身份盜用現(xiàn)象自古就有，莎士比亞在奧賽羅中就曾經(jīng)寫過(guò)：“But he that filches from me my good name Robs me of that which not enriches him And makes me poor indeed.”

除了幾百年前詩(shī)人對(duì)身份盜用的描述外，我還從Wikipedia找一段比較現(xiàn)代的文字來(lái)解釋什么叫做身份盜用：“身份盜用是一方假借別人的身份對(duì)第三方進(jìn)行欺騙的一種方式，典型情況是通過(guò)冒用身份登錄系統(tǒng)或獲得信任等其它好處。”

不論是過(guò)去還是現(xiàn)在，身份盜用都令人氣憤。那么身份盜用現(xiàn)象離我們遠(yuǎn)嗎?

就在我們身邊

上周，我接到了Dean(修車工)的電話。我的老雪佛蘭轎車正在他那里接受維修，因?yàn)檐囎硬恢趺纯偸堑蜗掠趾谟终车囊后w。在電話里我問(wèn)他：“Hey，Dean，你找到毛病了嗎?”

“還不知道。”他說(shuō)。

Dean 不是個(gè)拐彎抹角的人，因此我立刻想到了最糟的情況，我問(wèn)：“是不是問(wèn)題很嚴(yán)重啊?”

“是的”他進(jìn)行了確認(rèn)，接著說(shuō)：“Jim(另一個(gè)長(zhǎng)期客戶)剛才打來(lái)電話，他很生氣，問(wèn)我為什么給他開出那么高的修車費(fèi)。還問(wèn)我的修車鋪什么時(shí)候換地方了。”

他為什么要跟我說(shuō)這些呢?不過(guò)我馬上就明白了。Dean認(rèn)為修車店的結(jié)賬系統(tǒng)出現(xiàn)了問(wèn)題。大家猜這個(gè)系統(tǒng)是誰(shuí)安裝的?沒(méi)錯(cuò)，是我。我的車現(xiàn)在正在Dean那里。為了我的車，更是為了我的名譽(yù)，我立刻告訴Dean我會(huì)馬上趕到他那里去看看那套系統(tǒng)。

跟Dean見(jiàn)面后，我大概知道了整件事的細(xì)節(jié)。貌似Jim成為了一場(chǎng)網(wǎng)絡(luò)釣魚詐騙的受害人。攻擊者使用了Dean的修車鋪的各種詳細(xì)信息，欺騙Jim給其匯款，但是匯款的地址肯定不是Dean的地址了。于是Jim打電話過(guò)來(lái)質(zhì)問(wèn)Dean。

這對(duì)于 Dean或Jim來(lái)說(shuō)肯定都不是好事兒。于是我立刻聯(lián)系了Jim，向他解釋了整件事兒。并告訴他不要匯款給那個(gè)所謂的Dean。

不一樣的地址是條線索

身份盜用中重要的一部分就是改變地址。在欺騙過(guò)程中，騙子會(huì)盡可能修改地址。如果看穿了這一點(diǎn)，就能識(shí)別出這種騙術(shù)。在這次的案例中，如果Jim不知道Dean的修車鋪的正確地址，他就會(huì)直接將錢按照虛假賬單上寫的地址給寄過(guò)去，而Dean本人不會(huì)收到任何匯款。

消費(fèi)者要小心

如果是通過(guò)支付卡進(jìn)行詐騙的話，修改地址帶來(lái)的后果就就嚴(yán)重了。如果騙子修改了賬戶上的消費(fèi)者地址，就可能導(dǎo)致受害人產(chǎn)生巨大的損失而毫不知情。因?yàn)槭芎θ瞬粫?huì)再收到每月的賬單，直到銀行或警察找上門來(lái)。

商業(yè)身份盜用

了解商業(yè)身份盜用信息的一個(gè)更好的途徑是去Better Business Bureau (BBB美國(guó)商業(yè)改善局)。. BBB 的發(fā)言人Steve Cox對(duì)于商業(yè)身份盜用給出了以下見(jiàn)解：

“商業(yè)身份盜用在如今的市場(chǎng)上是一個(gè)很現(xiàn)實(shí)的問(wèn)題。從犯罪分子的角度講，盜取商業(yè)用戶身份信息要比盜用普通消費(fèi)者的身份信息更加劃算。小企業(yè)作為身份盜用的目標(biāo)非常容易被犯罪分子鎖定，因?yàn)檫@類企業(yè)信息安全漏洞較多，不像大企業(yè)能夠聘用專業(yè)人員確保信息安全。”

BBB的網(wǎng)站提供了以下一些身份盜用的例子：

· 網(wǎng)絡(luò)釣魚郵件: 網(wǎng)絡(luò)釣魚郵件是商業(yè)身份盜用欺騙普通消費(fèi)者的一個(gè)例子。網(wǎng)絡(luò)釣魚郵件一般會(huì)通過(guò)收集用戶輸入的財(cái)務(wù)信息，或者植入惡意軟件直接盜取電腦中存在的賬戶信息等形式對(duì)受害人進(jìn)行財(cái)務(wù)侵害。

· 商業(yè)騙購(gòu): 一個(gè)有經(jīng)驗(yàn)的身份竊賊，可以利用企業(yè)的法人身份證號(hào)獲取包括建立銀行賬戶，信用賬戶或者調(diào)整最高借貸額度等一系列動(dòng)作。

· 消費(fèi)欺詐: 詐騙者利用正規(guī)企業(yè)的信息和信譽(yù)建立起一套看似可信的虛假企業(yè)信息。一般正規(guī)企業(yè)發(fā)現(xiàn)自己的身份被盜用，都是源于那些被虛假公司欺騙的憤怒的消費(fèi)者。(比如上面提到的Dean的修車鋪事件)

如果企業(yè)信息被冒用， BBB給出了一下一系列應(yīng)對(duì)步驟：

· 向有關(guān)部門報(bào)案: 企業(yè)主如果認(rèn)為自己的企業(yè)信息被盜用，必須馬上報(bào)警。 如果騙子利用公司名稱發(fā)送網(wǎng)絡(luò)釣魚軟件或建立網(wǎng)絡(luò)釣魚網(wǎng)站，企業(yè)主也要立即聯(lián)系FBI的互聯(lián)網(wǎng)犯罪投訴中心(美國(guó))，在中國(guó)可以訪問(wèn)公安部網(wǎng)絡(luò)違法犯罪舉報(bào)網(wǎng)站進(jìn)行舉報(bào)。

· 通知銀行和信用卡公司: 如果騙子進(jìn)入了企業(yè)的信用系統(tǒng)或銀行賬號(hào)，對(duì)于小型企業(yè)來(lái)說(shuō)最重要的是立刻聯(lián)系相關(guān)金融機(jī)構(gòu)，凍結(jié)相關(guān)的任何可疑交易。

· 發(fā)布公告: 如果公司身份被盜用，并已經(jīng)用來(lái)欺騙消費(fèi)者了，那么企業(yè)應(yīng)該在公共媒體上發(fā)布警告信息，防止更多消費(fèi)者受騙上當(dāng)。

· 審查信用報(bào)告: 如果企業(yè)屬于獨(dú)資，一旦企業(yè)信息被冒用，企業(yè)應(yīng)該按照消費(fèi)者保護(hù)法的相關(guān)規(guī)定，在免費(fèi)信用報(bào)告中寫明或在報(bào)告中向消費(fèi)者示警。美國(guó)聯(lián)邦消費(fèi)者聯(lián)盟針對(duì)身份盜用情況，推出了一本最佳實(shí)務(wù)，大家有空可以看看。

需要解釋的

通常我不在網(wǎng)上進(jìn)行逐字逐句的講解，但是BBB提供的這些建議都非常經(jīng)典，適用于任何敏感的個(gè)人信息或商業(yè)信息的保護(hù)工作。

另外我還要補(bǔ)充一點(diǎn)，很多商業(yè)身份盜用的慣犯都喜歡簡(jiǎn)單易行的目標(biāo)。BBB指出具有較高信貸額的企業(yè)容易成為目標(biāo)，而業(yè)務(wù)量大的企業(yè)，在被盜用身份信息后不容易被發(fā)現(xiàn)。

總結(jié)

盜用 Dean的修車鋪信息的騙子差點(diǎn)就成功了，可惜客戶知道Dean的正確地址，并打電話過(guò)來(lái)詢問(wèn)。我希望廣大消費(fèi)者對(duì)于隨時(shí)在身邊發(fā)生的身份盜用情況也都能夠更警惕一些。

【編輯推薦】

1. 企業(yè)需要構(gòu)建可信身份認(rèn)證環(huán)境
2. 自適應(yīng)身份認(rèn)證讓安全防護(hù)具有“意識(shí)”
3. 用社工對(duì)抗社工——RSA身份認(rèn)證總監(jiān)Uri Rivner談釣魚
4. 網(wǎng)絡(luò)釣魚在中國(guó)互聯(lián)網(wǎng)上十分猖獗現(xiàn)狀的解析
5. 網(wǎng)絡(luò)釣魚已成臟錢印刷機(jī) 每月凈賺高達(dá)數(shù)十萬(wàn)