员工更容易点击仿冒HR身份发送的钓鱼邮件

职场人士都容易信任人力资源部门-至少当收到来自“HR部门”发来的涉及员工权益、薪资福利、个税退税、休假调整、岗位晋升、绩效评估等通知邮件时，大部分人很少怀疑其真实性或去验证发件人的真实身份。尤其是在邮件中还明确标注了重要性与紧迫性（如：“重要”、“紧急”、“最后提醒”、“务必于三日内完成”等等），人们很可能会按邮件中的行动指引采取相应行动。

这些钓鱼模板可能并没有什么特别之处：它们都是HR部门在日常工作中可能发送给员工的常规性通知邮件，这些主题邮件往往会自然地激发员工的好奇心和顺从心理，这也是为什么网络攻击者喜欢仿冒人力资源部门发起钓鱼攻击。

据全球最大的安全意识厂商KnowBe4相关平台数据显示，2025年点击率最高的邮件钓鱼演练模板中，仿冒企业内部部门身份发送的邮件占据主导地位。在2025年5月1日至6月30日期间，人们在钓鱼模拟演练中互动量最高的10个钓鱼模板中，高达98.4%都与仿冒组织内部身份(在邮件主题、显示名、邮箱地址、邮件正文及签名中进行伪装)有关，其中45.2% 涉及人力资源部门。

为什么人们会沦为冒充HR的网络钓鱼受害者？

从心理学分析，当人们收到一封来自HR部门的邮件时-不论正常与否，是模拟的钓鱼邮件还是真实的钓鱼邮件-大部分人都会倾向于依赖“心理捷径”（也被称为“启发式”思维或“经验法则”）来帮助他们对邮件快速做出判断和行动。

在一般情况下，启发式比起谨慎的理性思考而言更加便捷和高效（大脑天生喜欢“偷懒”，而理性思考会消耗大量能量），但在某些场合下它也可能会导致认知偏差。认知偏差有多种类型，在钓鱼模拟演练中和真实的钓鱼攻击中，可以被利用的常见认知偏差包括：

顺从权威

人们往往会对来自具有官方性质、具有权威性的个人或机构发布的信息抱有不合理的高度信任感。这种认知偏差通常是自幼年时期就深深内化的一种启发式思维，源于从小就听话，遵从家中父母、学校老师、单位上级、行业专家、监管领导等权威人物的指令，只要是权威发话，照做就行。此外，基于传统文化等宏观因素，权威偏见或多或少在工作和生活中普遍存在。

对权威的服从虽然可能使人们不假思索，就能做出差不多正确的选择，既省心又省力。但有时盲目地服从权威也会造成一些不良后果，甚至会被诈骗分子或网络犯罪分子所利用。

权威是一种象征，有能使人轻易信服的特质。在工作场所，人们自然进入到了一个董事会和CEO处于职场权力与影响力顶端的层级体系中。而HR部门通常作为组织内部权威的官方发声渠道，负责自上而下的政策传达、管理员工关系、薪酬结构设计、绩效考核沟通等，是员工与组织之间的桥梁。员工对于来自HR部门的通知，往往倾向于凭直觉选择信任。

代表性启发式

代表性启发式指人们倾向于通过事物与某个典型特征的匹配程度，来判断其归属类别或可能性。这种启发式的问题在于过度依赖表面特征，忽视基础概率或其他统计信息，可能导致“以偏概全”的错误。

例如，当一封钓鱼邮件不符合平时的人力资源邮件书写风格和表达习惯时，员工可能会轻易识破。然而，随着GenAI在网络攻击中的作用日益凸显，网络犯罪分子比以往任何时候都更容易编写出措辞得当、高度逼真的钓鱼邮件，这些身份伪装往往使员工难以察觉出破绽。

社会认同

网络攻击者还可能利用社会认同效应。人们往往害怕错过机会，或在模棱两可的情况下选择“随大流”。例如，网络犯罪分子可能会暗示目标对象-她或他还没有完成部门或公司大部分人已经完成的事情（如90%的员工已领取公司福利，诱导目标对象点击恶意链接，输入账号信息）。

除了利用上述启发式策略外，网络犯罪分子还会在攻击中采用多种其他心理操控策略（如激发好奇心、制造紧迫感、制造焦虑或恐惧情绪等），诱导人们立即采取行动，从而绕过理性决策。

冒充HR部门发起的真实钓鱼攻击持续攀升

据KnowBe4威胁实验室团队发现，2025年1月1日至3月31日期间，冒充HR部门的网络钓鱼攻击数量较前一季度增加了120%。此后，威胁态势持续高企，网络犯罪分子冒充HR部门身份，在大量的、嘈杂的日常邮件沟通中混入OA通知和财务相关主题的钓鱼邮件，以增强说服力和可信性，促使员工与邮件快速产生互动，进而成功实施欺诈。

注：本文编译自KnowBe4官方博客，请以英文原文为准。