一项最新研究揭示，尽管英国多数高管和员工自认为具备识别钓鱼诈骗的能力，但实际判断错误率却居高不下。网络安全公司Dojo的调查显示，超过半数的参与者无法辨别真实邮件与钓鱼邮件，即使是高管群体也难以幸免，尤其是在面对人工智能生成的钓鱼攻击时。研究指出，人为因素是网络安全的最大弱点，企业应加强培训，警惕AI威胁，并采取技术措施来提升防护能力。

📧 识别能力普遍不足：调查显示，53%的受访者未能识别测试中的钓鱼邮件，即使是高管群体也未能幸免。仅有38%的人能够准确识别出测试组中的真实邮件。这种认知差距使得员工容易受到网络钓鱼攻击的威胁。

🤖 AI钓鱼邮件的威胁：随着人工智能技术的发展，钓鱼攻击也变得更加智能化。66%的高管未能识破AI生成的钓鱼邮件，而普通员工的受骗率也高达64%。AI生成的邮件能够模仿真实的邮件风格，并利用紧迫感诱导用户点击恶意链接。

💼 高管群体的脆弱性：高管群体虽然在识别商业通讯工具和密码管理应用的真实邮件方面表现较好，但在应对AI生成的钓鱼邮件时，其识别能力却明显下降。创始人群体受骗率最高，达到73%。这表明，高管群体需要特别关注针对性的安全培训。

⚠️ 人为因素是最大弱点：高达88%的安全漏洞源于人为失误，包括弱密码、不良数字习惯以及误点邮件链接。企业应通过强化培训、逼真钓鱼演练等方式，提高员工的网络安全意识，并加强对高风险岗位的重点防护。

🛡️ 企业防护建议：为了应对日益复杂的网络钓鱼攻击，企业应采取多方面的防护措施。这包括实施逼真的钓鱼演练、警惕AI威胁、采用基于域名的认证机制等。重点防护行政、接待及财务人员，因为他们是接触诈骗尝试的前线。

HackerNews 编译，转载请注明出处：

最新研究显示，尽管多数高管和员工自信能识别钓鱼诈骗，但实际判断错误率极高。网络罪犯往往无需入侵公司系统，只需诱导员工点击恶意邮件即可得手。

网络安全公司Dojo对2000名英国员工和高管的调研揭示令人警醒的事实：56%的参与者无法辨别真实邮件与钓鱼诈骗，尽管他们普遍对自身识别能力高度自信。这种现象不仅存在于基层员工——高管群体同样容易中招，尤其面对人工智能生成的钓鱼攻击时。2025年英国企业遭遇钓鱼攻击的比例已达85%（较去年上升2%），但仍有27%的企业高层将网络安全视为次要事务。

核心数据披露

识别能力缺陷：53%受访者未能识别测试中的钓鱼邮件；仅38%能准确挑出测试组中两封真实邮件高管表现矛盾：识别商业通讯工具(Slack)和密码管理应用(Dashlane)真实邮件的正确率达58%（远超普通员工的36%），但66%高管未能识破AI生成的钓鱼邮件（尽管90%自称有信心）经典诈骗漏洞：47%未发现虚假Google警报邮件的危险信号；57%误信伪造的Google表格邀请；48%未察觉伪造Dropbox消息的虚假网址AI诈骗成功率：64%普通员工和66%高管被AI生成的诈骗邮件欺骗

测试方法

研究团队向2000名参与者（含高管与普通员工）发送六封邮件：三封为通用内容，三封针对不同职级定制，并额外加入AI生成的钓鱼邮件进行测试。

AI诈骗技术升级

测试采用ChatGPT生成的钓鱼邮件，模仿Google警报风格并植入虚假网址（如no-reply@google-alerts.com），制造紧迫感诱导下载文件。这类邮件成功欺骗了64%普通员工。经典CEO诈骗手段同样有效：64%员工未识破伪造高管邮件，其中应届毕业生受骗率高达68%。诈骗话术强调“加急签署”“今日截止”等时间压力，刻意阻止收件人通过电话核实真伪。

高管群体漏洞

创始人群体表现最差，73%被AI生成的诈骗邮件欺骗。Dojo首席信息安全官纳维德·伊斯兰指出：“56%英国工作者无法区分钓鱼邮件，仅半数能正确定义‘钓鱼攻击’概念，这暴露了认知鸿沟。若不优先保护数据资产，企业投资将面临重大风险。”

人为因素成最大弱点

伦敦市警察局网络保护官丹尼尔·霍顿强调：“影视剧中黑客疯狂打键盘的画面纯属虚构——罪犯极少强攻系统，而是通过钓鱼攻击和社会工程学针对人。”他指出高达88%的安全漏洞源于人为失误：“无论是弱密码、不良数字习惯或误点邮件链接，网络安全始终始于人也终于人。”

企业防护建议

强化培训：超越年度安全视频形式，实施逼真钓鱼演练，培训员工查验邮件信头而非仅依赖拼写错误识别警惕AI威胁：勿轻信“能识别深度伪造”的自信，需默认所有收件箱均为威胁载体锁定邮件协议：采用基于域名的认证机制(DMARC, SPF, DKIM)，确保内部通讯工具无法被仿冒重点防护前线：为频繁接触诈骗尝试的行政、接待及财务人员提供专项支持

 

 

 

---

消息来源：  cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文