少即是多：过度分享如何导致数字身份盗窃的发生

自从数字时代的到来，我们都已经慢慢迷上了在线服务。几乎没有一个小时我们不在网上做一些事情：无论是在社交媒体上点赞一个帖子、网购、叫滴滴、看 Netflix、看朋友圈、转账或访问远程桌面。大家喜欢的公司和喜欢做的事情可能有所不同，也许，你更喜欢线上炒股而不是购物，更喜欢游戏而不是看节目，但事实是：我们都有自己独特的数字身份，可能与我们的真实身份相符，也可能不相符。

我们总会把一些信息委托给政府和私人企业。我们在知情和不知情的情况下与科技巨头分享我们的数据，他们则通过越来越复杂的工具追踪我们的数字足迹。这些数据也成为我们数字身份的构建部分。

有一位男士说，数据是新时代的石油，还有一位争论说是新核动力，因为今日数据是一把双刃剑，既可以给我们带来便利，也可以用来伤害大家。住在一个一切都可以被出售的世界里，某一个人的整个数字人生，即数字身份，已经成为了一个火爆商品。数字身份可以被购买、被利用，甚至毁掉拥有它的人的生活。

单一用户的全套信息可以在暗网中以低于 1200 美元的价格购买。根据暗网价格指数的研究，一个被黑的脸书资料平均需要 45 美元，一年的 Netflix 订阅费为 25 美元，用假的美国身份证自拍要 120 美元，甚至余额高达 5000 美元的真实信用卡资料也可以买到。与流行的看法相反，加密货币账户也是可以买卖的：一个这样的账户的成本从 90 美元到 250 美元不等。

犯罪分子往往会大量购买。50 个被黑的 PayPay 账户登录信息仅售 150 美元，1000 万个美国电子邮件地址可以用 120 美元购买。黑市的市场规则也正变得越来越成熟：卖家提供折扣和优惠券，而买家则会留下产品评论。

但可悲的是，通常情况下，歹徒没有必要花钱买一个数字身份。如果只是出于方便的话，很多用户不自觉地提供了大部分的个人数据，而且是自愿且免费的。

为什么会有人想要获取我的身份？

一旦违法者获取你的完整或部分数据身份信息，就可通过不同方式利用这些数据，比如，做买卖、用于勒索等，你的“数字身份”可能会参与到金融或医疗欺诈，甚至是谋杀。

美国当局估计，COVID-19 的 1 亿美元资金就是通过在线投资平台，通过用偷来的身份设立的账户进行洗钱的。在一个案例上，犯罪分子利用一名男子的身份为一个不存在的企业申请了两万八千美元的救济金，然后他们以他的名义开设了一个投资账户，并将钱转入一个银行账户。

谈到数字身份盗窃时，医疗身份盗窃可能并不是人们首先想到的事情。尽管如此，被盗健康保险数据的需求量很大。一个医疗保险退休人员的健康保险号码的定价可以高达 1000 美元。相比之下，一个社会安全号码只需要一美元。例如，一位遭遇诈骗的美国老人在邮件里收到了各种医疗检查、救护车呼叫和医生预约的高额账单。他对这一切一无所知。

谁没有至少一次把假的名人账号误会认为是真的呢？但是，有一个人想假装是你，创建了一个与你一模一样的个人账号，使其他用户相信，这是你的真的账号。然后骗取他人的钱财，那怎么办？这在学术上被称为"克隆"。骗子利用受害者在社交媒体上慷慨分享的信息创建一个假账号。然后给关注的人发信息寻求帮助。不要惊讶，很多人都曾是受害者，因为很多人可能并不了解你的个人生活。一名印度男子就遭遇了类似的骗局。骗子向他的朋友们发送信息，要求他们转账 136 美元以满足紧急需求。该男子被迫与警方联系。

金钱并不是网上诈骗的受害者所要付出的最高代价。有些人是以生命来偿还。最复杂的"克隆"形式之一是"捕猫"。冒名顶替者盗用他人的数字身份，并与受害者发生恋爱关系。这种现象非常普遍，以至于 MTV 上有一个单独的节目专门讨论它。2018 年，一名澳大利亚空姐在被一名在社交媒体上冒充知名男演员的女子勒索多年后自杀身亡，该女子引诱她提供亲密照片和视频。对这个冒名顶替者的审判持续了数年。

另一个极端例子是，诈骗者有时可以利用生病孩子的真实照片来挣钱。

诈骗者只需使用护照扫描就可以在线赌场、注册加密货币交易所等。如果需要清除双因素认证的障碍，SIM 卡交换骗局。当电话公司被骗将受害者的号码分配到新手机上，就会发挥作用。Twitter 的杰克-多尔西 2019 年该计划的受害者。

如有用户由于黑客侵扰或社会工程攻击而失去原来的账号的权限，你的账号可以被用来发送垃圾邮件、广告，或者冒充真人。

即使在用户死后，其数字身份也可能无法得到安宁。它也可以在你不再活着的时候被“偷走”：这种现象被称为“幽灵”。幽灵主要用于获得减税优惠。根据美国政府的数据，欺诈者每年窃取超过 250 万死亡美国人的身份。

可以肯定地说，我们的数字身份很容易被滥用。我们真诚希望大家都能足够幸运，永远不要成为欺诈者的受害者。

我们的数字身份如何掉入诈骗者的手中？

一共有两个主要方式可以把数字身份变成一种违法者手里的工具，即受害者要么被迫透露，要么自愿透露。

当我们听到 "网络犯罪 "这个词时，脑海中浮现的第一个形象是一个蒙面人--黑客。的确，政府实体、医疗机构和公司存储的数据可以通过暴力攻击或社会工程攻击的方式被攻破。前者依靠试错的方法入侵密码和加密密钥，而后者通常涉及攻击者和毫无戒心的受害者之间的某种形式的沟通。去年印度的一个流行的在线交易平台被入侵，超过 340 万客户的数据被出售。其中包括客户 ID、电子邮件 ID、联系电话、交易登录 ID、分支机构 ID 和地点。

此外，还有恶意软件的攻击。攻击者可以用软件感染受害者的设备，从浏览器中窃取数据，包括 Cookie 和密码。这类软件可以在受害者登录账户时跟踪记录。只要攻击者存在于系统中，重设密码就没有用。以这种方式获得的数据可以在暗网中出售，例如在非法的必须受到邀请才能进入交易的创世市场上。

如果没有网络钓鱼邮件和网站，这份清单就不完整了。欺诈者向受害者发送一封来自真实公司的假电子邮件，并要求收件人在回复的电子邮件中透露个人信息。美国国家税务局（IRS）定期警告美国人，骗子利用该机构的标志来窃取信用卡和银行账户的详细信息。

凭证和其他数据也可以通过被设计成与真实交易一模一样的欺骗性网站被盗。2020 年 11 月，由于通过数百个钓鱼网页的假赠品，几十名 PUBG 移动游戏玩家的账户数据被曝光。

我们可以安装恶意软件检测软件，阻止钓鱼网站，用现代数据保护技术保护自己，所有这些都会在一定程度上有所帮助。但是，即使我们剥夺了攻击者的常用工具，他们仍然可以获得一个永不干涸的数据来源。是什么呢？

问题的根本在于现代人倾向于过度分享。我们发布假期照片，贴上地理标签，以便每个人都能看到我们入住了哪家豪华酒店、在哪尽情玩乐。我们在新买的家庭住宅前廊上张贴照片，贴上地理标签，门牌号清晰可见，汽车也在车道上自豪地展示着。

我们都会说自己的生日、身体问题、我们的爱好和遗愿清单，而与此同时跟踪算法正在默默无声地监听我们，并托管广告。

更重要的是，我们中的一些人粗心到将身份文件上传到社交网络。在一个流行的社交网络上进行简短的搜索，就能得到许多看起来有效的文件的扫描件。

这种过度分享有时也会带来正义。最突出的例子之一是在 Instagram 上被称为 Hushpuppi 的诈骗犯案件。这个尼日利亚人是一个电子邮件诈骗行动的幕后策划者，并在网上炫耀他的奢华生活。联邦调查局利用他的社交媒体账户来收集证据并追踪他。

我们偶尔会听到普通人因为他们发布的内容而被解雇，就像与垂死病人自拍的俄罗斯护理人员的情况。

一家英国银行估计，"共享 "的影响，即父母无意间透露其子女的姓名、年龄、家庭住址、出生地、宠物和运动队的名称以及其他个人数据，到2030年将占针对年轻人的身份欺诈案件的三分之二，并将使他们每年损失6.7亿英镑。

也许，你平时守口如瓶。但是，数字时代要求我们分享我们的数据。我们在招聘网站上发布精心制作的简历，创建约会档案，并参加在线问卷调查。

后果

正如我们已经看到的，数字身份盗窃的后果可能是灾难性的。最好的情况下，只是你的声誉受损，但悲观的话，你可以在不知情的情况下资助恐怖主义，撞死人，诈骗政府，或骗取别人数千美元。

犯罪分子可以利用你在网上分享的信息来猜测你的密码（特别是如果是你奶奶的生日或宠物的名字），并黑入你的账户，窃取你的金钱和服务。

此外，你的健康或生命可能会受到威胁。想象一下，你去医院做检查，但医生告诉你，你两周前已经做了这个检查。或者你的真实健康参数可能与滥用保险的骗子的参数混在一起。

而且，可能受到影响的不仅是你的声誉和财务状况，还有你的公司。位于亚利桑那州的身份盗窃保护公司 LifeLock 的首席执行官托德-戴维斯声名狼藉，在他把自己的社会安全号码放在广告牌和电视广告中，声称该公司的信用监测服务将使"个人信息对罪犯毫无用处"。几乎没有人感到惊讶，可能除了戴维斯的身份至少被盗了13次。他的社会安全号码被滥用于获得贷款以及开设多个账户，而当他发现这些账户存在时，这些账户都有未偿债务。LifeLock公司因欺骗性广告被责令支付1200万美元的罚款。

根据《2022 年数据泄露调查报告》，82% 的公司数据泄露都是人为错误造成的。网络钓鱼、使用偷来的凭证和操纵员工泄露敏感信息（借口）是犯罪分子使用的三大社会工程技术之一。

你的身份被盗的几率有多大

你使用的应用程序、电子设备、社交媒体和在线服务越多，你的数字身份就越有可能被盗。我们在每台设备上留下零星的个人数据，将它们传递给你使用的每一个应用程序--社交媒体也是如此。如果你在到处都留下关于你的个人信息（你的财务状况，你的孩子的信息），你就会面临更大风险。

如果你参加在线问答、投稿和付费调查，你也是在玩火。在网络犯罪分子手中，它们可能成为收集数据的工具，然后被卖给垃圾邮件发送者或以其他方式进行破坏。当你在网上发布简历和填写个人资料时，你会披露你的个人信息，这也使你容易受到伤害。归根结底，你要冒的风险是，关于你的信息或大或小都可以被免费找到。

忽视基本的保护措施，如安装防病毒软件、启用双因素认证或设置强密码，会大大增加你的数字身份被泄露的可能性。

如何减少风险

你不能把自己从世界上抹去，但你可以尽可能地缩小你的数字足迹，如果犯罪分子想染指你的数字身份，至少要让他们很费劲。

• 少在社交媒体上分享 - 互联网永远不会忘记。即使你事后删除了帖子，它仍然可以被截图或通过网络档案检索。不要分享你的购物和关于你爱的人或你自己的居住地的信息。在给照片贴上地理标签和给他人贴上标签时要格外注意。
• 不要将你的身份证件，如护照、驾驶执照的副本上传到你的社交媒体账户。除非绝对必要，否则千万不要将你的文件，特别是你与身份证的自拍，随机发送给第三方服务机构 "用于身份验证"。
• 在参与在线调查或问卷调查之前，仔细研究隐私政策，了解你的答案可以被用来做什么。如果根本没有隐私政策，那么最好不要做该调查。即使隐私政策看起来很正常，数据泄漏的风险还是很大。因此，你接受的调查问卷越少，你就越安全。
• 对知名公司提供的 "好得不能再好 "的折扣和慷慨的赠品要保持警惕。确保你不是在一个钓鱼网站上，如果你有疑问，请联系该公司的代表以核实该活动。
• 如果你不希望广告商在整个网络上跟踪你，用广告轰炸你，那么只允许那些对网站功能至关重要的 Cookie。
• 使用那些值得信赖的、没有泄露数据黑历史的广告屏蔽器。你也可以切换到一个注重隐私的浏览器，使用 VPN 或 DNS 服务器。
• 设置强的密码，不要在你的其他账户或设备上重复使用，并使用密码管理器。
• 在可能的情况下启用多因素认证。它将很有助于保护你免受黑客攻击。
• 安装并及时更新杀毒软件，确保你的设备有足够的空间用于更新。
• 只给你的应用程序最基本的权限

至于我们必须在网上给雇主、教授、保险公司和其他人发送的文件，请确保你通过加密的电子邮件服务发送，并且你的邮件有密码保护。