Veel phishingaanvallen beginnen tegenwoordig via sms of chatbericht, maar vanwege de beperkte ruimte op de schermen van smartphones kan het lastig zijn voor gebruikers om phishingsites te herkennen. Daarnaast is het verstandig om geen sms voor multifactorauthenticatie (MFA) te gebruiken, macro's in Microsoft Office te blokkeren en personeel over social engineering en phishing te trainen, zo stelt de Amerikaanse geheime dienst NSA. Samen met de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) heeft de NSA een document gemaakt met tips om phishingaanvallen in 'fase één' tegen te gaan (pdf).

Het adviesdocument richt zich op phishing gericht op het stelen van inloggegevens en het verspreiden van malware. In het geval van inloggegevens adviseren de Amerikaanse overheidsdiensten het gebruik van MFA, maar dan wel een 'phishingbestendige' variant. Zo wordt afgeraden om MFA via sms te doen, aangezien deze vorm kwetsbaar is voor sim-swapping en man-in-the-middle-aanvallen.

Ook wordt gewaarschuwd tegen MFA via push-notificaties. Via MFA fatigue kan een aanvaller alsnog met gestolen inloggegevens toegang tot een account krijgen. Bij deze aanval probeert een aanvaller met gestolen inloggegevens op een account in te loggen, waardoor het slachtoffer allerlei push-notificaties op zijn telefoon ontvangt om de inlogpoging op zijn account goed te keuren. De aanvaller blijft vervolgens net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna er toegang tot het account wordt verkregen.

Een ander probleem is dat aanvallers chatapps, sms en 'collaboration platforms' zoals Slack gebruiken om gebruikers op malafide links te laten klikken. "Het kan lastig voor een gebruiker zijn om malafide uniform resource locators (URL's) op deze kleine platforms te herkennen, aangezien ze beperkte gebruikersinterfaces gebruiken", aldus het document. Dat adviseert dan ook het trainen van personeel over social engineering en phishing en ook periodiek awarenesstrainingen te organiseren.

Verder worden organisaties aangeraden om gebruikers geen beheerdersrechten te geven, macro's standaard uit te schakelen, de beveiligingsstandaard Domain-based Message Authentication, Reporting, and Conformance (DMARC) in te stellen, gratis beveiligingstools zoals Quad9 of Google Safe Browsing te gebruiken en het opzetten van een eigen appstore waar gebruikers alleen goedgekeurde apps kunnen downloaden en apps en executables afkomstig van andere bronnen worden geblokkeerd.