用户应在所有通信中运用常识，并牢记以下预防措施：

• 不要在社交媒体上公开发布可用于社会工程的个人数据，例如生日、旅行计划或个人联系信息。

• 通过将鼠标悬停在“发件人”地址上来检查发件人的电子邮件地址。

• 不要点击链接，而是访问发件人的网站并验证电子邮件中指示的页面的真实性。

• 当来自已知来源的电子邮件看起来可疑时，请使用新电子邮件联系该来源，而不仅仅是点击回复。

• 阅读电子邮件并检查拼写和语法错误以及奇怪的短语。合法的公司知道如何拼写。 

• 减速。迫使用户不去思考的紧迫感是攻击者所依赖的燃料。在采取任何行动之前，稍作喘息并重新审视上述步骤。

对于企业，IT 安全专业人员可以实施以下主动措施来保护他们的组织：

• 就网络钓鱼的风险和这些攻击的特征对用户进行教育。

• 实施电子邮件保护软件以“沙箱化”入站电子邮件并验证和净化用户可能点击的链接。

• 部署第三方网络工具时要谨慎。调查他们的安全协议以确定它们是否足够全面以最大程度地减少恶意软件注入。显然，限制第三方 Web 工具的使用必须平衡安全性和提供差异化的客户体验。

• 实施多因素身份验证 (MFA)，这需要多种身份验证方法（您知道的东西、您拥有的东西和您的身份），因此是防止未经授权的用户访问敏感数据和横向移动的最佳方法之一网络内。这应该是所有组织的标准做法。 

• 应用基于风险的访问控制，根据用户行为定义和实施访问策略。通过结合分析、机器学习、用户配置文件和策略实施，可以实时做出访问决策，以缓解低风险访问，在风险较高时加强身份验证，或完全阻止访问。基于风险的访问控制通常与 MFA 结合使用。

原文始发于微信公众号（河南等级保护测评）：如何防范网络钓鱼