使用智能手机或平板电脑以及短信系统（SMS），在Slack、Teams、Signal、WhatsApp或Facebook Messenger等平台上发送私信，引诱用户泄露自己的登录凭据。（注意：在远程办公等混合环境中运营的组织面对面互动较少，虚拟交流频繁；因此，这些环境中的用户更有可能被针对其常用平台量身定制的社会工程技术所欺骗whatsapp看不到最后在线时间。）

　　用互联网协议语音电话（VoIP）冒充来电者身份。此举滥用了公众对电话服务（尤其是固定电话）安全性的信任。

　　《指南》指出，多因素认证（MFA）可以限制恶意行为者使用被泄露的凭据进行初始网络访问的能力。尽管如此，如果启用了弱形式的MFA，恶意行为者仍然可以通过网络钓鱼和其他技术获得访问权限。弱形式的MFA实例包括以下几种：

　　短信或语音MFA。恶意行为者可以诱骗移动通信运营商转移用户电话号码的控制权，以接收任何基于短信或移动电话的MFA验证码。恶意行为者还可能通过发送包含恶意网站（模仿公司的合法登录门户）链接的电子邮件，来欺骗用户提交他们的用户名、口令和MFA验证码，恶意行为者随后会接收这些信息，以在合法登录门户中冒充用户进行身份验证。

　　不支持号码匹配的推送MFA。恶意行为者可以发送大量的批准或拒绝“推送请求”，直到用户接受请求为止。因此，如果没有启用号码匹配功能，恶意行为者可能会使用受损用户的凭据进行身份验证。

　　其他不支持快速身份在线（FIDO）或公钥基础设施（PKI）的MFA。恶意行为者会利用已泄露的合法凭据冒充用户进行身份认证，而这些MFA很容易被这种攻击破解。

　　《指南》建议组织采取组织反网络钓鱼培训、实施内部邮件及信息流监控、加固凭证等措施来保护登录凭证。其中加固凭证的措施包括：

　　实施基于FIDO或PKI的MFA。这些形式的MFA可抵御网络钓鱼，并能抵御《指南》所列出的威胁；

　　实施基于单点登录（SSO）的凭证集中管理。单点登录是一种用户生命周期管理机制，它可以降低用户被社会网络诱骗而放弃登录凭据的几率，尤其是与MFA或抗网络钓鱼MFA搭配使用时。SSO还可为 IT专业人员提供审计跟踪功能，以便在发生可疑或确认的安全漏洞后主动或追溯检查。飞天诚信推出了一系列FIDO硬件安全密钥产品(FIDO Security Key)，用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机，快速、安全地完成账号登录或单点登录。目前，飞天诚信FIDO系列产品的核心模块获得了美国国家标准与技术研究所（NIST）颁发的FIPS-140-2二级认证，且物理安全级别达到3级。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。

　　飞天诚信数字身份统一认证与管控平台（FTIAM）集中管理企业的组织架构、员工、应用系统和账号授权等信息，实现对员工信息全生命周期的精细化管理，自动化完成员工入职/离职在下游应用中开通/删除账号的相应权限。全面助力企业快速实现数字化身份转型。FTIAM支持单点登录，为企业员工、合作伙伴和客户提供一键式安全访问体验。