美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu) CISA 與 NSA、FBI 和 MS-ISAC 發(fā)布了一份聯(lián)合指南，詳細(xì)介紹了常用的網(wǎng)絡(luò)釣魚技術(shù)，并提供了如何緩解這些技術(shù)的建議。

在網(wǎng)絡(luò)釣魚攻擊中，威脅行為者依靠社會(huì)工程來(lái)誘騙受害者泄露其憑據(jù)或訪問(wèn)旨在部署惡意軟件或竊取其登錄信息的惡意網(wǎng)站，然后將其用于訪問(wèn)企業(yè)網(wǎng)絡(luò)或其他資源。

在憑證盜竊網(wǎng)絡(luò)釣魚中，威脅行為者會(huì)冒充受信任的來(lái)源（例如主管或 IT 人員）來(lái)發(fā)送網(wǎng)絡(luò)釣魚電子郵件并說(shuō)服收件人泄露其用戶名和密碼。

此外，美國(guó)政府機(jī)構(gòu)在新指南 (PDF) 中指出，攻擊者還被發(fā)現(xiàn)使用移動(dòng)設(shè)備在各種聊天平臺(tái)上發(fā)送短信，并使用 VoIP 來(lái)欺騙來(lái)電顯示，作為網(wǎng)絡(luò)釣魚攻擊的一部分。

為了降低憑證盜竊網(wǎng)絡(luò)釣魚的風(fēng)險(xiǎn)，建議組織實(shí)施多重身份驗(yàn)證 (MFA)，但要避免弱形式，例如未啟用 FIDO 或基于 PKI 的 MFA、未啟用號(hào)碼匹配的推送通知 MFA 以及 SMS和語(yǔ)音 MFA。

基于惡意軟件的網(wǎng)絡(luò)釣魚還依賴于冒充可信來(lái)源來(lái)引誘收件人打開(kāi)惡意附件或跟蹤惡意鏈接，以執(zhí)行惡意軟件，從而導(dǎo)致初始訪問(wèn)、信息盜竊、系統(tǒng)中斷或損壞或權(quán)限升級(jí)。

據(jù)觀察，威脅行為者使用免費(fèi)的公開(kāi)工具發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件、使用宏腳本發(fā)送惡意附件，以及通過(guò)流行的聊天服務(wù)傳遞超鏈接或惡意附件。

為了降低成功的憑證網(wǎng)絡(luò)釣魚攻擊的風(fēng)險(xiǎn)，組織應(yīng)該對(duì)員工進(jìn)行社會(huì)工程培訓(xùn)，設(shè)置防火墻規(guī)則并啟用電子郵件保護(hù)以防止可疑或惡意電子郵件，使用電子郵件和消息監(jiān)控，實(shí)施防網(wǎng)絡(luò)釣魚的 MFA，防止用戶重定向到惡意域名，阻止已知的惡意域名和IP，限制用戶的管理權(quán)限，實(shí)施最小權(quán)限原則，阻止宏和惡意軟件的執(zhí)行。

CISA、NSA、FBI 和 MS-ISA 指出，軟件制造商應(yīng)在其開(kāi)發(fā)過(guò)程中納入安全設(shè)計(jì)和默認(rèn)安全原則，以減少網(wǎng)絡(luò)釣魚攻擊成功到達(dá)其用戶的風(fēng)險(xiǎn)。

這些機(jī)構(gòu)指出，新指南適用于所有組織的網(wǎng)絡(luò)防御，但也包括專門針對(duì)中小型企業(yè)的部分，這些企業(yè)防御網(wǎng)絡(luò)釣魚攻擊的資源可能有限。