随着移动通信技术的普及，短信钓鱼(SMiShing)已成为仅次于电子邮件钓鱼的社会工程攻击手段。据TechReport统计，2019年以来美国因SMiShing造成的经济损失高达8600万美元。尽管33%的企业已开展防御培训，但研究显示大学生群体因设备屏幕限制、心理脆弱性等特点，仍是攻击重灾区。令人担忧的是，现有防护体系主要基于电子邮件钓鱼(Phishing)研究构建，而SMiShing特有的移动端交互特性使其防御机制存在显著差异。

Old Dominion University的研究团队通过两项创新性研究揭示了这一安全困境。研究首先发现传统网络卫生指标(CHI)对SMiShing行为预测完全失效，即使接受过培训的用户仍表现出高风险行为。更关键的是，眼动追踪技术首次捕捉到用户"声称依赖发件人号码，实际却更关注内容"的认知-行为分离现象。这些发现发表于《CMES - Computer Modeling in Engineering and Sciences》，为重构移动端安全防护体系提供了科学依据。

研究方法包含两个关键环节：Study 1采用网络卫生量表(CHI)和定制化问卷，对大学生群体进行SMiShing知识、态度、行为的多维度评估；Study 2结合眼动仪和回溯性报告，量化分析用户处理可疑短信时的视觉注意分配模式。样本来自18-22岁本科生群体，该人群被多项研究证实为SMiShing最高危人群。

【个体差异与网络卫生的失效】
数据分析显示，性别、培训经历等传统钓鱼攻击预测因子对SMiShing行为无显著影响。更意外的是，Vishwanath开发的网络卫生量表(CHI)得分与安全行为呈零相关，暗示移动端需建立独立评估体系。

【眼动追踪揭示认知偏差】
当参与者声称"通过号码识别诈骗"时，眼动数据却显示其80%注视时间集中在消息内容。这种自我认知与实际信息处理策略的错位，解释了为何基于"核对发件人"的传统培训收效甚微。

【讨论与启示】
该研究颠覆了三个固有认知：首先证明网络卫生具有媒介特异性，电子邮件防护知识无法迁移到短信场景；其次揭示用户存在"安全能力幻觉"，自评防护能力显著高于实际表现；最重要的是发现移动端需建立"内容导向"而非"来源导向"的防御框架。这些发现为开发基于视觉注意规律的SMiShing防护系统——如重点信息高亮、风险关键词标记等——提供了理论基础。

研究同时指出当前培训的局限性：单纯增加SMiShing知识不能改变风险行为，未来干预需结合眼动反馈等行为矫正技术。正如作者Morgan E. Edwards强调："当用户的眼睛背叛了他们的自信，我们需要重新思考网络安全教育的范式。"这项开创性工作不仅填补了SMiShing领域人因研究的空白，更标志着网络安全防护从"通用型"向"场景适配型"转变的关键突破。