您无法 100% 确定地检测到它，因为并非所有窃取您数据的人都想对您进行网络钓鱼或出售。但是对于那些确实想对您进行网络钓鱼的人（其中很大一部分），您可以应用一些技巧。

在大多数地方，您不能提供虚假的详细信息。您需要输入您的姓名、实际地址、信用卡信息、社会安全号码等。您对真实的详细信息并没有太多控制权。

但是，您可以控制的是您的电子邮件地址。您始终可以出于任何原因向任何人提供一个虚拟电子邮件帐户，即使您的其他详细信息必须是合法的。

流动电邮地址法

我们称之为REAM。我喜欢雷姆。

我是这样做的：我购买了几个域并创建了无限数量的电子邮件地址，然后为我拥有帐户的每个网站使用不同的电子邮件地址。我也使用 Gmail、Yahoo 等。

购买 2-3 个合理的域名，并为账户提供合理、独特的名称，如michael.duncan2017@mysitex.com、jtrounders2020@heysitey.com等。您也可以使用免费的电子邮件提供商，但必须重复输入您的电话号码可能会给您带来一些问题。

这是一项艰巨的工作，但从长远来看会有所回报。当零售商要求您提供电子邮件地址时，请给他们其中一封电子邮件，并仅用于他们。确保每个电子邮件地址只使用一次。在您的钱包中携带电子邮件地址列表。

现在我们为什么要检测网络钓鱼，而不是将其发送到垃圾邮件文件夹？因为对这些电子邮件的网络钓鱼尝试可能表明存在违规行为。

我发现，以惊人的规律性，甚至没有将我的电子邮件地址提供给第一个公司以外的其他公司，我在每个帐户上都会定期受到网络钓鱼。事实上，我已经看到了几十个这样的违规行为。

以下是我发现的一些值得注意的网络钓鱼攻击的一小部分：

1. OPM（2011 年，直到 2015 年才公开）
2. 美国国税局（2015 年，直到 2015 年底才披露）
3. 国税局（2016 年。2015 年的重复？直到最近才公开）
4. 必胜客（2015 年初，违规仍未披露）
5. 目标（2013 年？）

在大多数电子邮件中，攻击者通常英语不好。在某些情况下，他们没有。他们还会用谷歌搜索提供的地址附近的位置，并说他们有工作机会等。

在某些情况下，我什至会在与我相同的区号中接到他们的电话！实际上很容易在 Wal-Mart 买到一部刻录机电话，并将其设置为与受害者相同的区号。如果你足够聪明，而且他们在同一个国家，那么你可以迅速带领他们走上该死的道路。

几乎在每种情况下，他们都试图让我点击受感染的网站。无论如何我都会去那里（显然是在一个虚拟机+虚拟机上），因为我是一个自虐的安全研究员，热衷于逆向工程恶意软件，让攻击者受苦。当你可怜的魔法背叛你时，让凡人受苦！但是，您可能不想访问它们。

多电话号码法

有些人喜欢尝试使用多个电话号码。我不会这样做。它既不可靠也不有效，因为：

1. 电话号码可以很容易地枚举，并自动拨号/发短信。
2. 拥有多个电话号码要花很多钱。
3. 您可能会接到认识前任所有者的人的电话。

因此，REAM 是比这更好的方法。

Plus 电子邮件地址方法

我想我们可以称之为PEAM。

其他人建议使用加电子邮件地址方法。Gmail 支持这一点。例如，如果您的电子邮件地址是herpyderpyderp100@gmail.com，则建议使用herpyderpyderp100+pizzahut@gmail.com代替。谷歌显然会放弃电子邮件地址的优点。

出于很多原因，使用这种方法可能会很好。然而，这些原因中很少（如果有的话）适用于真正熟练的网络钓鱼者。我不建议使用这种方法，因为它可能只适用于普通的垃圾邮件发送者，而不是真正熟练的网络钓鱼者。原因如下：

1. 网络钓鱼者比一般的垃圾邮件发送者更聪明。他们以你个人为目标。如果您做出回应，他们会在您身上建立个人资料，或者他们可能已经根据被盗数据集建立了您的个人资料。
2. 垃圾邮件发送者会不择手段地向他们可以发送的每个人发送垃圾邮件。您的加号地址仍会发送到您的收件箱。而且你只知道你想要那些延长药丸......所以你最终还是买了它们，它们不起作用，所有的女人都在嘲笑你。[控制不住地抽泣] 咳咳……

3. 使用代码可以轻松绕过此方法。我将演示：

   List<String> possiblyIntelligentTargetList = new List<String>();
   
   foreach (string email in emailAddressCollection)
   {
       // We might've found a plus-size individual
       if (email.Contains("+"))
       {
           // Ignore the plus email address
           string realEmailAddress = email.Split("+")[0] + "@" + email.Split("@")[1];
   
           // Phish user's actual email address.
           PhishUser(realEmailAddress);
   
           // Add their provided email to a new list so we can analyze later
           possiblyIntelligentTargetList.Add(email);
       }
       else
       {
           PhishUser(email);
       }
   }
   

   当然，这可以做得更好，但这是一个粗略的例子，说明它是多么容易做到这一点。写这篇文章只花了我 0.05 毫秒。

使用上面的代码片段，电子邮件地址的正面将被丢弃。现在你怎么知道违规来自哪里？因此，我建议您获得REAM ed。

拖网“深网”

bmargulies提出了一个有趣且非常好的观点：您的数据有时可能会出现在 Deep Web 上。但是，这些信息通常是出售的。

虽然可以，但可以通过访问 Deep Web 或使用身份保护服务在宣布违规之前检测到违规，但这种方法也有其缺点。以下是我在查看 Deep Web 时看到的一些问题：

1. 虽然某些身份保护服务非常出色，但它们可能会花费相当多的钱。身份保护服务可能是免费提供的，但通常在违规公告之后提供，并且保护只持续有限的时间，通常在 1-2 年左右。
2. 您通常必须从攻击者那里购买此信​​息，除非他们为 Lulz 发布这些信息。
3. 被破坏的数据可能根本不会出现在 Deep Web 上。

如您所见，这里每种方法都有很多优点和缺点。没有一种方法是完美的。100%完美是不可能的。

REAM 还可以检测个人违规行为

这种方法不仅可以检测对公司的违规行为。它检测对个人的违规行为。您可能会发现，在向某人提供您的电子邮件地址后，他们会在几个月后向您发送网络钓鱼攻击。它可能来自他们，也可能来自入侵他们的其他人。

现在我的数据被盗了，我该怎么办？

如果您强烈怀疑您的敏感信息被盗，您应该执行以下操作：

1. 关闭并更换与上述电子邮件地址关联的所有信用卡和借记卡。
2. 冻结您的信用，这样他们就无法对细节做任何事情。
3. 通知公司/个人他们可能已被黑客入侵，以便他们采取适当的步骤。
4. 在emory为下面的奖金问题提供的答案中阅读有关虚拟信用卡的信息。

对于主要问题，我推荐Mark Buffalo 的回答。

对于奖金问题，我的信用卡公司为我提供了他们称为 ShopSafe 的虚拟信用卡服务。其他信用卡公司提供自己的虚拟信用卡服务，这些服务将具有不同的名称和不同的详细信息。以下是 ShopSafe 功能。

我可以使用他们的门户网站在几秒钟内随意创建一张虚拟信用卡。我可以选择信用额度和到期日。对这张虚拟信用卡的任何费用都会显示在我的常规信用卡账单上，就像它们对我的常规信用卡一样。我可以查询针对特定虚拟信用卡的费用。

当我需要提供信用卡信息时，我会创建一张带有选定信用额度和到期日期的虚拟信用卡。如果我在 10 月份购买 100 美元的商品，则信用额度为 100 美元，卡在 11 月到期。如果该网站遭到破坏，很可能我的信用卡信息已过时。这涵盖了大多数用例。

另一个用例是我的过境通行证。我有一张公交卡，可以让我乘坐公共汽车和地铁。我已向交通机构提供了一张虚拟信用卡。每次我的过境通行证低于 20 美元时，他们都会自动重新加载（通过向我的虚拟信用卡收取费用）。

我给了交通机构一张限额为 500 美元、有效期为 12 个月的虚拟信用卡，因为我希望该卡能够自行自动充值。（当我跑火车时，我不想花时间在过境卡上加钱。）

ShopSafe 记录了第一个使用虚拟信用卡收费的商家。其他商户的后续收费将被自动拒绝。如果交通机构被破坏，我的虚拟信用卡将不会过期，它会留下信用，但黑客将无法对其进行指控。除了交通机构之外，没有人可以从该虚拟信用卡中收取费用。

没有虚拟信用卡 如果您没有虚拟信用卡，那么您可以使用相同的信用卡号进行所有购买。如果某个网站遭到入侵（即使您知道），您可能会选择不取消该卡，因为它会破坏其他一切。相反，您可能会依赖信用卡的欺诈担保。当黑客在您的卡上收取虚假费用时，您会对他们提出异议。信用卡公司面临财务风险。

因此，虚拟信用卡主要是对您的信用卡公司有利。如果他们不提供给你，他们的头上就满是石头。

Facebook 会抓取流行的 pastebin 类型网站，黑客会在这些网站上发布窃取的登录信息并检查其用户的帐户信息。您也可以这样做（针对您的各种电子邮件地址或信用卡号），但工作量很大！

为此，我们会监控一系列不同的“粘贴”站点以查找被盗凭据，并关注大规模数据泄露的报告。我们收集已公开发布的被盗凭据并检查它们以查看被盗的电子邮件和密码组合是否与 Facebook 上使用的相同电子邮件和密码匹配

https://www.facebook.com/notes/protect-the-graph/keeping-passwords-secure/1519937431579736

我喜欢 Mark Buffalo 的 REAM 方法，但实际上它对大多数人来说太麻烦了，所以我会给出一个更好的选择：加寻址（又名地址别名，虚拟身份）。

您可以拥有一个帐户，但可以拥有多个电子邮件地址，而不是创建多个电子邮件帐户。最好的消息是，如果您使用 Gmail，那么您已经拥有了所需的一切。

在实践中

假设您的电子邮件是johndoe@gmail.com，并且您想将您的电子邮件提供给 SomeCompany。

您可以提供johndoe+somecompany@gmail.com，它将被路由到您的帐户 - 之后的任何内容都将+被忽略。

有些网站不会让您+的地址中有一个。随时让他们知道他们违反了RFC5322 第 3.2.3 节，互联网警察会来罚款他们。如果他们不相信你，出于某种原因，你将不得不诉诸更多……

卑鄙的战术

为他们提供jo.hndoe@gmail.com- 仍然是相同的地址（就 Google 的服务器而言）。如果你知道如何用二进制计数并且有一封 11 个字符的电子邮件，你可以通过这种方式获得 1024 个不同的地址。

我可以用二进制数，但这很痛苦

你不妨在自己的领域投资几块钱，一本关于 Exim 的书和一些咖啡因。很多，其实。然后，除了加寻址之外，您还可以使用减寻址、乘寻址、美元寻址或任何适合您的方式。

我不能算二进制，更不用说设置我自己的MTA

好吧，你总是可以花钱请人来打扰它。我建议自己，但这可能在某处违反了某些规则。

伟大的！我被恶意软件缠身的朋友的电脑呢？

如果您的年龄足够大，可以享受老式电子邮件客户端带来的便利，那么您可以在第一次联系某人时使用虚拟身份扩展生成一个新的随机地址——包括那个仍在使用 Windows XP 的讨厌的朋友。

垃圾邮件发送者/网络钓鱼者并不愚蠢，他们会删除加号

请让数十名袭击我的域名的骗子知道。

一些特别聪明的小伙子居然写了一个解析器，认为johndoe+somecompany@yourdomain.tld实际上是somecompany@yourdomain.tld. 真是天才。

如果您足够精明，可以在地址上使用加号，可以公平地说您不会陷入大规模诈骗操作，因此编写解析器来解决它可能会浪费人们这样做的资源。

当然，这并不是说如果你是一个高价值目标，你就不会被专门针对。如果您担心，请使用您自己的域。解析地址的方式完全由 MTA 决定，因此发件人无法真正知道他们应该解析出什么。