我们首先定义目标并设定范围，决定使用哪种类型的钓鱼电子邮件以及模拟的频率。我们还将确定目标受众，包括细分特定群体或部门。

制定计划后，我们将创建逼真的模拟钓鱼电子邮件，这些邮件与真实的钓鱼威胁非常相似，基于暗网上的钓鱼模板和钓鱼工具包进行建模。我们会特别注意主题行、发件人地址和内容等细节，以制作逼真的钓鱼模拟。我们还会包括社会工程策略——甚至冒充（或“伪造”）高管或同事作为发件人——以增加员工点击电子邮件的可能性。

一旦我们确定了内容，我们将通过安全方式向目标受众发送模拟钓鱼电子邮件，同时注意隐私。

发送模拟恶意电子邮件后，我们将密切跟踪并记录员工如何与模拟电子邮件交互，监控他们是否点击链接、下载附件或提供敏感信息。

钓鱼测试后，我们将分析模拟中的数据以确定点击率和安全漏洞等趋势。随后，我们将立即向未通过模拟的员工提供反馈，解释他们如何正确识别钓鱼尝试以及如何避免未来的真实攻击。