用户应在所有通信中运用常识，并牢记以下预防措施：

• 不要在社交媒体上公开发布可用于社会工程的个人数据，例如生日、旅行计划或个人联系信息。

• 通过将鼠标悬停在“发件人”地址上来检查发件人的电子邮件地址。

• 不要点击链接，而是访问发件人的网站并验证电子邮件中指示的页面的真实性。

• 当来自已知来源的电子邮件看起来可疑时，请使用新电子邮件联系该来源，而不仅仅是点击回复。

• 阅读电子邮件并检查拼写和语法错误以及奇怪的短语。合法的公司知道如何拼写。 

• 减速。迫使用户不去思考的紧迫感是攻击者所依赖的燃料。在采取任何行动之前，稍作喘息并重新审视上述步骤。

对于企业，IT 安全专业人员可以实施以下主动措施来保护他们的组织：

• 就网络钓鱼的风险和这些攻击的特征对用户进行教育。

• 实施电子邮件保护软件以“沙箱化”入站电子邮件并验证和净化用户可能点击的链接。

• 部署第三方网络工具时要谨慎。调查他们的安全协议以确定它们是否足够全面以最大程度地减少恶意软件注入。显然，限制第三方 Web 工具的使用必须平衡安全性和提供差异化的客户体验。

• 实施多因素身份验证 (MFA)，这需要多种身份验证方法（您知道的东西、您拥有的东西和您的身份），因此是防止未经授权的用户访问敏感数据和横向移动的最佳方法之一网络内。这应该是所有组织的标准做法。 

• 应用基于风险的访问控制，根据用户行为定义和实施访问策略。通过结合分析、机器学习、用户配置文件和策略实施，可以实时做出访问决策，以缓解低风险访问，在风险较高时加强身份验证，或完全阻止访问。基于风险的访问控制通常与 MFA 结合使用。

最终，通过网络钓鱼攻击窃取有效凭据并使用它们访问网络比利用现有漏洞（甚至是零日漏洞）更容易、风险更低并且最终更有效。网络安全防御需要适应这一现实。用户教育和加强组织的身份验证系统是两个基本步骤，可以最大限度地降低与网络钓鱼和随后的旨在数据泄露的网络攻击相关的风险。 

周末谈等保：一起聊聊备案那些事（1360号文）

周末谈等保：信息系统密码应用高风险判定指引思维导图

周末谈等保：网络产品和服务安全通用要求之增强级安全通用要求

周末谈等保：网络产品和服务安全通用要求之一般安全要求

周末谈等保：网络安全等级保护政策文件汇总V1.0分享

周末谈等保：网络安全等级保护实施思维导图

周末谈等保：网络安全等级保护基本技术

周末谈等保：是网络安全工作的基本方法

周末谈等保：事件管理原理思维导图

周末谈等保：什么是等级保护？

周末谈等保：什么是等级保护？

周末谈等保：如何做好网络安全监督检查迎检工作

周末谈等保：如何做好定级与备案工作

周末谈等保：如何科学建立应急响应与保障体系

周末谈等保：来一份定级指南思维导图学定级

周末谈等保：等级保护对象的定级与保护

周末谈等保：等级保护测评机构分级思维导图

周末谈等保：等级保护测评过程及各方责任

周末谈等保：等级保护测评的价值和意义

周末谈等保：等级保护测评的价值和意义

周末谈等保：2012年的《关于加强网络信息保护的决定》

原文始发于微信公众号（河南等级保护测评）：如何防范网络钓鱼