为评估问题的范围，Group-IB在一家物流公司开展了社会工程渗透测试项目。测试采用了新冠肺炎疫情相关的钓鱼托辞，呈现了员工对此类话题丝毫不减的“热情”。Group-IB将精心编制的网络钓鱼电子邮件通过貌似归属公司IT部门的虚假邮箱地址发送出去。超过半数(51%)的测试对象在虚假虚拟专用网门户登录页面上提交了他们的登录凭证。

▶ 某些社会工程攻击比其他攻击更有效

社会工程攻击测试项目还揭示出，某些攻击技术比其他技术更加有效。2020年该公司开展的100多个社会工程攻击测试项目中，语音电话(“语音网络钓鱼”)的有效程度优于内置虚假资源链接或可执行附件的网络钓鱼电子邮件。语音网络钓鱼的成功率为37%，因受害者通常不会预期接到此类电话而上钩率惊人。此外，攻击者可以调整脚本以匹配受害者行为的变化，并利用他们的情绪。

除了获取个人或机密信息，语音网络钓鱼攻击还可用于获取基础设施访问权。近期的一个案例中，Group-IB的渗透测试员以进行安全事故调查为借口，成功说服23名员工在备份门户(网络钓鱼资源)上进行身份验证。

语音网络钓鱼结合网络钓鱼(即有通往虚假资源的链接，又添加了可执行附件)更是极致高效：2020年75%的社会工程攻击测试成功突破测试对象防护。至于钓鱼托辞，效率最高的是奖金制度的变化(成功率20.6%)，IT系统的变化(17.8%)紧随其后，然后是公司重要活动的公告(16.3%)。

▶ 执行更多测试未必能解决问题

鉴于以上统计数据，你可能会觉得执行更多社会工程渗透测试有助于提高员工的网络钓鱼防范意识。但实际上并非如此，因为渗透测试如果不与其他措施一并实施是没有效果的。如果你决定攻击一下自己试试，那你需要做得明智些。

可以参考下面这个案例。X公司时不时对自己的员工开展社会工程攻击测试。但对基本网络安全概念的认知还是没有改善：员工继续点击恶意链接和满足攻击者提出的要求。

于是，这家公司决定正式确立其测试计划，要用不同的钓鱼托辞以相同的形式每年执行四次社会工程攻击测试。但结果与之前更为随意的测试并没有什么不同：员工仍然点击恶意URL，仍然与渗透测试员沟通，仍然交出机密信息。

而且，测试的有效性很大程度上取决于钓鱼托辞的相关性。尽管每次测试的安全意识提升效果都会增加一点点，但在第三季度，基于新冠肺炎疫情的钓鱼托辞又让员工完全忘记了之前收到的所有培训、指南和建议。原来，该公司压根儿没有开展其他任何安全意识提升活动，仅仅只搞了测试。