Eine Empfehlung wäre die 2-Faktor-Authentifizierung einzurichten. Natürlich ist auch das kein magisches "mir kann nichts passieren"-Amulett, aber auf jeden Fall steigert es den Aufwand um einen Account zu kapern. Was den Schutz gegen Phishing angeht ist der Nutzer natürlich auch weiterhin in der Pflicht, aber gewisse Risiken kann man niemals ganz ausschalten
Letztendlich besteht der beste Schutz nicht in irgendwelchen mehr oder weniger tollen Schutzprogrammen, sondern darin seinen Kopf tatsächlich auch zum Denken zu benutzen. Das bedeutet z.B. angebotene Möglichkeiten der Absicherung (wie etwa 2FA) auch zu nutzen. Es bedeutet auch, dem Webbrowser grundsätzlich zu verbieten Login-Daten selbstständig einzugeben. Auch wenn es praktisch erscheint den Passwort-Manager, z.B. per Plugin, im Browser zu haben, wer so etwas tut hat von mir im Fall des Falles keinerlei Mitgefühl zu erwarten.
Wichtig ist auch, bei jeder Email (oder sonstigen Mitteilungen) die dazu auffordern irgendeinen Link anzuklicken oder seine Daten auf einer Internetseite einzugeben, grundsätzlich mißtrauisch zu sein. Derart erreichte Internetadressen sind immer 2-fach (besser 3-fach) zu überprüfen. Das Internet ist kein freundlicher Ort mit rosa Einhörnern und süßen Katzenbabys, sondern ein kalter unfreundlicher Ort an dem hinter jeder Ecke Gefahren lauern. Gut, das ist jetzt vielleicht etwas drastisch ausgedrückt, aber das Internet ist nun wirklich nicht der richtige Ort um grundsätzlich an das gute im Menschen zu glauben.