我认为你需要解决一个潜在的问题。为什么用户关心他们失败了？

首先，网络钓鱼模拟应该是一种教育工具，而不是测试工具。

如果失败有负面后果，那么是的，如果测试比你为他们准备的更难，你的用户会抱怨。你也会抱怨。

所以，你的回应应该是：

• 教育他们更多（或不同），以便他们能够通过测试（或者更确切地说，理解测试，这是他们应该做的）
• 消除失败的负面后果

这可能不需要对您的教育材料进行任何内容更改，但可能只需要为用户、管理层和您的安全团队重新构建网络钓鱼模拟。

另一种尝试的策略是逐步完成网络钓鱼模拟，以便在用户成功应对网络钓鱼时变得更加困难。我已经用我的自定义程序做到了这一点。后端更复杂，但如果你能做到，回报是巨大的。

您的重点需要是您的组织抵御网络钓鱼攻击的能力不断发展成熟，而不是让每个人都在测试中做到完美。一旦你采取这种观点，围绕这些测试和抱怨的文化就会改变。

做对了，您的用户会要求网络钓鱼模拟更难而不是更容易。如果您以最终结果为目标，您将拥有一个更具弹性的组织。

我们一直在收到最终用户的回击，他们无法区分他们日常收到的合法电子邮件和真正的恶意网络钓鱼电子邮件。

这表明，可以被训练有素的安全专业人员根除为假货的测试正在被用来评估那些不是假货的人。您可能具有挑选电子邮件并解释标题的技能，但会计中的 Dan 可能没有，他的管理层也不太可能同意 RFC 822 中的大师班可以很好地利用他的时间。

必须根据收集到的有关您的用户和您声称的发件人的情报来制作有针对性的电子邮件以提高命中率。这不是网络钓鱼者会知道的信息，正如迈克尔汉普顿在他的评论中指出的那样，上升到鱼叉式网络钓鱼。那是在不同场地上进行的不同球类比赛。

如果有对手（真实的或潜在的）能够进行足够好的鱼叉式网络钓鱼来破坏您的业务，那么所有网络钓鱼对策和培训都将无济于事。你的工作是部署工具，让会计中的 Dan 能够区分真假。这可能意味着发送端的安全性，例如用户的邮件客户端可以检查并在未签名或签名不匹配时发布显着警告的加密签名。您不能依靠人类来 100% 地做好这些事情，尤其是当您的组织变得更大并且人们彼此之间不太了解时。

有一个可能的观点是我在其他答案中没有看到，但在现实世界中看到过。

用户说他们“无法区分他们每天收到的合法电子邮件和真正的恶意网络钓鱼电子邮件”。这可能会告诉您，关于密码更新、服务更改等的合法电子邮件不遵守用户应遵守的规则。

我当然见过一些组织，他们的培训材料告诉用户不要点击电子邮件中的链接，绝对不要将他们的密码放入这些链接指向的网站，或者从这些网站安装软件。然后，这些组织的服务团队会发送大量电子邮件，介绍需要采取措施的服务更新（例如密码更新、软件安装等），并附上有用的链接供您点击。

可能有帮助的一件事是澄清用户应该报告这些合法电子邮件。它可能不会直接帮助用户，但它可能有助于提醒服务团队他们的电子邮件有要遵循的规则，从长远来看，这应该会让用户更清楚。

1. 网络钓鱼教育什么时候走得太远了？

当成本超过收益时。收益通常以较低的点击率和增加的真实网络钓鱼电子邮件报告率来衡量。成本可以通过以下方式衡量：

• 实施测试的努力
• （非）网络钓鱼电子邮件的误报报告
• 降低合法电子邮件的参与率
• 对安全组怀有恶意。

最后一个是最难衡量的，并且经常被忽略，但如果你的工作是欺骗自己的人，那么如果他们开始怀疑你，你不应该感到惊讶。

2. 来自最终用户的回击是否表明他们仍然缺乏意识并需要进一步培训，特别是无法从恶意电子邮件中识别出合法电子邮件？

嗯，也许？

如果他们的点击率仍然很高，那么仍然缺乏意识，他们需要进一步培训。

如果点击率普遍下降，但测试电子邮件一直在欺骗他们，那么他们对测试的担忧可能是合理的。

听起来您的内容非常适合您的用户甚至他们的工作角色。这可能是产生负面反应的原因。理想情况下，网络钓鱼测试不应依赖于对内部电子邮件实践的知识或理解，就像攻击者不应访问这些实践一样。（请注意，出于同样的原因，您的内部消息不应看起来像您的外部消息）。

您可能需要考虑外包您的网络钓鱼测试。致力于提供这项服务的组织对“在野外”的样子有更好的感觉，他们测量和报告参与率的工具通常比你自己做的要好。

就个人而言，我不喜欢网络钓鱼测试，因为我相信它会侵蚀用户和安全性之间的信任。但事实是，它是提高用户防御能力的最佳方法之一。