【滲透測試分享】網路釣魚有哪些注意事項?

　在滲透測試中，常見的就是網路釣魚了，網路釣魚模擬也已經成為了網路安全培訓機構的一個主流技術，大致方法就是安全人員製作且向員工傳送電子郵件，內容涵蓋一些誘餌資訊，網路釣魚有哪些注意事項呢?請看下文：

　　1)瞭解網路釣魚測試的目的

　　網路釣魚測試的目的，是為了能夠對網路釣魚電子郵件有一個基本的瞭解，並且讓使用者對他們發展的釣魚活動充滿信心，高效的網路釣魚測試，不應該是降低點選率，而是提高報告率，現如今大部分的網路釣魚模擬仍然在關注點選率，歸根結底來說，正確進行網路釣魚模擬，完全是為了瞭解組織環境並尊重它。

　　2)構建信任

　　組織需要對員工持開放心態，確保在執行模擬網路釣魚活動時，會通知他們，並明確強調它是一種教育工具，如果沒有建立信任，員工很快就會變得怨恨，應該逐漸向使用者介紹網路釣魚的概念，教他們注意什麼以及如何應對。

　　3)正面引導、積極強化

　　正面的積極強化不僅在網路釣魚測試的短期和長期有效性方面發揮著至關重要的作用，還可以對組織的測試方法是否被認為符合道德產生著重大影響。

　　4)將網路釣魚測試失敗轉化為安全培訓契機

　　一旦從測試過程中獲得資料，後續行動與測試的計劃和實施階段一樣重要，這時不僅應該關注使用者，還應該關注更廣泛的組織部門和人員從模擬結果中受益。

　　5)在正確時間使用正確的工具

　　需要特別注意網路釣魚測試工具的最佳時機，網路釣魚模擬只是一種工具，與所有工具一樣，需要在正確的時間以正確的方式使用它們，為了確保員工不會對真正的危險一無所知，可以就網路犯罪分子可能使用的策略進行建設性的討論，而無需在模擬中讓員工直接接觸這些主題。