Prevence

Co je to doxing a jak se mu bránit?

11 min. čtení

Doxing může postihnout opravdu každého. Jak snížit pravděpodobnost, že vaše osobní údaje budou použity proti vám nebo k útoku na vaši společnost?

Vzpomínáte si, že jste někdy na sociálních sítích vyhledali někoho, koho jste právě poznali, abyste se o něm dozvěděli více? Nebo vám třeba kamarád neodpovídal na zprávy a vy jste se na jeho Instagramu snažili zjistit, co právě dělá? Nejste v tom sami. Dělá to mnoho z nás a je to i jeden z cílů sociálních médií. Ne každý to však dělá jen ze zvědavosti. A právě tady začínají problémy.

Co je to doxing a jak funguje?

Máte nastavené účty na sociálních sítích jako veřejné, často označujete přesnou lokalitu, kde se právě nacházíte nebo máte svoje kontaktní údaje uvedené veřejně na webu? Možná si říkáte: „No a co? Nemám co skrývat!“ Máme tendenci se domnívat, že naše existence je rozhodně méně zajímavá než šťavnatý život celebrit. Nepočítáme však s tím, že pro někoho, kdo nás chce zastrašit nebo poškodit, to vlastně není podstatné.

Doxing (psáno také doxxing) je praktika, kdy útočníci úmyslně zveřejňují, obvykle online, osobní údaje lidí bez jejich vědomí s cílem je ztrapnit nebo zastrašit. Pojem spojuje slova „dropping“ a „documents“ tedy označení pro zveřejnění souborů, které obsahují osobní údaje oběti. Zneuživatelé se nakonec snaží své oběti zastrašit, zostudit a způsobit jim utrpení, někdy po nich požadují peníze, jindy jde čistě o pomstu nebo osobní pocit zadostiučinění.

 

Doxing začíná zpravidla roztržkou v internetové diskuzi nebo na sociálních sítích, která vyprovokuje doxery k získání a zveřejnění osobních údajů bez souhlasu a vědomí jejich majitele. Jedná se o skutečná jména, telefonní čísla, adresy, kontakty do zaměstnání, rodná čísla, údaje z platebních karet, osobní fotografie, účty na sociálních sítích, soukromé konverzace nebo trapné detaily ze života obětí. Útočníci sbírají kousky informací napříč internetem skenováním veřejně dostupných záznamů, nákupem údajů na dark webu nebo i pomocí technik sociálního inženýrství, kdy k získání údajů zmanipulují a využijí důvěřivosti jiného uživatele. Cílem je zpravidla odhalit skutečnou identitu osob skrývajících se pod internetovými aliasy (tzv. deanonymizing) a vystavit je nějaké formě kyberšikany.

Korporátní doxing: Zastrašování i přesměrování bankovních převodů

Obětí doxingu se může stát kdokoli. Při útoku na konkrétní firmu a její data (Intellectual Property Doxing) nebo její zaměstnance (Corporate Doxing) mají kyberzločinci vidinu mnohem většího finančního zisku, což z firem činí velice atraktivní cíl. Účelem těchto útoků pak není „jen“ zastrašování, ale také snaha o odcizení výplat nebo přesměrování bankovních převodů.

Veřejně dostupná data o zaměstnancích mohou být využita například pro Business Email Compromise (BEC). V takovém případě útočník komunikuje prostřednictvím podvrženého emailového účtu zaměstnance, který je zrovna na dovolené nebo je jinak nedostupný, nebo útočník pouze použije získané osobní údaje zaměstnance k tomu, aby zpráva vypadala legitimněji. BEC útoky se často používají k získání dalších důvěrných informací, přístupů do firemních databází, změně platebních údajů zaměstnanců nebo dodavatelů a podobně.

Základní ochranou před těmito útoky je budování znalostně bezpečnostní kultury ve společnosti. A dále zavedení procesu dalšího ověřování požadavků na poskytnutí důvěrných informací nebo schvalování finančních transakcí. Jako další vrstvu ochrany přidejte kvalitní anti-spamová a anti-phishingová řešení.

Kam až může doxing zajít? Rasistické urážky a vyhrožování smrtí

Doxing je obzvláště nebezpečný, protože jeho důsledky mohou sahat od kyberšikany až po pronásledování a obtěžování v reálném světě, fyzické útoky a vraždy. To ukazuje i nedávný případ korporátního doxingu, kdy několik zaměstnanců firmy Bungie čelilo rasistickým urážkám a výhrůžkám smrtí po tom, co jeden ze zaměstnanců avizoval na svém twitterovém účtu spolupráci s afro-americkým streamerem na hře Destiny 2.

Dalším případem z nedávné doby je i doxing pěti soudců Nejvyššího soudu Spojených států amerických, který přišel po rozhodnutí v případu Dobbs vs. Jackson Women's Health Organization (a tím i zrušení půl století trvajícího rozsudku ve věci Roe vs. Wade). Nejvýznamnější dox byl zveřejněn 30. června 2022 a obsahoval fyzické adresy, IP adresy a informace o kreditních kartách (včetně CVV a data platnosti) těchto pěti soudců. V jiném příspěvku se pak objevily informace o jejich manželkách, další kontaktní údaje (telefonní číslo a e-mailová adresa), účty na sociálních sítích, a dokonce i značky a modely jejich automobilů.

Jak se doxingu bránit?

Můžete se vyhnout tomu, abyste se stali obětí doxingu? Na tuto otázku nelze jednoduše odpovědět. Pokud jste typickým uživatelem internetu a v případě, že někdo skutečně chce z jakéhokoli důvodu zveřejnit vaše osobní údaje, tak jste s největší pravděpodobností již sdíleli dost k tomu, aby to udělat mohl.

Naštěstí existují způsoby, jak můžete shromažďování informací o vás ztížit:

  • Udělejte si „audit“ své online prezentace. Vymažte příspěvky, které obsahují vaše osobní údaje, jsou již nerelevantní anebo škodlivé pro vaši pověst.
  • Udržujte své účty na sociálních sítích soukromé a navazujte spojení/přátelství jen s lidmi, které znáte z fyzického světa.
  • Nesdílejte na internetu žádné (další) osobní údaje, a pokud můžete, zvolte si unikátní uživatelská jména či přezdívky pro každou službu, kterou na internetu využíváte.
  • Používejte vícefázové ověřování (MFA) na všech svých účtech.
  • Používejte VPN nebo proxy tak, abyste skryli svoji IP adresu.
  • Používejte silné a jedinečné heslo.
  • Nepoužívejte přihlašování k nové službě pomocí již existujících účtů (např. Facebook nebo Google účtu). Čím více služeb propojíte se svými účty, tím snadněji si někdo může poskládat obrázek vašich osobních údajů.
  • Zajistěte, aby vaše videokonference a hovory byly soukromé a šifrované.
  • Neotevírejte online odkazy, dokud se nepřesvědčíte, že byly skutečně určeny pro vás a odeslány někým, koho znáte.

Co dělat, když někdo prozradí vaše osobní údaje:

  • Nahlaste a zablokujte útočníka prostřednictvím dostupných nástrojů na platformě, kde k obtěžování dochází.
  • Pořiďte si snímky obrazovky se všemi podrobnostmi, které by mohly být později relevantní pro vyšetřování.
  • Ujistěte se, že jsou všechny vaše účty na sociálních sítích soukromé. Zvažte na nějakou dobu jejich pozastavení.
  • Informujte přátele nebo rodinu o tom, co se děje, hlavně pokud byla odhalena adresa vašeho domova nebo zaměstnání.
  • Informujte svou banku o tom, co se děje. Ujistěte se, že jsou údaje o vaší platební kartě chráněny.
  • Zvažte kontaktování místních orgánů činných v trestním řízení. I když doxing sám o sobě nemusí být definován jako trestný čin, finanční podvody a fyzická újma z něj vyplývající ano.

 

Doxing je závažný čin a může být nástrojem, který ničí život, zejména ve světě, kde jsme navzdory tomu, že jsme všichni propojeni, stále více názorově rozděleni.

V doxing může vyústit i další fenomén internetové komunikace, a to sexting. Podrobněji se konsenzuální sextingu věnujeme na dedikované webové stránce To nevymažeš, kde můžete najít další tipy na bezpečnou komunikaci a co dělat v případě, že někdo zneužije vaše intimní fotografie.

projekt to nevymazes