Niedawno pisaliśmy o technice OSINT-u i udowodniliśmy, że w Internecie znajduje się mnóstwo danych osobowych, nad którymi ich posiadacze nie mają pełnej kontroli. Dzisiaj zaprezentujemy, w jaki sposób te dane mogą zostać wykorzystane, czyli jak ściągnąć maskę, której używamy w Internecie.
Definicja doxingu
Termin „doxing” jest skrótem od „dropping dox”. Początkowo nazwa ta była używana do opisania demaskowania anonimowych użytkowników. Z czasem definicja doxingu rozszerzyła się poza społeczność hakerów i obecnie odnosi się do czynności polegającej na ujawnianiu informacji identyfikujących kogoś w Internecie. Są to np. prawdziwe imię i nazwisko, adres zamieszkania, miejsce pracy i inne dane osobowe. Informacje te są udostępniane publicznie bez zgody ofiary.
Ataki typu doxing mogą mieć różny charakter, od stosunkowo trywialnych, takich jak fałszywe rejestracje e-mail lub dostawy pizzy, po znacznie bardziej niebezpieczne, jak nękanie rodziny lub pracodawcy danej osoby, kradzież tożsamości, groźby lub inne formy cyberprzemocy, a nawet nękanie osobiste.
Najczęściej ofiarami tego typu ataku zostają celebryci, politycy i dziennikarze. Powody mogą być różne, zaczynając od sprzecznych poglądów, a kończąc na korzyściach finansowych. Dotarcie do wrażliwych danych w przypadku osoby zamożnej daje możliwość wzbogacenia się poprzez szantażowanie. Hakerzy mogą upublicznić zebrane dane, jeżeli ofiara nie prześle im wymaganej kwoty.
Ostatnio ten typ ataku stał się narzędziem w wojnach kulturowych, w których rywalizujący hakerzy doxują tych, którzy mają przeciwne poglądy. Ujawniają takie dane jak:
- adresy domowe,
- miejsca pracy,
- osobiste numery telefonów,
- numery ubezpieczenia społecznego,
- informacje o koncie bankowym lub karcie kredytowej,
- prywatna korespondencja,
- historia kryminalna,
- osobiste zdjęcia,
- krępujące informacje.
Jak działa doxing?
Niektóre z metod wykorzystywanych w doxingu zostały wymienione na stronie Kaspersky.
Są to między innymi:
Śledzenie nazw użytkowników
Wiele osób używa tej samej nazwy użytkownika w wielu różnych usługach. Pozwala to potencjalnym doxerom na zbudowanie obrazu zainteresowań ofiary i sposobu, w jaki spędza ona czas w Internecie.
Uruchamianie wyszukiwania WHOIS dla nazwy domeny
Każdy, kto jest właścicielem nazwy domeny, przechowuje swoje informacje w rejestrze, który jest często publicznie dostępny za pośrednictwem wyszukiwania WHOIS. Jeżeli osoba, która kupiła nazwę domeny, nie ukryła swoich prywatnych informacji w momencie zakupu, to jej dane osobowe (takie jak imię i nazwisko, adres, numer telefonu, firma i adres e-mail) są dostępne dla każdego.
Phishing
Jeśli osoba korzysta z niezabezpieczonego konta e-mail lub padła ofiarą oszustwa phishingowego, haker może odkryć poufne wiadomości mailowe i opublikować je w Internecie.
Stalking w mediach społecznościowych
Jeżeli konto w mediach społecznościowych jest publiczne, każdy może zdobyć informacje poprzez cyberstalking – poznać lokalizację, miejsce pracy, znajomych, członków rodziny, zdjęcia itp. Korzystając z tych informacji, atakujący jest w stanie opracować odpowiedzi na pytania bezpieczeństwa, co pomoże mu włamać się na inne konta.
Przeszukiwanie rejestrów rządowych
Podczas gdy większość danych osobowych nie jest dostępna online, istnieje spora ilość informacji, które można uzyskać na stronach rządowych.
Śledzenie adresów IP
Doxerzy mogą korzystać z różnych metod, aby odkryć adres IP użytkownika, który jest powiązany z jego fizyczną lokalizacją. Gdy już go poznają, mogą użyć sztuczek socjotechnicznych u dostawcy usług internetowych (ISP), aby uzyskać więcej informacji o użytkowniku – na przykład składać skargi na właściciela adresu IP lub próbować włamać się do sieci.
Korzystanie z brokerów danych
Brokerzy danych istnieją po to, by zbierać informacje o ludziach i sprzedawać je z zyskiem. Gromadzą informacje z publicznie dostępnych rejestrów, kart lojalnościowych (które śledzą zachowania zakupowe online i offline), historii wyszukiwania (wszystko, co wyszukujesz, czytasz lub pobierasz) oraz od innych brokerów danych. Wszystko, co doxer musi zrobić, to uiścić tę niewielką opłatę, aby uzyskać wystarczającą ilość informacji do doxowania kogoś.
Czy doxing jest legalny?
W zdecydowanej większości przypadków doxing jest karalny. Pomimo że posiadanie informacji, które zostały dobrowolnie upublicznione, nie podlega karze, to sposób ich wykorzystania już tak. Sprawcy doxingu wykorzystują nabyte informacje do dalszego szantażowania, manipulowania lub wywierania innych metod nacisku na ofiary, co stanowi przestępstwo m.in. na podst. art. 190a KK.
„§ 1. Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności do lat 3.
§ 2. Tej samej karze podlega, kto, podszywając się pod inna osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej”.
Z tego powodu każdy przypadek doxingu powinien być zgłoszony na policję.