钓鱼演练怎样设计?

钓鱼演练设计得好，员工会在几分钟后意识到“刚才差点上当”；设计得差，就会变成一场尴尬的群发测试，统计一个点击率，然后不了了之。真正有效的演练，不是为了抓几个“倒霉蛋”，而是验证组织在身份识别、流程确认、异常上报和事后处置上的真实韧性。

演练目标要先写清楚

钓鱼演练最常见的失误，是一上来就设计邮件、链接、二维码，却没有定义要验证什么。目标不同，脚本完全不同。

• 验证账号安全：关注员工是否输入密码、验证码、MFA 推送是否被误确认
• 验证财务流程：关注是否绕过付款审批、是否私下发送账户信息
• 验证数据保护：关注是否下载“客户名单”“工资表”等诱饵文件
• 验证上报机制：关注员工发现异常后，是截图发群里，还是走安全工单

例如，一家 600 人规模的制造企业曾做过“年终奖核对表”演练。点击率只有 12%，看似不错，但有 7 名员工把域账号填进了假登录页，其中 2 人属于财务共享中心。这个结果比点击率本身更刺眼，因为它暴露的是高风险岗位的凭据保护问题。

场景要贴近业务，别像安全部门自嗨

好的钓鱼脚本通常带着业务气味。员工每天面对什么，演练就应该长成什么样：供应商报价、会议纪要、电子发票、企业微信审批、共享网盘、招聘简历、客户投诉附件。

设计时可以按“三要素”拆解：

• 可信身份：领导、HR、财务、IT 运维、客户经理、外部供应商
• 合理动机：补充资料、确认付款、重置密码、查看合同、领取福利
• 时间压力：今日截止、会议前确认、系统升级前处理

不过，演练不应使用真实敏感文件名、真实客户隐私或羞辱性话术。安全测试不是心理整蛊，边界感很要紧。

分层投放，比全员轰炸更有效

成熟的演练会按岗位风险分层，而不是全公司同一封邮件打天下。

频率也不宜过高。季度一次专项演练，配合每月轻量化提醒，通常比“连续轰炸三周”更能维持敏感度。员工一旦觉得安全部门在“钓自己人”，信任会塌得很快。

指标不能只看点击率

点击率只是浅层指标，更值得看的有四类数据：

• 打开率、点击率、提交凭据率
• 从收到消息到点击的时间间隔
• 主动上报人数与上报耗时
• 高风险岗位、重点部门的差异表现

一个员工点击了链接但立即上报，风险远低于没有点击却把异常消息转发到部门群里的人。

演练结束后，反馈要快。最好在 24 小时内推送简短复盘：哪里可疑、正确做法是什么、真实攻击中会造成什么后果。别发十页 PDF，没人爱看；一张截图加三处红框，效果往往更好。

复盘要落到流程，而不是点名批评

钓鱼演练的价值在复盘表里。若多人在同一环节失误，问题多半不是“安全意识差”，而是流程缺口：外部联系人没有标识、付款变更缺少电话核验、统一登录页样式混乱、异常上报入口藏得太深。

设计得当的钓鱼演练，会让组织发现那些平时看不见的缝隙。坏消息是，缝隙通常不少；好消息是，至少这次敲门的是自己人。