示意图，翻摄自：https://vimeo.com/222209148，图片来源／LADAOffice

许多企业常在发送钓鱼信件以测试员工对此类威胁的警戒，但Google专家却警告，这作法害处多过好处，包括劳民伤财及效果不彰。

一些企业IT或资安部门会对员工发送钓鱼信件，目的在提高员工资安防护意识。Google则是根据美国联邦风险与授权管理计划（FedRAMP）规定，由资安部门实施钓鱼信件测试。在这类测试中，公司製作并对员工发送钓鱼信件，再监测有谁对此类信件有回应，例如点击信件中的连结或下载附件，这些员工就会被要求「加强教育」。但Google安全事件经理Matt Linton指出，这种类似火灾演练的测试，实则有很多负面影响，包括没有实质效果、绕过正常防护机制，而且增加员工困扰及资安部门工作负担。

其一是没有证据显示这类测试有助于减少钓鱼信件攻击成功率。从结果来看，钓鱼邮件测试实施这几年来，钓鱼信依旧是骇客骇入内部网路的首要方法，而且研究显示，会中计的人仍然持续中计。其二是一些钓鱼测试会绕过或降低系统控制，甚至美国FedRAMP指引要求企业IT部门这么做。后果是让测试人员刻意不模仿真正的骇客攻击手法，或建立放水的白名单，后者若不小心落在真正骇客手裏反而造成风险。

研究人员还说，这类测试大幅增加资安部门的工作负担，因为用户误点信件的警报并没有用处，反倒占住他们宝贵的时间及作业频宽。此外，员工可能因为公司资安部门「玩弄」他们而降低信任，长期而言不利公司安全防护。最后，一些具有多个产品线的大型企业员工，这些测试可能相互重叠，导致重覆作业，影响生产力。

Linton建议，教育员工辨识钓鱼信件及社交工程、并主动回报，可让资安团队早一步採取回应措施。但和防火安全训练一样，测试前应预先公告而非突击测试，因为训练才是重点，而不是惊吓与欺骗。

他并提醒演练中应让员工练习通报，并且蒐集有用资料，像是完成测试的用户数、开启邮件和通报时间间隔、通报提升到资安小组的时间点，以及信件发出后1、4及24小时通报的案件数。