简单的回答。 这不再是真的，恶意软件攻击现在是最常见的。然而，这并不意味着它们对每个人都是最重要的。

SANS/CERT 等各种机构发布他们处理的事件的统计数据（例如UK Cert Q3 2015 报告）。关键报价：

恶意软件是并且仍然是对网络安全的最大威胁。

这似乎在几乎所有领域和报告中都很清楚。在那之后，网络钓鱼几乎普遍排在第二位。这与大多数攻击都是社会性的（旧）传统观点不符，因为大多数恶意软件攻击现在都是自动化的。它们不是针对一台选定的机器，而是寻找与给定漏洞匹配的受害者的大规模自动攻击的一部分。

然而，根据定义，统计数据仅涵盖黑客被抓到甚至不试图隐藏的“不成功”案例。例如，缺少在交付过程中硬件受损的报告案例。那可能是因为人们才刚刚开始寻找。苹果似乎是这方面的目标，并开始检查所有电路板。很快我们可能会发现这是一个重要的案例。或者他们可能不会选择或无法告诉我们：

许多组织遭到入侵，因此在数月内不合规，有些在研究期间一直处于违规状态——这意味着他们从未检测到他们的入侵或出站恶意通信，也不承认挪威响应团队的警告。 - 引用 SANS 医疗保健报告 - 没有人会调查这些病例

然而，整个统计方法具有误导性。它是“像工程师一样思考”而不是“像攻击者一样思考”。大多数恶意软件随机攻击每个人，并不特别关心他们得到谁。对他们来说，最薄弱的环节是安全性最差的计算机。 大概，因为他们在实际上雇用安全人员的大公司工作，大多数安全人员应该更担心有针对性的攻击者，例如员工或海外竞争对手，他们更有可能仅仅因为进入成本较低而使用社交攻击而不是编写自定义恶意软件。即使攻击者使用恶意软件进行攻击，他们也可能需要将其通过防火墙。他们通过网络钓鱼邮件破坏了一台机器，然后在您的公司内部用蠕虫破坏了另外 1000 台机器。这算作一次网络钓鱼攻击和 1000 次恶意软件攻击吗？在统计数据中确实如此。