Co je to doxing a jak se mu bránit?

Vzpomínáte si, že jste někdy na sociálních sítích vyhledali někoho, koho jste právě poznali, abyste se o něm dozvěděli více? Nebo vám třeba kamarád neodpovídal na zprávy a vy jste se na jeho Instagramu snažili zjistit, co právě dělá? Nejste v tom sami. Dělá to mnoho z nás a je to i jeden z cílů sociálních médií. Ne každý to však dělá jen ze zvědavosti. A právě tady začínají problémy.

Co je to doxing a jak funguje?

Máte nastavené účty na sociálních sítích jako veřejné, často označujete přesnou lokalitu, kde se právě nacházíte nebo máte svoje kontaktní údaje uvedené veřejně na webu? Možná si říkáte: „No a co? Nemám co skrývat!“ Máme tendenci se domnívat, že naše existence je rozhodně méně zajímavá než šťavnatý život celebrit. Nepočítáme však s tím, že pro někoho, kdo nás chce zastrašit nebo poškodit, to vlastně není podstatné.

Doxing začíná zpravidla roztržkou v internetové diskuzi nebo na sociálních sítích, která vyprovokuje doxery k získání a zveřejnění osobních údajů bez souhlasu a vědomí jejich majitele. Jedná se o skutečná jména, telefonní čísla, adresy, kontakty do zaměstnání, rodná čísla, údaje z platebních karet, osobní fotografie, účty na sociálních sítích, soukromé konverzace nebo trapné detaily ze života obětí. Útočníci sbírají kousky informací napříč internetem skenováním veřejně dostupných záznamů, nákupem údajů na dark webu nebo i pomocí technik sociálního inženýrství, kdy k získání údajů zmanipulují a využijí důvěřivosti jiného uživatele. Cílem je zpravidla odhalit skutečnou identitu osob skrývajících se pod internetovými aliasy (tzv. deanonymizing) a vystavit je nějaké formě kyberšikany.

Korporátní doxing: Zastrašování i přesměrování bankovních převodů

Obětí doxingu se může stát kdokoli. Při útoku na konkrétní firmu a její data (Intellectual Property Doxing) nebo její zaměstnance (Corporate Doxing) mají kyberzločinci vidinu mnohem většího finančního zisku, což z firem činí velice atraktivní cíl. Účelem těchto útoků pak není „jen“ zastrašování, ale také snaha o odcizení výplat nebo přesměrování bankovních převodů.

Veřejně dostupná data o zaměstnancích mohou být využita například pro Business Email Compromise (BEC). V takovém případě útočník komunikuje prostřednictvím podvrženého emailového účtu zaměstnance, který je zrovna na dovolené nebo je jinak nedostupný, nebo útočník pouze použije získané osobní údaje zaměstnance k tomu, aby zpráva vypadala legitimněji. BEC útoky se často používají k získání dalších důvěrných informací, přístupů do firemních databází, změně platebních údajů zaměstnanců nebo dodavatelů a podobně.

Základní ochranou před těmito útoky je budování znalostně bezpečnostní kultury ve společnosti. A dále zavedení procesu dalšího ověřování požadavků na poskytnutí důvěrných informací nebo schvalování finančních transakcí. Jako další vrstvu ochrany přidejte kvalitní anti-spamová a anti-phishingová řešení.

Kam až může doxing zajít? Rasistické urážky a vyhrožování smrtí

Doxing je obzvláště nebezpečný, protože jeho důsledky mohou sahat od kyberšikany až po pronásledování a obtěžování v reálném světě, fyzické útoky a vraždy. To ukazuje i nedávný případ korporátního doxingu, kdy několik zaměstnanců firmy Bungie čelilo rasistickým urážkám a výhrůžkám smrtí po tom, co jeden ze zaměstnanců avizoval na svém twitterovém účtu spolupráci s afro-americkým streamerem na hře Destiny 2.

Dalším případem z nedávné doby je i doxing pěti soudců Nejvyššího soudu Spojených států amerických, který přišel po rozhodnutí v případu Dobbs vs. Jackson Women's Health Organization (a tím i zrušení půl století trvajícího rozsudku ve věci Roe vs. Wade). Nejvýznamnější dox byl zveřejněn 30. června 2022 a obsahoval fyzické adresy, IP adresy a informace o kreditních kartách (včetně CVV a data platnosti) těchto pěti soudců. V jiném příspěvku se pak objevily informace o jejich manželkách, další kontaktní údaje (telefonní číslo a e-mailová adresa), účty na sociálních sítích, a dokonce i značky a modely jejich automobilů.

Jak se doxingu bránit?

Můžete se vyhnout tomu, abyste se stali obětí doxingu? Na tuto otázku nelze jednoduše odpovědět. Pokud jste typickým uživatelem internetu a v případě, že někdo skutečně chce z jakéhokoli důvodu zveřejnit vaše osobní údaje, tak jste s největší pravděpodobností již sdíleli dost k tomu, aby to udělat mohl.

Naštěstí existují způsoby, jak můžete shromažďování informací o vás ztížit:

• Udělejte si „audit“ své online prezentace. Vymažte příspěvky, které obsahují vaše osobní údaje, jsou již nerelevantní anebo škodlivé pro vaši pověst.
• Udržujte své účty na sociálních sítích soukromé a navazujte spojení/přátelství jen s lidmi, které znáte z fyzického světa.
• Nesdílejte na internetu žádné (další) osobní údaje, a pokud můžete, zvolte si unikátní uživatelská jména či přezdívky pro každou službu, kterou na internetu využíváte.
• Používejte vícefázové ověřování (MFA) na všech svých účtech.
• Používejte VPN nebo proxy tak, abyste skryli svoji IP adresu.
• Používejte silné a jedinečné heslo.
• Nepoužívejte přihlašování k nové službě pomocí již existujících účtů (např. Facebook nebo Google účtu). Čím více služeb propojíte se svými účty, tím snadněji si někdo může poskládat obrázek vašich osobních údajů.
• Zajistěte, aby vaše videokonference a hovory byly soukromé a šifrované.
• Neotevírejte online odkazy, dokud se nepřesvědčíte, že byly skutečně určeny pro vás a odeslány někým, koho znáte.

Doxing je závažný čin a může být nástrojem, který ničí život, zejména ve světě, kde jsme navzdory tomu, že jsme všichni propojeni, stále více názorově rozděleni.

V doxing může vyústit i další fenomén internetové komunikace, a to sexting. Podrobněji se konsenzuální sextingu věnujeme na dedikované webové stránce To nevymažeš, kde můžete najít další tipy na bezpečnou komunikaci a co dělat v případě, že někdo zneužije vaše intimní fotografie.