美國網絡安全機構 CISA 與 NSA、FBI 和 MS-ISAC 發(fā)布了一份聯(lián)合指南，詳細介紹了常用的網絡釣魚技術，并提供了如何緩解這些技術的建議。

在網絡釣魚攻擊中，威脅行為者依靠社會工程來誘騙受害者泄露其憑據(jù)或訪問旨在部署惡意軟件或竊取其登錄信息的惡意網站，然后將其用于訪問企業(yè)網絡或其他資源。

在憑證盜竊網絡釣魚中，威脅行為者會冒充受信任的來源（例如主管或 IT 人員）來發(fā)送網絡釣魚電子郵件并說服收件人泄露其用戶名和密碼。

此外，美國政府機構在新指南 (PDF) 中指出，攻擊者還被發(fā)現(xiàn)使用移動設備在各種聊天平臺上發(fā)送短信，并使用 VoIP 來欺騙來電顯示，作為網絡釣魚攻擊的一部分。

為了降低憑證盜竊網絡釣魚的風險，建議組織實施多重身份驗證 (MFA)，但要避免弱形式，例如未啟用 FIDO 或基于 PKI 的 MFA、未啟用號碼匹配的推送通知 MFA 以及 SMS和語音 MFA。

基于惡意軟件的網絡釣魚還依賴于冒充可信來源來引誘收件人打開惡意附件或跟蹤惡意鏈接，以執(zhí)行惡意軟件，從而導致初始訪問、信息盜竊、系統(tǒng)中斷或損壞或權限升級。

據(jù)觀察，威脅行為者使用免費的公開工具發(fā)送魚叉式網絡釣魚電子郵件、使用宏腳本發(fā)送惡意附件，以及通過流行的聊天服務傳遞超鏈接或惡意附件。

為了降低成功的憑證網絡釣魚攻擊的風險，組織應該對員工進行社會工程培訓，設置防火墻規(guī)則并啟用電子郵件保護以防止可疑或惡意電子郵件，使用電子郵件和消息監(jiān)控，實施防網絡釣魚的 MFA，防止用戶重定向到惡意域名，阻止已知的惡意域名和IP，限制用戶的管理權限，實施最小權限原則，阻止宏和惡意軟件的執(zhí)行。

CISA、NSA、FBI 和 MS-ISA 指出，軟件制造商應在其開發(fā)過程中納入安全設計和默認安全原則，以減少網絡釣魚攻擊成功到達其用戶的風險。

這些機構指出，新指南適用于所有組織的網絡防御，但也包括專門針對中小型企業(yè)的部分，這些企業(yè)防御網絡釣魚攻擊的資源可能有限。