Doxxing ist, wenn ein Angreifer eine Sammlung Ihrer persönlichen Daten online preisgibt, normalerweise mit der Macht von Hassmobs im Internet. Für das Opfer können die Auswirkungen von öffentlicher Verlegenheit bis hin zu tödlichen Schlaganfällen reichen.
Was ist Doxxing?
Doxxing (manchmal auch als Doxing bezeichnet) ist das Sammeln personenbezogener Daten über Einzelpersonen und deren Veröffentlichung im Internet. Die Absicht besteht darin, der gedoxxten Person ein Problem oder eine Verlegenheit zu bereiten oder sie für Missbrauch und Trolling durch andere zu öffnen. Es ist eine einfache, aber mächtige Online-Bedrohung für Ihre Privatsphäre und in einigen Fällen für Ihre Sicherheit.
Doxxing ist nicht neu. Der Name leitet sich vom Begriff Dumping-Dokumente ab. Dokumente wurden zu docs verkürzt, was sich auf dox reimt, und so wurde doxxing geprägt. Es existiert in verschiedenen Formen seit den 1990er Jahren, als es ein Werkzeug war, das Hackern vorbehalten war. Es wurde hauptsächlich verwendet, um rivalisierenden Hackern Ärger zu bereiten. Es hat sich zu einer Waffe entwickelt, die selbst gelegentliche Webbenutzer gegen jeden anderen einsetzen können.
Die Bedrohungsakteure recherchieren das Ziel, sammeln Informationen und machen diese Informationen dann öffentlich. Handelt es sich bei der Zielperson um eine Einzelperson, sind die veröffentlichten Informationen bereits irgendwo im Internet verfügbar,—wenn Sie wissen, wo Sie danach suchen müssen—und gemeinfrei sind. Es ist kein Hacking im Spiel, nur ein bisschen Detektivieren.
Hacktivists and Doxxing
Der Begriff Hacktivist wurde zuerst von einem Mitglied der . geprägt Cult of the Dead Cow, eine Hackergruppe, die sich Mitte der 1990er Jahre in einem verlassenen Schlachthof in Lubbock, Texas, traf. Es ist ein Wortspiel, das Hacker und Aktivisten verbindet.
Werbung
Hacktivisten verstehen sich als Cyber-Guerillas, die auf der Seite von Gerechtigkeit und Gesellschaft kämpfen. Sie führen Angriffe gegen Organisationen durch, die für sie strafwürdig sind oder zumindest die Veröffentlichung privater Informationen über ihr Geschäftsgebaren verdienen. Hacktivisten werden auch Einzelpersonen innerhalb einer Organisation ins Visier nehmen.
Beispielsweise können das Anonymous-Kollektiv und seine Unterstützer auf der 4Chan-Website massive Kampagnen gegen doxierte Opfer starten. 4Chan hat Millionen von Mitgliedern. Sie können einen Tsunami aus Online-Trolling, Scherzanrufen und bedrohlichen oder beleidigenden E-Mails liefern. Sie werden auch beantragen, dass ein Opfer von seinem Arbeitsplatz entlassen oder aus öffentlichen Ämtern entfernt wird.
Hacktivisten können traditionelle Hacking-Techniken verwenden, um an sensible Unternehmensdokumente zu gelangen.
Ransomware und Doxxing
Ransomware ist eine Cyberkriminalität, bei der das gesamte Netzwerk des Opfers verschlüsselt wird und als Gegenleistung für den Entschlüsselungsschlüssel ein Lösegeld in Kryptowährung verlangt wird. Einige Unternehmen zahlen das Lösegeld nicht, sondern löschen ihre Systeme und stellen ihre Daten aus Backups wieder her.
Opfer von Ransomware, die sich weigern, das Lösegeld zu zahlen, werden manchmal von den Bedrohungsakteuren mit der Veröffentlichung sensibler Unternehmensdokumente erpresst es sei denn, sie zahlen ein Lösegeld in Kryptowährung. Dies kombiniert Unternehmens-Doxxing mit Ransomware.
Die potenzielle Auswirkung
Es ist keine Übertreibung zu sagen, dass das Leben der Menschen durch Doxxing ruiniert wurde. Doxxing-Angriffe haben dazu geführt, dass Opfer Massenkampagnen öffentlicher Schande und Demütigung durchlaufen, sie haben ihren Arbeitsplatz verloren, sich von Partnern getrennt, mussten ihre Online-Präsenz schließen und sogar untertauchen.
Werbung
Und natürlich ist das Opfer manchmal eine falsch identifizierte, unschuldige Person. In einem Fall, der Schlagzeilen machte, wurde ein Professor der University of Arkansas fälschlicherweise als Teilnehmer einer Kundgebung der weißen Vorherrschaft in Charlottesville, Texas, genannt.
Um diejenigen zu identifizieren, die an dem Marsch teilgenommen hatten, überprüften die Gegner der Kundgebung Filmmaterial und Fotos. Einer der Demonstranten trug ein T-Shirt von Arkansas Engineering. Es war ein einfacher Schritt, die Mitarbeiter der Fakultät auf der Website der Universität zu überprüfen.
Assoziierter Professor Kyle Quinn hatte eine vorübergehende Ähnlichkeit mit dem Mann bei der Kundgebung, also wurde er öffentlich zum Mann auf dem Foto erklärt declared . Seine Kollegen, Freunde und Familie wurden gedoxt und mit wütenden und beleidigenden Nachrichten bombardiert, und an die Universität wurden Forderungen gestellt, Quinn zu feuern.
Für Quinn war es leicht zu beweisen, dass er nicht der Mann auf dem Foto war. Zum Glück hatte er zum Zeitpunkt der Kundgebung an einer Universitätsveranstaltung in über 1000 Meilen Entfernung teilgenommen und seine Unschuld war unbestritten.
Ein Fehler der Polizei führte dazu, dass ein unschuldiger Mann fälschlicherweise als Radfahrer identifiziert wurde, der auf einem Radweg in Bethesda, Maryland, ein Kind verletzte. Sie veröffentlichten das falsche Datum in einem Auskunftsersuchen. Peter Weinburg—der Unschuldige—hatte den Radweg an dem Datum benutzt, das die Polizei in ihrer Berufung angab, aber nicht am tatsächlichen Datum des Angriffs.
Weinburg wurde schnell Opfer eines Doxxing, mit einer so heftigen Gegenreaktion, dass die Polizei die Gegend um sein Haus herum patrouillieren musste, um ihn zu schützen. Doxxing kann Online-Mobbing und Trolling nur allzu leicht in die reale Welt bringen.
Doxxing und Swatting
Shutterstock/bibiphotoSwatting macht Falschmeldungen an die Polizei, um sie davon zu überzeugen, ein bewaffnetes Reaktionsteam zum Wohnort des Opfers zu schicken.
Werbung
Bei Swatting-Angriffen muss sich jemand als Opfer ausgeben. Sie beschreiben ein Verbrechen, das sie entweder begehen werden oder das sie bereits begonnen haben. Ein SWAT-Team (Special Weapons and Tactics) oder ein anderes bewaffnetes Strafverfolgungsteam ist vor Ort. Das ist eine brisante Situation mit aufgeregten Strafverfolgungsbeamten und einem völlig verwirrten Opfer.
Im Jahr 2017 fragte Casey Viner, wütend über eine Wette von 1,50 USD über eine Partie Call of Duty, bekannte Klatsche und Hoaxer Tyler Barriss, um einen anderen Online-Gamer zu schlagen. Sie haben das Opfer gedoxxt, aber eine abgelaufene Adresse abgerufen. Barriss machte einen Hoax-Anruf und schickte ein bewaffnetes Reaktionsteam an die falsche Adresse. Andrew Finch, der nichts mit dem Streit um die Wette zu tun hatte, wurde erschossen. Barriss verbüßt eine 20-jährige Haftstrafe.
Wie Doxxer an Ihre Informationen kommen
Doxxer können viele Orte durchsuchen, um etwas über ein Opfer herauszufinden.
Open Source Intelligenz
Open-Source-Intelligenz sind alle Informationen, die legal über eine Person aus dem Internet erhalten werden können. Da beim Sammeln der Informationen kein Verbrechen begangen wurde und weil die Informationen sachlich sind, —vorausgesetzt, das Opfer wurde korrekt identifiziert—viele Formen des Doxxings sind nicht illegal.
Das Nachschlagen von Informationen in den Wählerverzeichnissen oder -registern ist beispielsweise völlig legal. Es handelt sich um gemeinfreie Informationen. Das bedeutet Open Source. Es ist eine offene Informationsquelle im Gegensatz zu einer geschlossenen Quelle. Es hat keine Verbindung zu Open-Source-Software. Davon abgesehen gibt es mehrere kostenlose und Open-Source-Softwarepakete, die verwendet werden können, um Open-Source-Informationen über Einzelpersonen zu sammeln.
Data Brokers
Unternehmen, die Ihre Daten sammeln, speichern und von Querverweisen und Verkauf profitieren, werden als Datenbroker bezeichnet. Alles, was Sie tun, ist für jemanden von Interesse, insbesondere für Big-Data-Marketingunternehmen. Wenn Sie online nach etwas suchen, einen Kauf recherchieren oder etwas online kaufen, sind die Details dieser Aktionen verkaufsfähige Inhalte für die Datenbroker.
Werbung
Eine typische Informationsquelle für einen Datenbroker sind Partnerschaften mit anderen Organisationen. Sie dürfen Ihre Daten und die Details Ihrer Transaktionen an ihre Partner weitergeben, da Sie dem bei der Nutzung ihrer Website zugestimmt haben. Im Kleingedruckten der Allgemeinen Geschäftsbedingungen oder der Datenschutzrichtlinie vieler Websites ist eine Liste der Personen enthalten, mit denen Ihre Daten geteilt werden.
Whois-Datensätze
Die Registrierung einer Domain erfordert das Ausfüllen eines Formulars. Die Daten in diesem Formular sind für jedermann zugänglich. Einige Registrare bieten an, die Daten gegen eine Gebühr zu verbergen oder einzuschränken, aber nicht alle bieten diesen Service an.
Sie können jeden der vielen Whois-Dienste im Internet verwenden, um die Einträge in der Whois-Datenbank zu durchsuchen. Einige Betriebssysteme bieten direkten Zugriff auf die Whois-Datenbank, sodass Anfragen programmgesteuert ausgeführt werden können.
VERWANDTE: Verwendung des whois-Befehls unter Linux
Soziale Medien
Die durchschnittliche Person postet eine enorme Menge an Informationen, die verwendet werden können, um sie, ihre Familie, den Ort, an dem sie leben, ihre Adresse, Telefonnummer, Personen, mit denen sie in Verbindung stehen, wo sie arbeiten, was sie in Ihrer Freizeit tun, zu identifizieren und bald. All dies kann verwendet werden, um Ihre Identität zu ermitteln und gibt den Angreifern Hinweise, um weitere Informationen über Sie zu finden.
Sie geben möglicherweise andere Informationen preis, ohne es zu merken. Bilder, die Sie online veröffentlichen, können eingebettete Daten enthalten, wobei Uhrzeit, Datum und Ort der Bildaufnahme in den Metadaten der Bilddatei enthalten sind.
Datenverletzungen
Datenschutzverletzungen scheinen an der Tagesordnung zu sein. Diese durchgesickerten Datenbanken können eine Fülle von Informationen enthalten, darunter Ihren Namen, Ihr Passwort, Ihre Sozialversicherungsnummer, Ihre Privatadresse, Bankdaten, Kreditkartendaten, E-Mail-Adressen, Festnetz- und Mobiltelefonnummern und so weiter. All dies findet seinen Weg ins Dark Web und in Hacker-Foren.
Werbung
Wenn jemand Ihren Namen und die allgemeine Umgebung, in der Sie leben, kennt, kann er die durchgesickerten Datenbanken durchsuchen und wahrscheinliche Kandidaten finden, die Sie sein könnten. Durch den Querverweis der Informationen in den Datenschutzverletzungen mit den Informationen, die sie bereits über Sie haben, können sie schnell überprüfen, ob sie Sie identifiziert haben oder nicht.
Social Engineering
Social Engineering ist eine Möglichkeit, mit der Betrüger Vertrauen und Vertrautheit aufbauen. mit ihrem Opfer, während sie langsam Informationen von ihnen extrahieren, ohne dass das Opfer es merkt. Dies kann in der digitalen Welt auf Social-Media-Plattformen oder in der physischen Welt passieren.
Doxxing-as-a-Service
Doxxing-as-a-Service ist im Dark Web verfügbar. Sie führen einen Doxxing-Angriff auf das Opfer durch und berechnen ihm eine Gebühr für die Löschung seiner persönlichen Daten.
So schützen Sie sich gegen Doxxing
Verhalten Sie sich mit Vorsicht. Alles, was du im Internet sagst oder postest, kann von denen, die dich untergraben oder angreifen wollen, in der Öffentlichkeit herumgewirbelt und herumgewirbelt werden.
Verwenden Sie nicht Ihren richtigen Namen
Wenn Sie einer Social-Media-Site, einem Forum oder einer anderen Online-Plattform beitreten, wählen Sie einen Benutzernamen, der nicht Ihre wahre Identität widerspiegelt. Wenn Sie in einen Streit geraten oder jemand Anstoß an den von Ihnen geäußerten Ansichten nimmt und diese Person die Art von Person ist, die in Betracht zieht, Sie zu doxxen, sind Sie bei einem völlig unabhängigen Benutzer besser geschützt Name.
Verwenden Sie ein VPN
Ein VPN hilft, Ihre Anonymität zu wahren. Ihre IP-Adresse wird nicht an die Plattformen, Dienste und Websites weitergegeben, zu denen Sie eine Verbindung herstellen. Dies erschwert die Rückverfolgung erheblich. Es verschlüsselt auch Ihren Datenverkehr, was die Nutzung von öffentlichem WLAN viel sicherer macht.
Seien Sie vorsichtig mit sozialen Medien
Fast alles, was Sie in sozialen Medien posten, kann als Hinweis auf Ihre wahre Identität verwendet werden. Anhand von Fotos von der Vorderseite Ihres Hauses können die Doxxer beispielsweise überprüfen, ob sie die richtige Adresse gefunden haben, indem sie dieses Foto mit dem Bild in Google Street View für die Adresse vergleichen, von der sie vermuten, dass sie Ihre ist.
Werbung
Verwenden Sie die Datenschutzeinstellungen auf der Social-Media-Plattform, um den Zugriff auf Ihre Beiträge so weit wie möglich einzuschränken, und erlauben Sie nur vertrauenswürdigen Freunden und Familienmitgliedern, sich zu verbinden und Ihre Updates zu sehen. Akzeptieren Sie keine Verbindungsanfragen von Fremden. Fragen Sie sich, warum sie sich mit Ihnen verbinden möchten?
Löschung Ihrer Daten anfordern
Jeder kann verlangen, dass Datenbroker Ihre personenbezogenen Daten aus ihren Datenbanken löschen.
Bei Google, Bing, Yahoo und anderen Suchmaschinen können Sie beantragen, dass Sie aus den Suchergebnissen entfernt werden. Aber seien Sie sich bewusst, dass sie nicht immer entsprechen. Wenn sie behaupten, dass die Informationen einem berechtigten Interesse der Öffentlichkeit dienen, werden sie Ihre Daten nicht entfernen.
Wenn Sie ein europäischer Bürger sind, können Sie die Löschung von Daten bei jeder Organisation beantragen, von der Sie glauben, dass sie Ihre personenbezogenen Daten besitzt. Die Datenschutz-Grundverordnung gibt Ihnen das Recht, zu sehen, welche Daten ein Unternehmen über Sie speichert, und diese Daten auf Wunsch löschen zu lassen. Und das betrifft nicht nur europäische Organisationen. Die DSGVO gilt für jede Organisation, die —unabhängig von der geografischen Lage—die Daten von europäischen Bürgern verarbeitet, speichert oder übermittelt.
Auch nach der DSGVO haben Sie kein Blanko-Recht auf Datenlöschung, aber Sie haben das Recht, dies zu verlangen. Eine Organisation muss einen zwingenden und triftigen Grund haben, Ihre Daten weiterhin aufzubewahren, wenn Sie sie aufgefordert haben, sie zu löschen. Sie können beispielsweise nicht versuchen, Ihre Daten von jemandem zu löschen, mit dem Sie einen laufenden Mietvertrag oder einen Mietkaufvertrag haben. Die Tatsache, dass Sie sich mitten in einem Finanzvertrag befinden, wäre für sie ein akzeptabler Grund, die Datenlöschung abzulehnen.
Werbung
Wenn die Aussicht, viele Websites zu kontaktieren und um Entfernung zu bitten, Ihr Herz sinken lässt, können Sie Datenlöschdienste wie DeleteMe oder Privacy Duck in Betracht ziehen. Gegen eine Gebühr entfernen Sie diese Unternehmen von allen gängigen Datenbroker-, Websuch- und anderen Datenhandelsunternehmen und reduzieren Ihren Online-Fußabdruck erheblich. Auf der Privacy Duck-Website erfahren Sie sogar, wie es geht, und zeigt Ihnen, wie Sie es kostenlos selbst tun können.
Verwenden Sie Opfer-E-Mail-Adressen
Verwenden Sie kostenlose E-Mail-Anbieter wie ProtonMail und erstellen Sie Wegwerf-E-Mail-Adressen. Verwenden Sie sie als Ihre Registrierungs-E-Mail für soziale Medien und andere Plattformen, denen Sie beitreten. ProtonMail bietet einen weiteren Grad der Trennung, da Sie eine E-Mail-Adresse erstellen können, ohne während des Vorgangs eine vorhandene E-Mail-Adresse anzugeben.
Wenn Sie Doxxed erhalten
- Melden. Melden Sie dies dem Kundensupport der Plattform, auf der die Informationen veröffentlicht wurden, und bitten Sie um Entfernung. Die Plattform hat möglicherweise eine Richtlinie zum Doxxing und das Poster ist möglicherweise verboten.
- Kontaktieren Sie die Polizei. Wenn Sie aufgrund eines Doxxing Drohungen oder Missbrauch erhalten, melden Sie dies der Polizei. Wenn die veröffentlichten Informationen nicht öffentlich zugänglich sind, kann durch die Beschaffung und Veröffentlichung ein Verbrechen begangen worden sein.
- Doxxing aufzeichnen. Screenshots der Online-Informationen zu machen, beleidigende E-Mails aufzubewahren und Tweets zu erstellen, bevor sie gelöscht werden können, liefert Informationen, die die Polizei bei ihren Ermittlungen verwenden kann.
- Warnen Sie Ihren Arbeitgeber, Kollegen, Freunde und Familie. Sie können Hassmails und Missbrauch ausgesetzt sein, nur weil sie dich kennen oder dich beschäftigen.