Google 安全经理 Matt Linton 通过官方安全博客发表博文，认为企业没必要用假的钓鱼邮件去训练员工，因为钓鱼邮件测试并不会增加员工抵抗钓鱼邮件的能力。为了满足美国政府的安全合规要求，企业会向员工发送模拟的钓鱼邮件，如果员工上当他们将需要参加安全方面的学习。以 Google 为例，如果员工点击了模拟钓鱼邮件，他们会被告知未通过测试，需要参加安全培训。Linton 指出，没有证据表明此类测试能减少钓鱼邮件的成功率。 2021 年的一项为期 15 个月的研究结论认为，钓鱼测试不会让员工对钓鱼邮件更有抵抗力。

https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html