目前，身份盜竊可謂是網(wǎng)絡(luò)罪犯分子的金礦——2016年此類犯罪案件達到了歷史最高點，由身份欺詐和盜用造成的損失高達160億美元。大多數(shù)人已經(jīng)意識到，由于過去幾年信息泄露事件頻發(fā)(如2016年下半年的雅虎事件，以及近期的Equifax數(shù)據(jù)泄漏事件)，未來身份盜竊的案件將日益增多。雖然說身份盜竊本身也有一定的危害，但是其真正的有形破壞通常是在攻擊者將這些被盜信息用于惡意目的之后才會彰顯。

　　身份盜竊可能會對用戶造成毀滅性的后果，特別是當(dāng)攻擊者開始瞄準(zhǔn)他們生活中的重要方面時——如保險、銀行、信用卡等。許多用戶實際上并不知道他們自身已經(jīng)受到了威脅，并且在遇到身份盜用或欺詐時通常會感到十分驚訝。

　　但是，我們不禁要問，這些被盜的信息到底流向了哪里?他們是在地下市場銷售嗎?會不會與其他被盜信息捆綁在一起出售給合法的公司(像是大數(shù)據(jù)分析以及廣告營銷等)?還是被用于支付欺詐?在我們深入探討這些被盜信息和數(shù)據(jù)的最終去向之前，讓我們先來看看這些信息究竟是如何被竊的吧。

　　一、信息是如何被盜的呢?

　　雖然高調(diào)的新聞報道會讓我們誤以為黑客才是信息泄漏的主要的原因，但是，根據(jù)我們之前做過的一項題為《解密數(shù)據(jù)泄露的原因》的調(diào)查報告結(jié)果顯示，從2005年-2015年期間，設(shè)備丟失或被盜實際上才是信息泄露的主要原因(所占比例為41%)。排名第2的原因就是黑客或惡意軟件(所占比例為25%);然后是無意的披露(17.38%)、內(nèi)部泄密(12.01%)、支付欺詐(1.43%)以及其他未知原因等。

　　二、黑客用被盜信息做了什么?

　　通常情況下，根據(jù)被盜信息類型的不同，其最終流向也會所有區(qū)別。以下是數(shù)據(jù)被盜后發(fā)生的一些具體示例：

　　【被盜信息可能出現(xiàn)運用場景】

　　1. 個人身份信息

　　個人身份信息(Personally identifiable information，以下簡稱PII)是指可用于識別、定位或關(guān)聯(lián)特定個體的數(shù)據(jù)。PII具體包括姓名、出生日期、住址、社會保障號碼、電話號碼以及其他所有用于區(qū)分或識別個人身份的數(shù)據(jù)。

　　PII是最可能被盜的數(shù)據(jù)類型，網(wǎng)絡(luò)犯罪份子在如何利用PII方面具有高度的靈活性。攻擊者經(jīng)?？梢灾苯訉κ芎φ哌M行惡意攻擊，通過使用受害人名下的貸款或信用卡信息提供欺詐性所得稅申報，并以受害人的名義申請貸款等。另一方面，當(dāng)這些PII被銷售給市場營銷公司或?qū)ｉT從事垃圾郵件活動的公司后，受害者也會由此受到間接影響，飽受垃圾/廣告郵件和騷擾電話的困擾。

　　2. 財務(wù)信息

　　財務(wù)信息是個人財務(wù)活動中使用的相關(guān)數(shù)據(jù)。其中包括銀行信息、賬單賬戶、保險信息以及其他可用于訪問賬戶或處理金融交易的數(shù)據(jù)。

　　當(dāng)這些信息被竊時，可能會極大地威脅用戶的財產(chǎn)安全。網(wǎng)絡(luò)犯罪分子可以利用盜取的財務(wù)信息進行簡單的惡意攻擊活動，例如支付賬單、進行欺詐性線上交易，以及轉(zhuǎn)移受害人的銀行資產(chǎn)等。更多的專業(yè)網(wǎng)絡(luò)犯罪份子和組織甚至可能會制造假信用卡供自己使用。

　　3. 醫(yī)療信息

　　醫(yī)療信息是指用于個人醫(yī)療服務(wù)相關(guān)的數(shù)據(jù)。其中包括醫(yī)療記錄、醫(yī)療保險以及其他相關(guān)的信息。

　　醫(yī)療健康信息類似于PII信息，因為它們都包含大量可用于識別用戶個人身份的信息。除了可以像PII一樣揭示用戶的身份外，醫(yī)療信息在一些國家還可以被用來購買在柜臺買不到的處方藥。如此一來，可能會導(dǎo)致藥物濫用行為，尤其是涉及到與藥物有關(guān)的處方藥政策時。

　　4. 教育信息

　　教育信息是指與個人教育記錄相關(guān)的數(shù)據(jù)，其中包括成績單和學(xué)校記錄等。

　　雖然教育信息不能像財務(wù)信息一樣，產(chǎn)生一些立竿見影的后果，但是它也同樣會將用戶置于潛在的勒索或欺詐威脅中。攻擊者可以使用教育信息來威脅或欺騙用戶滿足他們的要求。同時，網(wǎng)絡(luò)罪犯分子也可以利用這些信息來偽裝成學(xué)術(shù)機構(gòu)的學(xué)生或官員來實施網(wǎng)絡(luò)釣魚攻擊或社會工程活動。

　　5. 支付卡信息

　　支付卡信息是指與個人支付卡中的數(shù)據(jù)相關(guān)的信息，包括信用卡和借記卡數(shù)據(jù)以及其他相關(guān)的信息。

　　這些數(shù)據(jù)與財務(wù)信息相似，因為它也會直接影響到用戶的財務(wù)安全。然而，支付卡信息可能會比財務(wù)信息更危險，因為這些信息可以用來進行在線交易和付款/轉(zhuǎn)賬?？偠灾攧?wù)信息和支付卡信息彼此之間都是密切相關(guān)的。

　　6. 用戶憑據(jù)

　　用戶憑據(jù)是指用戶數(shù)字或在線賬戶憑據(jù)、證書等數(shù)據(jù)，包括電子郵件賬戶的用戶名和密碼以及其他在線購物登錄憑證等信息。

　　用戶憑據(jù)被盜可能會比PII被盜更危險，因為它會暴露受害者的在線賬戶，并將其置于被攻擊者惡意使用的危險之中。電子郵件通常被用來驗證用戶憑據(jù)或存儲來自其他賬戶的信息，因此，受影響的電子郵件賬戶可能會導(dǎo)致進一步的身份信息盜竊和欺詐事件的發(fā)生。電子郵件和社交媒體賬戶也可以用于制造垃圾郵件和網(wǎng)絡(luò)釣魚攻擊，而其他網(wǎng)絡(luò)罪犯分子也可能會利用被盜賬戶發(fā)起間諜活動或竊取用戶所在組織的知識產(chǎn)權(quán)等。

　　根據(jù)我們的研究結(jié)果顯示，有證據(jù)表明上述這些類型的信息之間是相互關(guān)聯(lián)的。如果一種類型的信息(例如醫(yī)療健康信息)被盜，那么其他類型的信息遭到泄漏的可能性也會增大。

　　舉個例子，如果網(wǎng)絡(luò)犯罪分子設(shè)法掌握了一個用戶的電子郵件憑據(jù)。對于受害者而言，不幸的是，該電子郵件中還包含了銀行卡賬單信息的發(fā)票信息，如此一來，犯罪分子就可以訪問銀行信息，還可以用受害者的名義申請任何可申請的貸款。而如果該電子郵件中還包含用戶的Facebook賬戶信息，而且該社交網(wǎng)站設(shè)置的密碼還與用戶電子郵件賬戶的密碼一致，犯罪分子就可以訪問該社交媒體賬號，獲取更多受害者個人信息。攻擊者通過一次次攻擊，就能夠獲得廣泛的信息，足以用來執(zhí)行多種類型的身份詐騙活動。

　　三、個人信息值多少錢?

　　在我們之前進行的一項調(diào)研中，我們詢問了全球范圍內(nèi)1000多名受訪者對其個人信息的價值進行評價，結(jié)果表明，受訪者對他們的密碼最為重視：

　　PII在地下市場確實有實際的貨幣價值，其中這些被盜信息的價格取決于它們對欺詐者的可用性，可用性越大，價值越高，反之亦然。通過對地下市場網(wǎng)絡(luò)犯罪數(shù)據(jù)的分析和研究，我們得出的被盜數(shù)據(jù)價值如下所示：

　　PII數(shù)據(jù)通常以單條為單位，每條售價1美元;

　　具有高信用評分的完整信用卡信息資料，每份售價25美元;

　　全套的掃描文件，包括護照、駕駛執(zhí)照、水電費賬單等，每份掃描文件售價10-35美元;

　　在暗網(wǎng)中，全球各類銀行的登錄憑據(jù)，單個賬戶售價為200-500美元;

　　在美國，各種手機運營商的賬戶單個售價最高可達14美元;

　　成熟的PayPal和eBay在線交易網(wǎng)站賬戶(具有交易歷史的賬戶)單個售價高達 300美元。成熟度高的賬戶不太可能被標(biāo)記為可疑交易。

　　四、如何緩解身份盜用威脅?

　　由于身份盜竊具有廣泛性，用戶和組織必須小心所有的個人信息，無論是屬于用戶個人的還是屬于組織成員的。以下是一些減輕甚至是阻止身份盜竊行為的方法：

　　為設(shè)備實行強有力的安全防護措施：用戶可以部署防盜保護措施，來確保其設(shè)備上存儲的數(shù)據(jù)不會被攻擊者輕易地訪問或獲取到;

　　不要點擊可疑鏈接、程序或應(yīng)用程序：用戶必須警惕任何來自不受信任的來源發(fā)送的可疑電子郵件和消息，不要輕易點擊其中的鏈接或附件;

　　限制個人信息在網(wǎng)絡(luò)上的曝光度：雖然有些用戶喜歡在網(wǎng)絡(luò)上分享自己的個人信息，但是必須要盡可能地保持在最低限度內(nèi)。