谷歌呼吁减少企业“钓鱼邮件测试”，其负面影响大于潜在收益

　　谷歌发表报告称，利用钓鱼邮件测试员工应对能力的方法并不可取，实际效果不佳且存在诸多问题。众多企业通常用此方式进行所谓的应急预案测试。

　　这种测试往往包括设置多份钓鱼邮件，并在其中植入链接装置来观察哪位员工点击或下载，后对选中员工进行所谓“强化培训”；然而，谷歌安全经理马特·林顿（Matt Linton）指出，此类测试非但无益，反而引发员工困扰和信息安全部门的额外压力。

　　马特·林顿表示，目前尚无科学依据证明这类测试能有效降低企业遭受钓鱼邮件攻击的可能性。据IT之家报道，以谷歌自身为例，尽管多年来进行过多次钓鱼邮件测试，仍有部分员工误点黑客所发钓鱼邮件。

　　从技术角度看，为进行钓鱼测试，企业IT管理员需降低系统权限，设立“放水”的群发邮件白名单，若该白名单不幸落入真黑客之手，反而加大风险。

　　研究人员进一步指出，这类测试使信息安全部门工作量剧增，因群发邮件及记录用户行为的成本占据公司相关部门的时间与操作资源。

　　同时，员工可能因公司信息安全部门的“捉弄”而失去信任，导致“狼来了”效应，长期来看对公司安全性构成威胁。