目前，身份盜竊可謂是網絡罪犯分子的金礦——2016年此類犯罪案件達到了歷史最高點，由身份欺詐和盜用造成的損失高達160億美元。大多數人已經意識到，由于過去幾年信息泄露事件頻發（如2016年下半年的雅虎事件，以及近期的Equifax數據泄漏事件），未來身份盜竊的案件將日益增多。雖然說身份盜竊本身也有一定的危害，但是其真正的有形破壞通常是在攻擊者將這些被盜信息用于惡意目的之后才會彰顯。

身份盜竊可能會對用戶造成毀滅性的后果，特別是當攻擊者開始瞄準他們生活中的重要方面時——如保險、銀行、信用卡等。許多用戶實際上并不知道他們自身已經受到了威脅，并且在遇到身份盜用或欺詐時通常會感到十分驚訝。

但是，我們不禁要問，這些被盜的信息到底流向了哪里？他們是在地下市場銷售嗎？會不會與其他被盜信息捆綁在一起出售給合法的公司（像是大數據分析以及廣告營銷等）？還是被用于支付欺詐？在我們深入探討這些被盜信息和數據的最終去向之前，讓我們先來看看這些信息究竟是如何被竊的吧。

信息是如何被盜的呢？

雖然高調的新聞報道會讓我們誤以為黑客才是信息泄漏的主要的原因，但是，根據我們之前做過的一項題為《解密數據泄露的原因》的調查報告結果顯示，從2005年-2015年期間，設備丟失或被盜實際上才是信息泄露的主要原因（所占比例為41%）。排名第2的原因就是黑客或惡意軟件（所占比例為25%）；然后是無意的披露（17.38%）、內部泄密（12.01%）、支付欺詐（1.43%）以及其他未知原因等。

黑客用被盜信息做了什么？

通常情況下，根據被盜信息類型的不同，其最終流向也會所有區別。以下是數據被盜后發生的一些具體示例：

　　【被盜信息可能出現運用場景】

個人身份信息

個人身份信息（Personally identifiable information，以下簡稱PII）是指可用于識別、定位或關聯特定個體的數據。PII具體包括姓名、出生日期、住址、社會保障號碼、電話號碼以及其他所有用于區分或識別個人身份的數據。

PII是最可能被盜的數據類型，網絡犯罪份子在如何利用PII方面具有高度的靈活性。攻擊者經常可以直接對受害者進行惡意攻擊，通過使用受害人名下的貸款或信用卡信息提供欺詐性所得稅申報，并以受害人的名義申請貸款等。另一方面，當這些PII被銷售給市場營銷公司或專門從事垃圾郵件活動的公司后，受害者也會由此受到間接影響，飽受垃圾／廣告郵件和騷擾電話的困擾。

財務信息

財務信息是個人財務活動中使用的相關數據。其中包括銀行信息、賬單賬戶、保險信息以及其他可用于訪問賬戶或處理金融交易的數據。

當這些信息被竊時，可能會極大地威脅用戶的財產安全。網絡犯罪分子可以利用盜取的財務信息進行簡單的惡意攻擊活動，例如支付賬單、進行欺詐性線上交易，以及轉移受害人的銀行資產等。更多的專業網絡犯罪份子和組織甚至可能會制造假信用卡供自己使用。

醫療信息

醫療信息是指用于個人醫療服務相關的數據。其中包括醫療記錄、醫療保險以及其他相關的信息。

醫療健康信息類似于PII信息，因為它們都包含大量可用于識別用戶個人身份的信息。除了可以像PII一樣揭示用戶的身份外，醫療信息在一些國家還可以被用來購買在柜臺買不到的處方藥。如此一來，可能會導致藥物濫用行為，尤其是涉及到與藥物有關的處方藥政策時。

教育信息

教育信息是指與個人教育記錄相關的數據，其中包括成績單和學校記錄等。

雖然教育信息不能像財務信息一樣，產生一些立竿見影的后果，但是它也同樣會將用戶置于潛在的勒索或欺詐威脅中。攻擊者可以使用教育信息來威脅或欺騙用戶滿足他們的要求。同時，網絡罪犯分子也可以利用這些信息來偽裝成學術機構的學生或官員來實施網絡釣魚攻擊或社會工程活動。

支付卡信息

支付卡信息是指與個人支付卡中的數據相關的信息，包括信用卡和借記卡數據以及其他相關的信息。

這些數據與財務信息相似，因為它也會直接影響到用戶的財務安全。然而，支付卡信息可能會比財務信息更危險，因為這些信息可以用來進行在線交易和付款／轉賬。總而言之，財務信息和支付卡信息彼此之間都是密切相關的。

用戶憑據

用戶憑據是指用戶數字或在線賬戶憑據、證書等數據，包括電子郵件賬戶的用戶名和密碼以及其他在線購物登錄憑證等信息。

用戶憑據被盜可能會比PII被盜更危險，因為它會暴露受害者的在線賬戶，并將其置于被攻擊者惡意使用的危險之中。電子郵件通常被用來驗證用戶憑據或存儲來自其他賬戶的信息，因此，受影響的電子郵件賬戶可能會導致進一步的身份信息盜竊和欺詐事件的發生。電子郵件和社交媒體賬戶也可以用于制造垃圾郵件和網絡釣魚攻擊，而其他網絡罪犯分子也可能會利用被盜賬戶發起間諜活動或竊取用戶所在組織的知識產權等。

根據我們的研究結果顯示，有證據表明上述這些類型的信息之間是相互關聯的。如果一種類型的信息（例如醫療健康信息）被盜，那么其他類型的信息遭到泄漏的可能性也會增大。

舉個例子，如果網絡犯罪分子設法掌握了一個用戶的電子郵件憑據。對于受害者而言，不幸的是，該電子郵件中還包含了銀行卡賬單信息的發票信息，如此一來，犯罪分子就可以訪問銀行信息，還可以用受害者的名義申請任何可申請的貸款。而如果該電子郵件中還包含用戶的Facebook賬戶信息，而且該社交網站設置的密碼還與用戶電子郵件賬戶的密碼一致，犯罪分子就可以訪問該社交媒體賬號，獲取更多受害者個人信息。攻擊者通過一次次攻擊，就能夠獲得廣泛的信息，足以用來執行多種類型的身份詐騙活動。

個人信息值多少錢？

在我們之前進行的一項調研中，我們詢問了全球范圍內1000多名受訪者對其個人信息的價值進行評價，結果表明，受訪者對他們的密碼最為重視：

PII在地下市場確實有實際的貨幣價值，其中這些被盜信息的價格取決于它們對欺詐者的可用性，可用性越大，價值越高，反之亦然。通過對地下市場網絡犯罪數據的分析和研究，我們得出的被盜數據價值如下所示：

PII數據通常以單條為單位，每條售價1美元；

具有高信用評分的完整信用卡信息資料，每份售價25美元；

全套的掃描文件，包括護照、駕駛執照、水電費賬單等，每份掃描文件售價10-35美元；

在暗網中，全球各類銀行的登錄憑據，單個賬戶售價為200-500美元；

在美國，各種手機運營商的賬戶單個售價最高可達14美元；

成熟的PayPal和eBay在線交易網站賬戶（具有交易歷史的賬戶）單個售價高達 300美元。成熟度高的賬戶不太可能被標記為可疑交易。

如何緩解身份盜用威脅？

由于身份盜竊具有廣泛性，用戶和組織必須小心所有的個人信息，無論是屬于用戶個人的還是屬于組織成員的。以下是一些減輕甚至是阻止身份盜竊行為的方法：

1. 為設備實行強有力的安全防護措施：用戶可以部署防盜保護措施，來確保其設備上存儲的數據不會被攻擊者輕易地訪問或獲取到；

2. 不要點擊可疑鏈接、程序或應用程序：用戶必須警惕任何來自不受信任的來源發送的可疑電子郵件和消息，不要輕易點擊其中的鏈接或附件；

3. 限制個人信息在網絡上的曝光度：雖然有些用戶喜歡在網絡上分享自己的個人信息，但是必須要盡可能地保持在最低限度內。