员工众包钓鱼检测在真实企业中完全可行。企业在邮箱客户端部署“一键上报”按钮，员工可快速提交可疑邮件，系统通过二级设备自动分析，IT 仅做少量复核。

在可持续性上，15个月内员工上报活跃度稳定，无明显疲劳衰减。只要上报流程简单、不增加额外负担，员工愿意长期参与。正向反馈能显著提升上报意愿，收到“上报有效”通知的员工，会更积极地参与后续上报。

在效果上，员工上报准确率达到68%，且响应速度极快：10%的上报在5分钟内完成，30%—40%在半小时内完成，足以拦截生命周期极短的新型钓鱼攻击。最活跃的10%员工准确率更高，成为组织内部的“安全哨兵”。

在运营成本上，大型企业日均仅需人工处理约1.5封邮件，绝大部分上报由自动化系统完成，负担极低。在研究后期五个月内，员工共上报918封真实钓鱼邮件，帮助组织发现252起大规模钓鱼活动、28830封攻击邮件和1534封带恶意软件的邮件，实现攻击刚发起就被快速发现。

这证明，员工不是单纯的“薄弱环节”，而是可以被系统化组织起来的“防御资源”。众包检测不依赖高级威胁情报，不增加大量预算，却能有效弥补技术拦截的盲区。

研究启示：从“惯性做法”回归“科学实效”

1)反思传统做法的负面效果

• 直接负面效果：员工更容易中招

研究人员通过问卷调查挖掘深层原因，核心指向虚假安全感：

1. 员工看到安全培训页面后，会产生“公司在保护我”的依赖心理，自主警惕性主动降低；
2. 部分员工将后续收到的真实钓鱼邮件，误认为“又是公司测试”，认为点击无风险；
3. 培训带来的“我已学会” 的错觉，让员工放松对异常邮件特征的核对，形成盲目自信。

简单说，培训削弱了员工的自主风险意识，使其从“主动警惕”变成“被动依赖”，在面对真实攻击时更易犯错。这并非安全培训内容错误，而是培训方式与触发时机带来了致命副作用。

• ## 间接负面效果：伤害员工信任与自我效能感

#

除了直接导致中招率上升，钓鱼模拟演练与培训还存在被行业忽视的隐性伤害：

1. 破坏员工对组织的信任。企业以“欺骗”方式测试员工，会让员工感到被试探、不被信任，进而降低对企业安全机制与管理行为的认可；
2. 打击员工自我效能感。反复在钓鱼演练中犯错和中招，会让员工产生“我就是安全薄弱点” 的负面认知，丧失主动防范的信心；引发抵触与反感。频繁钓鱼模拟演练会被视为干扰工作，加剧对安全工作的排斥，反而不利于组织长期安全文化建设。

这两种伤害看似不直接影响中招数据，却会渗透到员工日常安全行为中，破坏安全体系的底层“人心基础”，进而影响协作效率、归属感等组织核心目标。

2)可行替代方案：低成本、高效果的众包检测机制

#

研究明确否定主流嵌入式安全培训，但并未否定“人是第一道安全防线”的核心逻辑。相反，研究提出了零成本、高收益、无副作用的替代路径：员工众包钓鱼检测。核心做法简单可行：

1. 在企业邮箱客户端设置一键上报按钮，流程极简、不增加额外负担；
2. 建立自动化二级分析系统，对上报邮件快速筛查，IT仅做少量人工复核；
3. 向员工及时反馈上报结果，明确告知“上报有效，已拦截攻击”。

这套机制带来三重正向价值：运营成本低、防御效果强、无任何负面作用。不欺骗、不测试、不羞辱，只鼓励正向行为，反而能提升员工对组织的信任与自我效能感。员工从“被测试的薄弱点”，转变为“被认可的防御者”，安全参与感与责任感显著增强，形成可持续的正向循环。

3)改进建议：保留教育价值，消除负面效果

钓鱼演练与培训设计应从“惩罚中招”转向“赋能员工”，把员工当作合作伙伴，而非风险源头，使全体员工共同实现可持续的有效钓鱼防御。

第一，避免无预警“偷袭式”演练。应提前告知员工会开展钓鱼模拟演练，保留知情权，避免信任伤害；演练前开放相关学习材料，让员工自主提前准备，减少中招带来的挫败感；

第二，慎用嵌入式即时安全培训。当前主流的“点击即培训”模式可能带来虚假安全感，建议改为事后统一推送、不打断工作流程的宣贯，或采用更简短、不引发“安全错觉”的提示。

第三，部署更简洁的邮件警示。无需复杂说明，清晰提示“此邮件可疑，谨慎点击”即可达到较好效果，降低员工认知负担；保证中招后的警示内容包容、友好、温和，避免指责、贬低式话术，聚焦技能提升而非惩罚。

第四，安全意识培训要精准分层。重点面向年轻员工与年长员工、重复性岗位员工、多次中招员工开展轻量化培训、高频次提醒，避免“一刀切式”培训。培训内容应聚焦可快速识别的特征：如陌生发件人、网址不匹配、情绪触发、索要账号、异常附件、紧急催促行动等。

第五，构建员工众包钓鱼检测体系。推广“一键上报”，在邮箱、办公软件中设置明显、易用的钓鱼邮件上报入口，及时给予反馈，使员工成为24小时分布式“钓鱼检测器”与“威胁情报员”。

第六：以鼓励代替考核的正向强化。放弃“零中招率”幻想，转向持续防御，没有任何组织能让所有员工永远不中招或犯错，组织应接受钓鱼攻击长期风险现实。钓鱼演练不公开排名、不追责中招人员，将演练定位为集体学习而非“猫捉老鼠”的测试游戏，对于表现优异与积极上报的员工应予以奖励。

总结

网络钓鱼攻击的本质是针对“人”的社会工程学攻击，防御核心也必须回归“人”本身。钓鱼模拟演练与安全培训已成为安全行业的标配方案，但“大家都在做”不等于“这样做有效”。该研究通过大规模、长期、真实环境的数据证明：传统钓鱼演练与嵌入式钓鱼培训看似合理，却因触发虚假安全感、破坏组织信任，产生反向效果，让员工更易中招，其效果被高估，而员工众包钓鱼检测是被严重低估的高效防御路径。

当传统模式被科学证明无效甚至有害，行业必须做出改变。真正高效、可持续的防御体系，不是“用演练测试人、用培训纠正人”，而是用信任凝聚人、用工具赋能人、用反馈激励人。未来的企业钓鱼防范，不再是单纯买设备、发宣传、搞培训、做演练、重惩罚，而是构建一套“温和警示+精准培训+一键上报+众包检测+正向激励”的组合模式，以更低成本实现更强防御，同时保护员工自尊与信任，是未来企业钓鱼防范的最优方向。只有建立尊重人性、符合科学的演练与培训机制，才能在持续演化的钓鱼威胁中，构建真正稳固的组织安全防线。

*参考文献：D. Lain, K. Kostiainen and S. Čapkun, “Phishing in Organizations: Findings from a Large-Scale and Long-Term Study,” 2022 IEEE Symposium on Security and Privacy

欢迎加入超安全文化进化私享群！

• 私享群定位：超安全文化进化私享群是安全圈唯一一个面向网络安全意识宣贯与培训、人为因素安全风险管理、网络安全文化建设专业人士/研究者/兴趣爱好者的高端社群。

• 私享群愿景：让“人的因素”不再成为安全短板，让员工成为“最强大”的一道防线，让网络安全文化入脑、入心、入行！

入群方式详见：欢迎加入超安全文化进化私享群，一步领先，步步领先！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：超安全 HardyXie HardyXie《深度研究颠覆认知：传统钓鱼演练与培训反而让员工更容易中招》