近期，美网络安全和基础设施安全局（CISA）和联邦调查局（FBI）联合发布了一份指南，详细揭露了恶意黑客所使用的网络钓鱼技术，并提供了相应的防御措施。

在网络安全领域，网络钓鱼攻击已成为一种常见的威胁手段。为了应对这一挑战，CISA和FBI联合发布了一份指南，旨在详细揭露恶意黑客所使用的网络钓鱼技术，并提供相应的防御措施。该指南详细分析了当前网络钓鱼攻击的各种技术手段和策略，包括但不限于伪装成银行、政府机构、同事或朋友的邮件、短信等，诱导用户点击恶意链接、下载病毒或木马，以及输入敏感信息等。这些攻击手段往往具有高度的伪装性和欺骗性，使得用户难以分辨真伪。

CISA和FBI联合揭露的网络钓鱼攻击手段主要包括以下几种。首先最普通的网络钓鱼通常是攻击者通过邮件、短信等方式向用户发送伪装成各种信息的链接，欺骗用户输入敏感信息、下载病毒或木马等恶意软件。

鱼叉式网络钓鱼是针对特定目标或组织的高级钓鱼攻击，攻击者会事先对目标进行侦察，构造定制化的钓鱼邮件或短信。钓鲸攻击则是专门针对组织内的高级管理人员（如首席执行官、首席财务官等），因其受害者价值高，被盗信息更具价值。

水坑攻击是攻击者分析目标的上网活动规律，寻找并攻破目标经常访问的网站，植入攻击代码，等待目标“中招”。基于社交媒体的灯笼式钓鱼欺诈方法，攻击者会伪装成公共场所的WIFI热点，诱导受害者连接从而窃取其信息。

此外，还有使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通过多个域和IP地址发送垃圾邮件，绕过基于信誉或数量的垃圾邮件过滤技术雪鞋攻击。DNS服务器投毒，通过入侵DNS服务器，将流量定向到钓鱼网站，窃取用户敏感信息。中间人攻击，通过拦截并改变通信链路，控制网络流量，监听或插入特定信息以获取个人敏感信息等。

为了有效防御网络钓鱼攻击，CISA和FBI提出多种建议。比如使用多因素认证（MFA），CISA和FBI强烈推荐采用基于FIDO或PKI的MFA，能够显著提高账户的安全性，抵御网络钓鱼攻击。同时避免因使用短信或语音MFA，而被拦截或伪造。

CISA和FBI建议使用DMARC（域名消息认证、报告和一致性）等技术验证电子邮件的真实性，确保来源的可靠性。采用DNS过滤技术，防止用户访问恶意网站或下载恶意软件。通过部署电子邮件过滤器，可以自动识别和拦截可疑的钓鱼邮件。其中的应用程序白名单则限制只有经过授权的应用程序才能执行，防止恶意软件入侵。及时更新操作系统、浏览器、办公软件等关键软件，以修复已知的安全漏洞，减少被攻击的风险。

此外，企业还应加固凭证管理，采用安全的凭证管理策略，定期检查并更新凭证，避免使用弱密码或重复密码。对于中小型企业而言，用户培训尤为重要。应定期组织反网络钓鱼培训，提高员工对网络钓鱼攻击的认识和防范能力，明确在遭遇网络钓鱼攻击时的应对措施和流程。一旦发现网络钓鱼事件，及时向CISA和FBI报告。

对于用户来说要保持警惕和良好上网习惯，不轻信发件人显示的姓名，认清发件人地址。警惕索要敏感信息的邮件或链接。不随意点击邮件内的链接或下载不熟悉的附件。终端设备要安装杀毒软件并及时更新病毒库。

ISA和FBI联合发布的这份网络钓鱼攻击防御指南，为组织和个人提供了全面而具体的防御措施建议。通过实施这些措施，可以显著降低网络钓鱼攻击的成功率，保护敏感信息的安全。同时，也提醒广大用户保持警惕，增强网络安全意识，共同构建安全的网络环境。