网络钓鱼是一种经常用来窃取用户数据的社交工程攻击，包括登录凭证和信用卡号码。它发生在攻击者伪装成可信实体时，让受害者打开电子邮件，即时消息或文本消息。然后，收件人被诱骗点击恶意链接，从而导致安装恶意软件，冻结系统以作为勒索软件攻击的一部分或泄露敏感信息。攻击可能会造成毁灭性的结果。对于个人而言，这包括未经授权的购买，窃取资金或识别盗窃。此外，网络钓鱼经常被用来在企业或政府网络中站稳脚跟，作为更大攻击的一部分，例如高级持续威胁(APT)事件。在后一种情况下，为了绕过安全边界，在封闭的环境中分发恶意软件，或获得对安全数据的特权访问，员工都会受到危害。

网络钓鱼攻击防护需要用户和企业采取措施:

对于用户而言，警惕性至关重要。伪造的消息通常包含暴露其真实身份的微妙错误。这些可能包括拼写错误或域名更改，如前面的 URL 示例所示。用户还应该停下来思考为什么他们甚至收到这样的电子邮件。

对于企业来说，可以采取多种措施来减轻网络钓鱼和鱼叉式网络钓鱼攻击：

双因素身份验证(2FA)是对付钓鱼攻击的最有效方法，因为它在登录到敏感应用程序时添加了额外的验证层。2FA 依赖于用户有两件事：他们知道的东西，比如密码和用户名，以及他们拥有的东西，比如他们的智能手机。即使员工受到损害，2FA 也会阻止他们使用他们被盗用的凭证，因为仅凭这些凭证不足以进入。

除了使用 2FA 之外，组织还应执行严格的密码管理政策。例如，应要求员工经常更改密码并且不允许重复使用多个应用程序的密码。

教育活动还可以通过执行安全实践来帮助减少网络钓鱼攻击的威胁，例如不要点击外部电子邮件链接。