政府服务、企业产品、个人信誉，都需要打造品牌作为背书才能赢得他人的信任。品牌的本质就是信任。当品牌遭遇“李鬼”，信任就会失控。特别是当李鬼打着李逵的旗号招摇撞骗时，对政府、企业乃至个人，都会造成经济的损失，信任的下降。

　　品牌遭遇的李鬼都有哪些呢？举几个典型场景的例子：

1 银行金融信息钓鱼

　　攻击者利用钓鱼网站获取用户网络银行的登录信息以及银行卡信息，再结合补卡攻击等手段对用户银行账号和信用卡进行盗刷和盗转。

2 个人身份信息钓鱼

　　个人身份盗用常见于近几年来流行的贷款骗局，例如利用盗取的身份信息申请网贷，接着拨打诈骗电话使受害者上当，最终转出贷款。

3 企业认证信息钓鱼

　　攻击者以公检法等政府机构钓鱼网站为主要手段，以企业为主要攻击对象，套取企业重要信息，用于各种企业身份认证、冒名开户、贷款等非法活动。

4 利用官方 APP 蹭流量

　　通常，企业的官方 APP 只会发布到几大主流官方移动应用商店，比如苹果商店、华为应用商店等。但是由于安卓生态中的第三方商店繁多，很多商店运营者为了赚取流量，在未经授权的情况下将企业官方 APP 发布到其商店。如果第三方商店被攻击，官方 APP 就随时面临被替换为恶意 APP 的可能。

5 恶意 APP 钓鱼欺诈

　　攻击者利用企业的品牌知名度，对官方 APP 进行恶意篡改、重新封装，之后再通过钓鱼网站或野鸡商店来传播手机病毒或进行欺诈。此类恶意 APP 有时甚至和官方 APP 毫无相似之处，只是在网站页面盗用了品牌方的商标 Logo。

6 敏感资料泄漏

　　企业内部的资料和数据被前员工、供应商或者内部员工上传到代码、文档共享平台，甚至在这些平台进行售卖。有些泄露是内部员工为了工作方便的无心之过，有些则是恶意行为，这些都属于数据泄露风险的不同表现形式。即使不是恶意性质的攻击，但实际上已造成了机密或敏感文档可在公网被访问的结果，给企业带来一定程度的风险。

7 社交媒体仿冒

　　“李鬼”们在社交媒体创建假冒企业账号、假冒企业员工或授权服务机构，试图获取用户信任，并骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息。

　　以上这些“李鬼”场景，取自天际友盟近日发布的《天际友盟DRP数字风险防护报告（2021年上半年）》。去年，数世咨询与天际友盟联合发布过该报告的2020年版。今年的报告中，“李鬼”们的模仿方式和冒充手段都有所进化，而且仍然在不断推陈出新。

　　花样即便百出，数据不会说谎。通过大量的实际案例数据汇总，我们能够看到，“李鬼”们的主要目标和手段仍然集中在三方面：

　　手段以钓鱼欺诈为主（风险数据占比达到89.12%）——钓鱼欺诈最为有效；风险资产以网站为主（在各类资产中占比59.05%）——网站最为逼真；目标行业以金融为主（占所有风险案例的65.21%）——金融行业最为直接，立刻就能看到“收益”。

　　面对不断进化的“李鬼”们，品牌方该如何保护自己呢？

　　首先面临的第一个大问题就是品牌资产的数字化形态大为丰富。数字资产正在从单一的官方网站拓展到APP、公众号、小程序、内容文档甚至源代码。官网的占比虽然超过半数，但是其他形态的资产占比正在快速增长，这已经是不争的事实，数字资产的盘点成为了重点和难点。

　　品牌方面临的第二个大问题，是品牌资产的归属问题。如今数字资产早不再局限于存储在自家服务器，而是成为流动的数据，存在于整个网络空间中。互联网、深网、暗网，都有无数品牌资产在品牌方的视线外被发表、被修改、被使用、被冒用。对于网络空间中不在自己控制范围内的品牌资产，如何通过正规手段加以规范和限制，这是另一个难点。

　　第三个问题，也是最关键的问题，品牌一旦被冒用，无论是与“李鬼”品牌出现的平台方协调沟通，还是走公检法等行政、法律途径，都存在“举证难”的问题。特别是在举证的过程中，如何搜集完整的证据链，缺乏有效的技术手段；如何对自身损失进行量化，缺乏成熟的模型。

　　写到这里，笔者突然想到了“碰瓷”。

　　碰瓷，曾经作为人见人恨，又人见人躲的存在，让遭遇者除了赔钱还得赔笑，更让有意伸出援手的南京彭宇们唏嘘喟叹。但在去年10月，最高人民法院、最高人民检察院、公安部联合印发的《关于依法办理“碰瓷”违法犯罪案件的指导意见》，对碰瓷行为有了明确定义，更明确了案件的定性和处罚，突出了操作性，统一了司法标准和尺度，理顺了案件办理流程，使公检法机关能够高效衔接配合，准确适用法律，规范案件办理，依法严惩犯罪分子。

　　这其中，“定性”、“操作性”、“标准和尺度”、“流程”等字眼，正是高效处理碰瓷类案件的关键。

　　类比到品牌保护，两者其实非常相似。

　　拿车辆碰瓷案件来说，举证中所必需的的车辆保险、监控探头、目击证人、行车记录等要素，对应到品牌保护，正是资产识别与风险评估、资产监测、第三方举证、关键证据等内容。

　　车辆保险→数字资产的识别和盘点，潜在风险的评估

　　监控探头→对各种数字资产持续监测的技术手段

　　目击证人→数字品牌资产所在的外部第三方平台

　　行车记录→品牌方自证清白为真李逵的重要证据

　　上文提到的《DRP数字风险防护报告（2021上半年）》，对此进行了详细阐述，称之为IDRR模型，该模型分为四个部分：

识别（Identify）

　　了解组织运营(包括任务、职能、形象或声誉)、组织资产和个人的网络安全风险，识别和管理企业资产要素及其对业务目标的重要性，并用于支持运营风险决策。

监测（Detect）

　　对企业的信息、资产、数字足迹进行全面监测，以识别网络安全事件和异常活动，了解事件的潜在影响，评估并反馈事件风险程度。

响应（Response）

　　执行响应流程和程序，以防止事件扩散、缓解事件影响和消除事件，针对事件活动酌情与内部和外部利益相关方沟通协调，包括寻求执法机构的外部支持。

恢复（Recovery）

　　与内部和外部各方协调恢复活动，执行和维护恢复流程和程序，以确保及时恢复受网络安全事件影响的系统或资产。吸取经验教训，纳入今后的改进恢复计划和流程。

　　四个步骤中，识别是后续各步骤的基础，目标是资产覆盖全，尽量无遗漏；监测是持续化手段，目标是在“监测效果”和“资源投入”两者间找到合适的平衡点；响应是直接决定“止损”效果的关键，目标是提高响应时效，通过快速关停等手段，尽量缩短“李鬼”存在的时间；恢复则是“汇报”与“改进”的结合，一方面向领导与外界有所交代，另一方面，完善上述流程，为“李鬼”们的下一波潜在风险做好应对。

　　不难看出，该模型的最终目的是对“李鬼”们的“招摇撞骗”行为做到发现及时、举证全面、响应快速、协调恢复。

　　总结下来，数字品牌作为资产的新形态，风险缘于其公开性，因此防护工作存在诸多难点问题，只能从事件发生展开响应。许多品牌方缺乏经验，遇到问题时，往往陷入手足无措的窘境，延误甚至错过解决问题的最佳时间。

　　但正因为如此，从数世咨询的第三方视角来看，有需求就会有供给，数字品牌保护正在成为一个新兴的细分市场，该领域会涌现出更多有技术有能力的创新者。如同“碰瓷”一样，虽然碰瓷者很长一段时间内不会绝迹，但取证的手段越来越成熟，相关的法律法规也在不断健全，有勇有谋的见义勇为会越来越多。

参考阅读

网络钓鱼依然是勒索软件最顺手的敲门砖

深度伪造技术迭代网络钓鱼策略