“网络钓鱼”是在线社会工程攻击的广义术语，攻击者冒充受害者信任的人。网络钓鱼攻击可以有很多目标；基本上可以说服用户代表被冒充实体做的任何事情。2FA 可以防止某些攻击，并且某些形式的 2FA 提供比其他形式更好的保护，但这并不是一个完美的解决方案。

• 攻击者想要凭据：让用户在看似受信任的站点的 Web 表单中输入他们的凭据。如果帐户具有 2FA，仅此一项不会让攻击者访问该帐户，但我们从未指定“访问该帐户”，仅指定“凭据”。
• 攻击者想要访问该帐户：欺骗受信任的登录页面，然后同时尝试使用捕获的凭据登录（并转发回任何面向用户的提示），以便用户看到预期的 2FA 行为并批准登录/进入他们的访问权限代码。（这不适用于 FIDO/U2F，但攻击者可以尝试让他们的欺骗登录页面抱怨安全密钥不起作用，并且受害者应该使用其他身份验证方法。）
• 攻击者想要访问帐户内容（电子邮件等）：说服受害者授权攻击者控制的应用程序（可能称其为“Gmail 隐私保护”或类似的），并获得对用户邮箱的访问权（这种确切的类型的攻击发生在不到 3 年前，应用程序欺骗了 Google Docs 集成，然后将自身作为蠕虫转发）。
• 攻击者想要控制受害者的浏览器：让受害者从“可信”来源安装浏览器扩展。
• 攻击者想要接管/危害（可能使用勒索软件）受害者的整台计算机：说服受害者运行由“受信任”来源编写/分发的程序。
• 攻击者希望受害者向他们发送 2500 美元的礼品卡（这是一种比您想象的更常见的攻击）：说服受害者您是他们的老板，告诉他们用他们的公司帐户购买礼品卡并且它已被覆盖，并且将它们发送给看似合理的收件人（公司合作伙伴，或举办有奖活动的内部团队，或其他）但地址错误的人。
• 攻击者想要……你明白了。

对您的凭据进行网络钓鱼就像对您的会话令牌进行 XSS 攻击。它是显而易见的、可怕的并且是一个完全合法的目标，但它远非攻击者可以做的唯一事情，专门针对该目标进行保护的缓解措施通常对阻止其他目标几乎没有作用或根本没有作用。FIDO/U2F 安全密钥可针对基于 Web 的网络钓鱼页面提供出色的保护，但您需要始终如一地使用它们。它们无法防止您授权访问应用程序、运行代码（在您的浏览器/手机等沙箱中，或直接在您的计算机上）或其他不直接涉及窃取受害者凭据或登录会话的攻击。

假设：网络钓鱼是指建立一个看起来像 GMail 的假网页，并试图诱骗用户在其中输入用户名和密码。

GMail 具有三种类型的 2FA

1) 电话提示：要打败这一点，攻击者所要做的就是立即尝试使用您窃取的用户名和密码登录。由于您认为您正在登录（毕竟您只是尝试登录他们的网络钓鱼站点），因此您可能会确认它。通过注意到浏览器/位置等问题，可能会在这里保存更精明的用户，但许多人只会点击。（而且更精明的攻击者知道您的浏览器/操作系统和位置，因为您刚刚使用了他们的网络钓鱼站点，并且也可能会麻烦地进行欺骗。）

2) SMS 代码：同样，攻击者只需建立一个网站，该网站还要求您提供手机号码，然后立即使用他们从您那里获取的信息，您将收到一条 SMS，然后您将其输入到他们放置的 2FA 屏幕中。如果他们最初的网络钓鱼页面欺骗您输入您的信息，那么您不太可能在第 2 步突然注意到它是假的。

3) FIDO U2F 加密狗/密钥令牌：如果您被诱骗在网络钓鱼站点中输入您的用户名和密码，则实际上提供了一些真正的安全性。攻击者将无法使用他们欺骗您为 mail.googiie.hackerland 生成的令牌来访问真正的谷歌域。