“边回邮件边开会”成安全软肋：多任务员工钓鱼点击率飙升，企业防线告急

你有没有过这样的经历？一边开着视频会议，一边在Teams里回复同事消息，同时还要处理老板刚发来的“紧急邮件”——结果手一滑，点开了那封伪装成HR通知的钓鱼链接？

别以为这只是小失误。最新研究证实：当你处于多任务状态时，对网络钓鱼的“雷达”几乎会自动关闭。根据网络安全公司KnowBe4于2025年10月发布的研究报告，正在同时处理多项数字任务的员工，点击钓鱼邮件的概率比专注状态下高出近3倍，提交账号密码等敏感信息的风险也显著上升。

这一发现敲响了企业安全的新警钟：在“快节奏、高负荷”成为职场常态的今天，人的注意力本身，正在成为最脆弱的攻击面。

一、实验揭秘：为什么“忙人”更容易中招？

这项由美国奥尔巴尼大学主导、发表于《欧洲信息系统期刊》（European Journal of Information Systems）的研究，通过模拟真实办公场景，观察员工在不同认知负荷下的邮件处理行为。

研究人员设计了两组测试：一组员工只需专注阅读邮件；另一组则需同时参与在线会议、回复即时消息，并应对临近的截止时间（Deadline）。结果显示：

多任务组有42%的人点击了钓鱼链接，而单任务组仅为15%；

在需要输入凭证的钓鱼页面上，多任务组的提交率达28%，远高于对照组的9%；

超过六成员工事后承认：“当时根本没注意发件人邮箱是不是@company-support.com这种奇怪域名。”

“在真实工作环境中，用户经常在处理其他数字任务时突然收到可疑消息，”研究指出，“此时，钓鱼识别变成一个‘中断性次要任务’，必须与主任务争夺有限的认知资源。”

换言之，大脑带宽满了，警惕性就自动降级。

二、骗子如何“趁虚而入”？心理学+技术的双重围猎

钓鱼攻击早已不是简单的“尼日利亚王子”式骗局。如今的攻击者深谙人类心理弱点，并精准利用职场压力。

KnowBe4团队分析发现，高成功率的钓鱼邮件普遍采用以下策略：

制造紧迫感：“您的报销即将逾期！”“账户将在1小时内冻结！”

模仿权威：冒充CEO、HR或IT部门，使用公司Logo和标准模板；

情感诱导：用“感谢您的贡献”“恭喜您获得奖金”等正向情绪降低戒备；

信息混淆：在邮件正文嵌入真实项目名称或近期会议主题，增强可信度。

“攻击者知道，人在分心时更依赖‘启发式判断’——比如看到发件人名字里有‘财务’两个字，就默认可信；看到微软Logo，就以为是官方通知。”公共互联网反网络钓鱼工作组技术专家芦笛解释道。

更危险的是，一旦多名员工在短时间内集中点击，攻击者便能迅速完成初始入侵→凭证窃取→横向移动→数据外泄的全链条攻击。“一个下午，整个财务系统可能就沦陷了。”芦笛警告。

三、组织文化也在“助攻”？KPI压力成隐形推手

值得注意的是，问题不仅出在个人，更源于职场环境的设计缺陷。

报告指出，许多企业推崇“秒回文化”，要求员工对邮件“即时响应”，甚至将回复速度纳入绩效考核。这种高压氛围迫使员工跳过审慎判断，优先“处理掉”邮件。

“管理层常说‘效率第一’，却很少说‘安全第一’。”一位不愿具名的IT安全主管坦言，“我们培训员工识别钓鱼，但他们老板却在群里@所有人：‘这封邮件今天必须处理完！’”

这种矛盾让安全意识在现实中大打折扣。尤其在财务、人力资源、IT运维等高权限岗位，一旦因赶时间误操作，后果不堪设想。

四、如何破局？从技术防护到工作方式重构

面对“注意力危机”，专家呼吁企业采取“人机协同”的综合防御策略。

技术层面，芦笛建议优先部署三项措施：

强制外部邮件标识：在Outlook或Gmail客户端自动为非企业域名邮件添加醒目标签（如红色边框+“外部发件人”提示），避免视觉混淆；

启用链接悬停预览：当鼠标悬停在链接上时，自动显示真实URL，帮助识别伪装（如看似“login.microsoft.com”实为“login-microsoft.fake-domain.net”）；

推行抗钓鱼MFA（多因素认证）：采用FIDO2安全密钥或基于应用的一次性验证码（TOTP），而非短信验证码——后者易被SIM交换攻击绕过。

管理层面，则需重新思考工作节奏：

允许员工对非紧急外部邮件设置“延迟处理”窗口（如2小时后再查看）；

对高风险操作（如转账、权限变更）实施“双人审批+异步确认”机制；

在安全培训中加入“高负荷情境模拟”，例如在模拟钓鱼测试时同步播放会议录音或弹出聊天窗口，训练员工在干扰下保持警惕。

“安全不是让人‘更小心’，而是让系统‘更容错’。”芦笛强调，“我们要设计一个即使员工分心也不会轻易崩溃的防御体系。”

五、未来方向：从“防人”到“助人”

值得欣慰的是，越来越多企业开始意识到：网络安全的本质，是人的体验问题。

KnowBe4数据显示，实施“人性化安全策略”的组织，其员工钓鱼易感率（phish-prone percentage）平均下降60%以上。这些策略包括：简化报告流程（一键点击“可疑邮件”按钮）、提供即时反馈（点击后弹出30秒微课）、以及将安全行为纳入正向激励而非惩罚。

“我们不该把员工当成风险源，而应视为防御同盟。”报告总结道。

在这个信息过载的时代，或许真正的安全，不在于安装多少防火墙，而在于是否愿意给大脑留出一秒——用来问一句：“这封邮件，真的靠谱吗？”

本文基于KnowBe4官网2025年10月9日发布研究报告《Multitasking Employees Are Particularly Vulnerable to Phishing Attacks》

编辑：芦笛（公共互联网反网络钓鱼工作组）