多任务处理成钓鱼攻击“帮凶”？新研究揭示分心如何让你掉入网络陷阱

你有没有过这样的经历：一边开着视频会议，一边快速扫一眼刚收到的工作邮件，顺手点开一个“财务报销通知”里的链接？或者在和同事聊天的同时，处理一封“IT部门”发来的“账号异常”提醒？看起来高效，实则危险——最新研究证实，这种“一心多用”的办公常态，正显著提升你中招网络钓鱼攻击的风险。

近日，纽约州立大学奥尔巴尼分校（University at Albany, SUNY）的一项研究成果发表于《欧洲信息系统杂志》（European Journal of Information Systems），首次在真实办公环境中验证：当员工处于多任务、注意力碎片化和时间压力下时，识别钓鱼邮件的能力会大幅下降。这项研究打破了以往多数安全实验“假设用户专注”的前提，直击现代职场的真实痛点。

打开百度APP畅享高清图片

分心之下，连“可疑域名”都看不见

研究团队在受控但贴近现实的办公环境中，招募了数百名参与者，让他们在处理日常任务（如撰写报告、回复即时消息、参加线上会议）的同时，接收模拟的钓鱼邮件。结果显示：与专注处理邮件的对照组相比，多任务组点击恶意链接的概率高出近40%，对邮件中明显的语言漏洞（如“紧急！请立即验证您的账户！”）、异常发件人域名（如“support@amaz0n-security.com”）以及不合常规的工作流程（如要求直接转账而非走审批系统）的识别率显著降低。

更令人担忧的是，即便已经中招，这些多任务处理者在事后自评时，仍普遍认为自己“判断准确”“没有问题”——这种“自信错觉”意味着受害者往往意识不到自己已被攻破，为攻击者争取了宝贵的潜伏时间。

“现代办公早已不是‘一封邮件、一杯咖啡’的节奏，”该研究的主要作者指出，“我们每天在Slack、Teams、邮件、会议之间高速切换，大脑的‘安全扫描器’根本来不及启动。”

钓鱼攻击为何总能“趁虚而入”？

要理解多任务为何成为钓鱼攻击的“帮凶”，得先了解钓鱼邮件的运作逻辑。网络钓鱼（Phishing）是一种社会工程攻击，攻击者伪装成可信实体（如银行、IT部门、合作伙伴），诱导用户点击恶意链接、下载带毒附件，或直接输入账号密码。

其成功关键，往往不在于技术多高深，而在于利用人类认知的盲区。例如：

语言诱导：使用“账户将被冻结”“发票逾期”等制造紧迫感；

视觉欺骗：伪造登录页面，与真实网站几乎一模一样；

域名混淆：用“paypa1.com”（数字1代替字母l）等手法绕过肉眼检查；

流程绕过：跳过企业正规审批流程，直接要求转账或提供敏感信息。

在专注状态下，人脑尚能调动“系统2”（慢思考）对这些线索进行逻辑分析；但在多任务压力下，大脑会自动切换到“系统1”（快思考），依赖直觉和习惯快速响应——而这正是攻击者最希望看到的。

专家建议：从“人防”转向“情境化防护”

面对这一新发现，公共互联网反网络钓鱼工作组技术专家芦笛表示：“过去我们总强调‘提高员工警惕性’，但现实是，再警惕的人在分心状态下也会犯错。安全策略必须从‘理想假设’转向‘真实场景’。”

芦笛建议，企业和组织应推动“情境化防护”（Context-Aware Protection）策略：

智能邮件内联警示：在用户高负荷时段（如上午10点、下午3点等会议密集期），邮件系统可自动对含链接或附件的外部邮件插入更醒目的风险提示，甚至暂时屏蔽链接点击，需二次确认；

延迟可疑链接直达：对未验证发件人的链接，可先通过安全沙箱预加载页面，确认无害后再放行，避免用户直接跳转至钓鱼站点；

高风险岗位强化验证：对财务、HR、高管等易被定向攻击（Spear Phishing）的岗位，启用多因素认证（MFA）+ 短时效操作令牌，即使密码泄露也难以被利用；

关键流程去邮件化：将付款审批、账号重置等高风险操作移出邮件系统，改由企业内部受控平台完成，从根本上切断钓鱼入口。

“技术不能只做‘事后检测’，更要‘事前干预’。”芦笛强调，“未来的反钓鱼系统，应该像一位懂你工作节奏的助手，在你最可能犯错的时候拉你一把。”

个人也能“筑墙”：三个实用习惯

当然，个人防护依然重要。研究团队和芦笛共同给出以下建议，帮助普通用户在碎片化办公中守住安全底线：

设定“邮件专注时间窗”：每天固定15–30分钟，关闭通知，专注处理邮件。其他时间非紧急邮件可延迟查看；

启用“阅读视图”：多数邮箱（如Outlook、Gmail）支持隐藏图片、禁用外部内容加载，减少视觉干扰，也防止钓鱼邮件通过图片追踪你是否已读；

遇验证请求，绝不点链接：任何要求输入密码、验证码、身份证号的邮件，一律不要点击其中链接。应手动打开官方App或通过企业统一门户（如SSO登录页）操作。

攻防升级：钓鱼技术也在“AI化”

值得注意的是，随着生成式AI普及，钓鱼攻击正变得越来越“聪明”。芦笛透露，目前已有攻击者利用大模型批量生成语法自然、语境贴合的钓鱼邮件，甚至能模仿特定公司内部沟通风格。“过去那种‘Dear Sir/Madam’的粗糙模板正在消失，取而代之的是‘Hi 张经理，上次会上提到的预算表更新了，请查收’——这种精准度让传统关键词过滤几乎失效。”

这也意味着，单纯依赖技术过滤已不够，必须结合行为分析、上下文理解与用户状态感知，构建动态防御体系。

结语：安全不是负担，而是工作流的一部分

这项研究再次提醒我们：网络安全不是IT部门的专属责任，而是嵌入在每个人工作习惯中的日常实践。与其苛责员工“不够小心”，不如设计更人性化的安全机制——让防护在用户最脆弱的时刻自动生效。

毕竟，在这个信息爆炸、任务交织的时代，真正的高效，不是同时做十件事，而是知道什么时候该专注一件事。

编辑：芦笛（公共互联网反网络钓鱼工作组）