釣魚模擬測試
四月時,在英國中西部營運的英國鐵路公司「西米德蘭列車」(West Midlands Trains)寄了一封電子郵件給員工,表示要派發獎金給在COVID-19(武漢肺炎)肆虐時仍然盡忠職守的人——然而,這一切其實只是一場「騙局」,又或者根據官方的說法,是基於對網路安全警覺性的「釣魚模擬測試」。
感謝眾人的努力
在那封寄給大約 2,500名員工的信件中,西米德蘭列車提到,總經理愛德華茲(Julian Edwards)想要感謝眾人在去年疫情期間的努力,因此,「在全體同仁承受非常大的壓力之後」,他決定要發一筆獎金給大家。
可是,當員工開開心心點下文中附上的連結,想要確認「一次性獎金的詳細資訊」後,他們又接著收到了另外一封信,信裡告訴他們,根本就沒有什麼獎金,一切只是公司設計的「釣魚模擬測試」。
「這是一個由我們技術小組所設計的測試,旨在以感謝和獎金的承諾慫恿你按下連結。」信中如此警告。
「愚蠢和應受譴責」
而這樣的測試性騙局隨後引起了員工的巨大不滿,英國運輸工會(Transport Salaried Staffs' Association)甚至直接批評西米德蘭列車「愚蠢和應受譴責」。
工會總秘書科爾特斯(Manuel Cortes)就表示:「這讓人對於西米德蘭列車感到憤怒和震驚,居然設計出這樣的伎倆愚弄那些在嚴重的疫情期間站在前線的員工——是他們確保了重點工作者能夠通行耶。」
有員工染病死去
科爾特斯還痛斥,在有一名員工死於COVID-19(武漢肺炎),以及無數員工染病的情況下,西米德蘭列車竟然會選擇拿抗疫的辛勞當釣魚理由,簡直令人費解。
「這間公司應該立刻對他們完全愚蠢和應受譴責的行為作出交代。他們可以並且也應該用其他藉口去測試它們的網路安全,但它們最後卻選擇對那些努力抗疫的人們提供假獎金,這完全超出理解範圍。」
「在過去的 12個月,或是更長的時間中,我們工會的成員都做出了實質的犧牲,有些西米德蘭列車的員工在工作時被感染,有一個還令人悲痛地過世了,其他人則讓自己的家庭成員都暴露在高風險之中。」
科爾特斯更指出,西米德蘭列車應該要公開道歉,並真的給員工錢:「如此一來,西米德蘭列車才能夠糾正這個造成許多不必要傷害的錯誤。」
「只是沒有造成傷害的演習」
而即使員工及運輸工會都表現出強烈的反彈,西米德蘭列車官方卻還是堅持這次「測試」具有正當性,它的發言人表示:「我們非常認真看待網路安全,我們會進行定期培訓,而測試各位的適應能力是非常重要的。」
「那封電子郵件的設計方式就跟犯罪組織會用的東西一樣——但值得慶幸的是,這只是個沒有造成任何實質攻擊後果的演習。」
破壞公司和員工之間的關係
但另一方面,也有網路安全專家指出,測試員工其實應該要更嚴謹及小心,有時候假的獎勵不僅會造成大家心理上的傷害,甚至可能反而對公司安全造成不良影響。
「一個精心設計的釣魚信件百分之百會被點開,」倫敦大學學院(University College London)安全工程學教授莫多克(Steven J. Murdoch)透露,所有公司都難以抵禦網路釣魚的攻擊。
然而,就算是如此,公司使用有獎勵的假信件測試員工依舊是一種「誘騙」,會破壞維護網路安全中非常重要的一環,也就是公司和員工之間的關係。
「負責消防的人不會放火」
莫多克指出,有時候一些攻擊行為,其實正是來自對公司不滿的員工,而且當談到那些「釣魚測試」時,他還表示:「負責消防安全的人,並不會在建築物內放火。」
而與其阻止員工按下任何連結,莫多克說封鎖釣魚信件來源、安裝防毒軟體、處理密碼使用問題等都是更有效的策略。
失去員工的向心力
除此之外,網路安全公司「Cygenta」的共同創辦人巴克(Jessica Barker)則認為,如果失去員工的向心力的話,可能會導致他們不願意對部門通報可疑活動。
因此,要執行「測驗」時,應該要考慮到倫理、心理安全以及職場文化等層面:「(網路安全的)重點不應該放在愚弄大家,或是採取兩方『壁壘分明』的做法,而是應該要想想:我們可以如何幫助我們公司的內部人力?」
巴克還表示,她其實認同釣魚模擬有它存在的必要性,然而:「在一個財務狀況不穩定的時機,拿出像獎金這樣激起人心的誘餌,實在不是件大家會接受的事情。」