身份盗用：企业面临的风险

身份盗用现象自古就有，莎士比亚在奥赛罗中就曾经写过：“But he that filches from me my good name Robs me of that which not enriches him And makes me poor indeed.”

除了几百年前诗人对身份盗用的描述外，我还从Wikipedia找一段比较现代的文字来解释什么叫做身份盗用：“身份盗用是一方假借别人的身份对第三方进行欺骗的一种方式，典型情况是通过冒用身份登录系统或获得信任等其它好处。”

不论是过去还是现在，身份盗用都令人气愤。那么身份盗用现象离我们远吗?

就在我们身边

上周，我接到了Dean(修车工)的电话。我的老雪佛兰轿车正在他那里接受维修，因为车子不知怎么总是滴下又黑又粘的液体。在电话里我问他：“Hey，Dean，你找到毛病了吗?”

“还不知道。”他说。

Dean 不是个拐弯抹角的人，因此我立刻想到了最糟的情况，我问：“是不是问题很严重啊?”

“是的”他进行了确认，接着说：“Jim(另一个长期客户)刚才打来电话，他很生气，问我为什么给他开出那么高的修车费。还问我的修车铺什么时候换地方了。”

他为什么要跟我说这些呢?不过我马上就明白了。Dean认为修车店的结账系统出现了问题。大家猜这个系统是谁安装的?没错，是我。我的车现在正在Dean那里。为了我的车，更是为了我的名誉，我立刻告诉Dean我会马上赶到他那里去看看那套系统。

跟Dean见面后，我大概知道了整件事的细节。貌似Jim成为了一场网络钓鱼诈骗的受害人。攻击者使用了Dean的修车铺的各种详细信息，欺骗Jim给其汇款，但是汇款的地址肯定不是Dean的地址了。于是Jim打电话过来质问Dean。

这对于 Dean或Jim来说肯定都不是好事儿。于是我立刻联系了Jim，向他解释了整件事儿。并告诉他不要汇款给那个所谓的Dean。

不一样的地址是条线索

身份盗用中重要的一部分就是改变地址。在欺骗过程中，骗子会尽可能修改地址。如果看穿了这一点，就能识别出这种骗术。在这次的案例中，如果Jim不知道Dean的修车铺的正确地址，他就会直接将钱按照虚假账单上写的地址给寄过去，而Dean本人不会收到任何汇款。

消费者要小心

如果是通过支付卡进行诈骗的话，修改地址带来的后果就就严重了。如果骗子修改了账户上的消费者地址，就可能导致受害人产生巨大的损失而毫不知情。因为受害人不会再收到每月的账单，直到银行或警察找上门来。

商业身份盗用

了解商业身份盗用信息的一个更好的途径是去Better Business Bureau (BBB美国商业改善局)。. BBB 的发言人Steve Cox对于商业身份盗用给出了以下见解：

“商业身份盗用在如今的市场上是一个很现实的问题。从犯罪分子的角度讲，盗取商业用户身份信息要比盗用普通消费者的身份信息更加划算。小企业作为身份盗用的目标非常容易被犯罪分子锁定，因为这类企业信息安全漏洞较多，不像大企业能够聘用专业人员确保信息安全。”

BBB的网站提供了以下一些身份盗用的例子：

· 网络钓鱼邮件: 网络钓鱼邮件是商业身份盗用欺骗普通消费者的一个例子。网络钓鱼邮件一般会通过收集用户输入的财务信息，或者植入恶意软件直接盗取电脑中存在的账户信息等形式对受害人进行财务侵害。

· 商业骗购: 一个有经验的身份窃贼，可以利用企业的法人身份证号获取包括建立银行账户，信用账户或者调整最高借贷额度等一系列动作。

· 消费欺诈: 诈骗者利用正规企业的信息和信誉建立起一套看似可信的虚假企业信息。一般正规企业发现自己的身份被盗用，都是源于那些被虚假公司欺骗的愤怒的消费者。(比如上面提到的Dean的修车铺事件)

如果企业信息被冒用， BBB给出了一下一系列应对步骤：

· 向有关部门报案: 企业主如果认为自己的企业信息被盗用，必须马上报警。 如果骗子利用公司名称发送网络钓鱼软件或建立网络钓鱼网站，企业主也要立即联系FBI的互联网犯罪投诉中心(美国)，在中国可以访问公安部网络违法犯罪举报网站进行举报。

· 通知银行和信用卡公司: 如果骗子进入了企业的信用系统或银行账号，对于小型企业来说最重要的是立刻联系相关金融机构，冻结相关的任何可疑交易。

· 发布公告: 如果公司身份被盗用，并已经用来欺骗消费者了，那么企业应该在公共媒体上发布警告信息，防止更多消费者受骗上当。

· 审查信用报告: 如果企业属于独资，一旦企业信息被冒用，企业应该按照消费者保护法的相关规定，在免费信用报告中写明或在报告中向消费者示警。美国联邦消费者联盟针对身份盗用情况，推出了一本最佳实务，大家有空可以看看。

需要解释的

通常我不在网上进行逐字逐句的讲解，但是BBB提供的这些建议都非常经典，适用于任何敏感的个人信息或商业信息的保护工作。

另外我还要补充一点，很多商业身份盗用的惯犯都喜欢简单易行的目标。BBB指出具有较高信贷额的企业容易成为目标，而业务量大的企业，在被盗用身份信息后不容易被发现。

总结

盗用 Dean的修车铺信息的骗子差点就成功了，可惜客户知道Dean的正确地址，并打电话过来询问。我希望广大消费者对于随时在身边发生的身份盗用情况也都能够更警惕一些。

【编辑推荐】

1. 企业需要构建可信身份认证环境
2. 自适应身份认证让安全防护具有“意识”
3. 用社工对抗社工——RSA身份认证总监Uri Rivner谈钓鱼
4. 网络钓鱼在中国互联网上十分猖獗现状的解析
5. 网络钓鱼已成脏钱印刷机 每月净赚高达数十万