Doxxing is wanneer een aanvaller een verzameling van uw persoonlijke gegevens online lekt, meestal met de macht van internethaatmobs achter zich. Voor het slachtoffer kan de impact variëren van publieke verlegenheid tot dodelijke swatting-incidenten.
Wat is Doxxing?
Doxxing (soms gespeld als doxing) is het verzamelen van persoonlijke informatie over individuen en deze vrijgeven op internet. De bedoeling is om de doxxed persoon een soort van probleem of verlegenheid te bezorgen of om ze open te stellen voor misbruik en trollen door anderen. Het is een eenvoudige maar krachtige online bedreiging voor uw privacy en, in sommige gevallen, voor uw veiligheid.
Doxxing is niet nieuw. De naam komt van de term dumpdocumenten. Documenten werden afgekort tot docs, wat rijmt op dox, en zo werd doxxing bedacht. Het bestaat in verschillende gedaanten sinds de jaren negentig, toen het een hulpmiddel was dat was gereserveerd voor hackers. Het werd vooral gebruikt om rivaliserende hackers lastig te vallen. Het is veranderd in een wapen dat zelfs gewone internetgebruikers tegen iemand anders kunnen gebruiken.
De dreigingsactoren onderzoeken het doelwit, verzamelen informatie en maken die informatie vervolgens openbaar. Als het doelwit een individu is, is de informatie die wordt vrijgegeven al ergens op internet beschikbaar "als je weet waar je het moet zoeken" en bevindt zich in het publieke domein. Er komt geen hacking bij kijken, alleen wat speurwerk.
Hacktivisten en Doxxing
De term hacktivist werd voor het eerst bedacht door een lid van de Cult of the Dead Cow, een hackgroep die halverwege de jaren negentig bijeenkwam in een verlaten slachthuis in Lubbock, Texas. Het is een samentrekking van het woord hacking en activist.
Advertentie
Hacktivisten zien zichzelf als cyberguerrillastrijders aan de kant van justitie en samenleving. Ze plegen aanvallen op organisaties die wat hen betreft straf verdienen of op zijn minst het verdienen om privé-informatie over hun zakelijke gedrag openbaar te maken. Hacktivisten zullen zich ook richten op individuen binnen een organisatie.
Het Anonymous-collectief en zijn supporters op de 4Chan-website kunnen bijvoorbeeld massale campagnes lanceren tegen doxed-slachtoffers. 4Chan heeft miljoenen leden. Ze kunnen een tsunami van online trollen, pranktelefoontjes en bedreigende of beledigende e-mail bezorgen. Ze zullen ook een verzoekschrift indienen om een slachtoffer van zijn baan te ontslaan of uit een openbaar ambt te verwijderen.
Hacktivisten kunnen traditionele hacktechnieken gebruiken om gevoelige bedrijfsdocumenten te verkrijgen.
Ransomware en Doxxing
Ransomware is een cybercriminaliteit waarbij het hele netwerk van het slachtoffer wordt versleuteld en losgeld in cryptocurrency wordt geëist in ruil voor de decoderingssleutel. Sommige bedrijven betalen het losgeld niet, ze wissen hun systemen en herstellen in plaats daarvan hun gegevens vanaf back-ups.
Slachtoffers van ransomware die weigeren het losgeld te betalen, worden soms gechanteerd door de dreigingsactoren met het vrijgeven van gevoelige bedrijfsdocumenten tenzij ze een losgeld voor cryptocurrency betalen. Dit combineert zakelijke doxxing met ransomware.
De potentiële impact
Het is niet overdreven om te zeggen dat het leven van mensen is geruïneerd door doxxing. Doxxing-aanvallen hebben ertoe geleid dat slachtoffers massale campagnes van publieke schaamte en vernedering hebben ondergaan, dat ze banen zijn kwijtgeraakt, zich hebben afgesplitst van partners, hun online aanwezigheid moesten sluiten en zelfs moesten onderduiken.
Advertentie
En natuurlijk is het slachtoffer soms een verkeerd geïdentificeerd, onschuldig individu. In een krantenkopzaak werd een professor van de Universiteit van Arkansas ten onrechte genoemd als deelnemer aan een witte suprematie-rally in Charlottesville, Texas.
Om te proberen degenen te identificeren die de mars hadden bijgewoond, bekeken tegenstanders van de rally beelden en foto's. Een van de demonstranten droeg een t-shirt van Arkansas Engineering. Het was een gemakkelijke stap om de faculteitsmedewerkers van de universiteitswebsite te bekijken.
Universitair hoofddocent Kyle Quinn vertoonde een vage gelijkenis met de man tijdens de rally, dus werd publiekelijk verklaard dat hij de man op de foto was. Zijn collega's, vrienden en familie werden verdoofd en bestookt met boze en beledigende berichten, en er werden eisen naar de universiteit gestuurd om Quinn te ontslaan.
Voor Quinn was het gemakkelijk om te bewijzen dat hij niet de mens op de foto. Gelukkig woonde hij op het moment van de rally een universiteitsbijeenkomst bij meer dan 1000 mijl verderop en zijn onschuld stond buiten kijf.
Een fout van de politie leidde ertoe dat een onschuldige man ten onrechte werd geïdentificeerd als een fietser die een kind verwondde op een fietspad in Bethesda, Maryland. Ze plaatsten de verkeerde datum op een oproep om informatie. Peter Weinburg, de onschuldige man, had het fietspad gebruikt op de datum die de politie in hun hoger beroep had gebruikt, maar niet op de feitelijke datum van de aanval.
Weinburg werd al snel het slachtoffer van een doxxing, met een reactie van zo'n wreedheid dat de politie het gebied rond zijn huis moest patrouilleren om hem veilig te houden. Doxxing kan online pesten en trollen maar al te gemakkelijk in de echte wereld brengen.
Doxxing en Swatting
Shutterstock/bibiphotoSwatting maakt nepberichten naar de politie om hen te overtuigen een gewapende reactieteam naar de woning van een slachtoffer.
Advertentie
Bij swattingaanvallen moet iemand zich voordoen als het slachtoffer. Ze beschrijven een misdaad die ze gaan plegen of die ze al zijn begonnen. Een Special Weapons and Tactics-team (SWAT) of een ander gewapend wetshandhavingsteam komt ter plaatse. Dat is een flitsende situatie met opgezette wetshandhavers en een volledig verward slachtoffer.
In 2017 vroeg Casey Viner, boos over een weddenschap van $1,50 over een spelletje Call of Duty, bekende swatter en hoaxer Tyler Barriss om een andere online gamer te meppen. Ze hebben het slachtoffer verdoofd, maar een verlopen adres teruggevonden. Barriss deed een hoax-oproep en stuurde een gewapend responsteam naar het verkeerde adres. Andrew Finch, die op geen enkele manier betrokken was bij het geschil over de weddenschap, werd doodgeschoten. Barriss zit een straf van 20 jaar uit.
Hoe Doxxers aan uw informatie komen
Er zijn veel plaatsen waar doxxers kunnen zoeken om te proberen om meer te weten te komen over een slachtoffer.
Open Source Intelligence
Open source intelligence is alle informatie die legaal over een persoon via internet kan worden verkregen. Omdat er geen misdaad is gepleegd bij het verzamelen van de informatie, en omdat de informatie feitelijk is—ervan uitgaande dat het slachtoffer correct is geïdentificeerd—veel vormen van doxxing zijn niet illegaal.
Het opzoeken van informatie over de kiezerslijsten of registers zijn bijvoorbeeld volkomen legaal. Het is informatie uit het publieke domein. Dat is wat de open source betekent. Het is een open bron van informatie, in tegenstelling tot een gesloten bron. Het heeft geen enkele verbinding met open source software. Dat gezegd hebbende, zijn er verschillende gratis en open source softwarepakketten die kunnen worden gebruikt om open source-informatie over individuen te verzamelen.
Data Brokers
Bedrijven die uw gegevens verzamelen, opslaan en er winst mee maken, worden gegevensmakelaars genoemd. Alles wat u doet, is interessant voor iemand, vooral de big-datamarketingbedrijven. Als u online naar iets zoekt, een aankoop onderzoekt of iets online koopt, zijn de details van die acties verkoopbare inhoud voor de gegevensmakelaars.
Advertentie
Een typische informatiebron voor een gegevensmakelaar is via partnerschappen met andere organisaties. Ze mogen uw gegevens en de details van uw transacties doorgeven aan hun partners omdat u daarmee instemde toen u hun site gebruikte. Begraven in de kleine lettertjes van de algemene voorwaarden of het privacybeleid van veel websites is een lijst van de mensen met wie ze uw gegevens zullen delen.
Whois Records
Voor het registreren van een domein moet u een formulier invullen. De gegevens op dat formulier zijn voor iedereen toegankelijk. Sommige registrars bieden aan om de gegevens tegen betaling te verbergen of te beperken, maar ze bieden deze service niet allemaal aan.
U kunt een van de vele whois-services op internet gebruiken om de vermeldingen in de whois-database te doorzoeken. Sommige besturingssystemen bieden directe toegang tot de whois-database, waardoor verzoeken programmatisch kunnen worden uitgevoerd.
GERELATEERD: Hoe het whois-commando op Linux te gebruiken
Sociale media
De gemiddelde persoon plaatst een enorme hoeveelheid informatie die kan worden gebruikt om hem te identificeren, zijn familie, de plaats waar hij woont, zijn adres, telefoonnummer, mensen met wie hij omgaat, waar hij werkt, wat hij in je vrije tijd doet, en spoedig. Dit alles kan worden gebruikt om uw identiteit samen te stellen en biedt aanwijzingen voor de dreigingsactoren om meer informatie over u te vinden.
Het kan zijn dat u andere informatie weggeeft zonder het te beseffen. Afbeeldingen die u online plaatst, kunnen ingesloten gegevens bevatten, met de tijd, datum en locatie van waar de afbeelding is gemaakt in de metagegevens van het afbeeldingsbestand.
Gegevensinbreuken
Datalekken lijken een dagelijkse realiteit te zijn. Deze gelekte databases kunnen een schat aan informatie bevatten, waaronder uw naam, wachtwoord, burgerservicenummer, huisadres, bankgegevens, creditcardgegevens, e-mailadressen, vaste en mobiele telefoonnummers en ga zo maar door. Dit alles vindt zijn weg naar het Dark Web en hackerforums.
Advertentie
Als iemand uw naam kent en de algemene omgeving waarin u woont, kunnen ze de gelekte databases doorzoeken en mogelijke kandidaten vinden die u zouden kunnen zijn. Door de informatie in de datalekken te vergelijken met de informatie die ze al over u hebben, kunnen ze snel verifiëren of ze u hebben geïdentificeerd of niet.
Social engineering
Social engineering is een manier waarop fraudeurs vertrouwen en bekendheid opbouwen met hun slachtoffer, terwijl ze langzaam informatie uit hen halen zonder dat het slachtoffer zich realiseert dat het gebeurt. Dit kan gebeuren in de digitale wereld op social media platforms, of in de fysieke wereld.
Doxxing-as-a-Service
Doxxing-as-a-Service is beschikbaar op het Dark Web. Ze zullen een doxxing-aanval op het slachtoffer uitvoeren en hen een vergoeding vragen om hun persoonlijke gegevens te laten verwijderen.
Hoe u uzelf kunt beschermen tegen Doxxing
Wees voorzichtig. Alles wat je zegt of post op internet kan worden opgevist en in het openbaar worden rondgezwaaid door degenen die je willen ondermijnen of aanvallen.
Gebruik niet je echte naam
Als je lid wordt van een sociale-mediasite, forum of een ander online platform, kies dan een gebruikersnaam die niet je echte identiteit weerspiegelt. Als je ruzie krijgt of iemand aanstoot neemt aan meningen die je hebt geuit en ze zijn het type persoon dat zal overwegen je te doxxen, dan ben je beter beschermd met een volledig niet-gerelateerde gebruiker naam.
Gebruik een VPN
Een VPN helpt om uw anonimiteit te behouden. Uw IP-adres wordt niet blootgesteld aan de platforms, services en websites waarmee u verbinding maakt. Dit maakt het terugzoeken veel moeilijker. Het versleutelt ook uw verkeer, wat het gebruik van openbare wifi veel veiliger maakt.
Wees voorzichtig met sociale media
Bijna alles wat u op sociale media plaatst, kan worden gebruikt als aanwijzingen voor uw echte identiteit. Met foto's van de voorkant van je huis kunnen de doxxers bijvoorbeeld controleren of ze het juiste adres hebben gevonden door die foto te vergelijken met de afbeelding op Google Street View voor het adres waarvan ze vermoeden dat het van jou is.
Advertentie
Gebruik de privacycontroles op het sociale-mediaplatform om de toegang tot uw berichten zo veel mogelijk te beperken en alleen vertrouwde vrienden en familie toe te staan verbinding te maken en uw updates te zien. Accepteer geen verbindingsverzoeken van vreemden. Vraag uzelf af waarom ze contact met u willen opnemen?
Verzoek om verwijdering van uw gegevens
Iedereen kan verzoeken dat gegevensmakelaars uw persoonlijke gegevens uit hun databases verwijderen.
Met Google, Bing, Yahoo en andere zoekmachines kunt u een verzoek indienen om u uit de zoekresultaten te verwijderen. Maar houd er rekening mee dat ze niet altijd voldoen. Als ze beweren dat de informatie een legitiem belang voor het publiek dient, zullen ze uw gegevens niet verwijderen.
Als u een Europees staatsburger bent, kunt u verzoeken om gegevensverwijdering bij elke organisatie waarvan u denkt dat deze over uw persoonlijk identificeerbare informatie beschikt. De Algemene Verordening Gegevensbescherming geeft u het recht om in te zien welke gegevens een bedrijf over u heeft en, als u daarvoor kiest, om die gegevens te laten verwijderen. En dit geldt niet alleen voor Europese organisaties. De AVG is van toepassing op elke organisatie, ongeacht de geografische ligging, die gegevens van Europese burgers verwerkt, opslaat of verzendt.
Zelfs met AVG heb je geen carte blanche recht op gegevensverwijdering, maar je hebt wel het recht om dit aan te vragen. Een organisatie moet een dwingende en geldige reden hebben om uw gegevens te blijven bewaren als u hen hebt gevraagd deze te verwijderen. U kunt bijvoorbeeld niet proberen uw gegevens te laten verwijderen van iemand met wie u een lopende huurovereenkomst of een huurkoopplan heeft. Het feit dat u midden in een financieel contract zit, zou voor hen een acceptabele reden zijn om het verwijderen van gegevens te weigeren.
Advertentie
Als het vooruitzicht om contact op te nemen met veel websites en te vragen om verwijderd te worden je hart doet zinken, kun je overwegen om gegevensverwijderingsservices zoals DeleteMe of Privacy Duck te gebruiken. Tegen een vergoeding zullen deze bedrijven u verwijderen uit alle gangbare bedrijven voor gegevensmakelaars, internetzoeken en andere gegevenshandelsbedrijven en uw online voetafdruk aanzienlijk verkleinen. De Privacy Duck-website vertelt je zelfs hoe ze het doen en laat je zien hoe je het gratis voor jezelf kunt doen.
Gebruik opofferende e-mailadressen
Gebruik gratis e-mailproviders zoals ProtonMail en maak wegwerp-e-mailadressen. Gebruik ze als uw registratie-e-mailadres voor sociale media en andere platforms waarvan u lid bent. ProtonMail biedt een andere mate van scheiding omdat u tijdens het proces een e-mailadres kunt maken zonder een bestaand e-mailadres op te geven.
Als u toch Doxxed krijgt
- Meld het. Meld dit aan de klantenondersteuning van het platform waarop de informatie is vrijgegeven en vraag om deze te verwijderen. Het platform heeft mogelijk een beleid over doxxing en de poster kan worden verbannen.
- Neem contact op met de politie. Als je bedreigingen of misbruik ontvangt als gevolg van een doxxing, meld dit dan bij de politie. Als de geposte informatie niet publiekelijk beschikbaar is, is er mogelijk een misdaad begaan door deze te verkrijgen en te plaatsen.
- Registreer de doxxing. Het maken van screenshots van de online informatie, het bewaren van beledigende e-mails en het screenen van tweets voordat ze kunnen worden verwijderd, levert informatie op die de politie kan gebruiken bij hun onderzoek.
- Waarschuw uw werkgever, collega's, vrienden en familie. Ze kunnen worden onderworpen aan haatmail en misbruik alleen omdat ze je kennen of omdat ze je in dienst hebben.