Definição de doxing
O termo "doxing" é a abreviatura de "dropping dox"; "dox" é um jargão do termo "documentos". Normalmente, o doxing consiste em uma ação mal-intencionada, usada contra pessoas de quem o hacker discorda ou não gosta.
O que é doxing?
O doxing (algumas vezes escrito como "doxxing") é a ação de revelar informações de identificação sobre alguém na Internet, como seu nome real, endereço residencial, local de trabalho, telefone, dados financeiros e outras informações pessoais. Essas informações então circulam para o público, sem a permissão da vítima.
Embora a prática de revelar informações pessoais sem o consentimento de alguém remonta à Internet, o termo "doxing" apareceu pela primeira vez no mundo dos hackers on-line nos anos 90, onde a anonimidade era considerada sagrada. Algumas vezes, disputas entre hackers rivais levariam alguém a atacar outra pessoa que, até então, era conhecida apenas pelo nome de usuário ou alias. O termo "docs" tornou-se "dox" e, eventualmente, virou um verbo (ou seja, sem o prefixo "drop").
A definição de "doxing" foi expandida além da comunidade de hackers e agora se refere à exposição de informações pessoais. Embora o termo ainda seja usado para descrever o desmascaramento de usuários anônimos, esse aspecto tornou-se menos relevante hoje quando a maioria de nós utiliza nossos nomes reais em mídias sociais.
Recentemente, o doxing se tornou uma ferramenta na guerra cultural, com hackers rivais atacando aqueles com pontos de vista opostos. Os criminosos intensificam seu conflito com os alvos indo do mundo on-line para o real ao revelar informações que incluem:
- Endereços residenciais
- Dados do local de trabalho
- Números de telefone pessoais
- Cadastros de pessoas físicas (CPF)
- Conta bancária ou informações de cartão de crédito
- Correspondência privada
- Antecedentes criminais
- Fotos pessoais
- Detalhes pessoais constrangedores
Os ataques de doxing podem variar dos relativamente triviais, como assinaturas de e-mail ou entregas de pizza fake, aos mais perigosos, como assediar um parente ou funcionário de uma pessoa, roubar a identidade, fazer ameaças ou outras formas de bullying cibernético, ou até mesmo, assédio presencial.
Celebridades, políticos e jornalistas estão entre os que mais sofrem esses tipos de assédio, que vão desde ataques on-line até ameaças à segurança e, em casos extremos, ameaças de morte. A prática foi disseminada a executivos de importantes empresas; por exemplo, quando a Gilette, uma marca da empresa Proctor & Gamble, lançou seu anúncio "We Believe", que reivindicava a masculinidade tóxica, o perfil no LinkedIn do diretor da marca Marc Pritchard foi compartilhado no 4chan, com o autor da publicação chamando outras pessoas para enviar mensagens de ódio ao executivo.
A sensibilização geral para com o doxing começou em dezembro de 2011, quando o grupo de hacktivistas Anonymous expôs informações detalhadas de 7.000 membros da polícia em resposta a investigações sobre atividades de hackeamento. Desde então, o Anonymous já atacou centenas de supostos membros da KKK e seus alvos mais recentes incluem apoiadores da Q-Anon.
Os motivos por trás do doxing variam. Pessoas que se sentiram atacadas ou insultadas por seu alvo, querendo se vingar como resultado. Se uma pessoa ficar conhecida por suas opiniões controversas, ela poderá ser vítima de alguém com pontos de vista opostos. No entanto, isso tende a ser o caso quando o tópico é especialmente polarizado, não em desacordos políticos do dia a dia.
Normalmente, as informações pessoais são reveladas intencionalmente com o intuito de punir, intimidar ou humilhar a vítima em questão. Dito isso, os criminosos também veem em suas ações um jeito de endireitar o que há de errado, como fazer justiça em um tribunal popular ou revelar uma agenda que não tinha sido publicada.
Independentemente da motivação, o principal objetivo do doxing é violar a privacidade, e isso pode colocar as pessoas em uma situação desconfortável, algumas vezes, com consequências graves.
Como o doxing funciona
Estamos vivendo na era do Big Data; há um vasto campo de informações na Internet e as pessoas têm menos controle sobre esses dados do que imaginam. Isso significa que qualquer pessoa com tempo, motivação e interesse em fazê-lo pode tornar esses dados uma arma.
Alguns métodos usados para atacar pessoas por meio do doxing incluem:
Rastreamento de nome de usuário
Muitas pessoas usam o mesmo nome de usuário em vários serviços. Com essa informação, possíveis criminosos podem ter uma noção dos interesses do alvo e de como ele passa o tempo na Internet.
Pesquisa WHOIS em um nome de domínio
Qualquer pessoa que possui um nome de domínio tem as suas informações armazenadas em um registro que, normalmente, se torna publicamente disponível por meio de uma pesquisa WHOIS. Suponhamos que a pessoa que comprou o nome de domínio não ocultou suas informações privadas no momento da aquisição. Nesse caso, as informações de identificação pessoal (como nome, endereço, número de telefone e endereço de e-mail) estão disponíveis para quem que seja.
Phishing
Se a pessoa utilizar um e-mail não seguro ou cair em um golpe de phishing, o hacker poderá descobrir e-mails confidenciais e publicá-los.
Stalking em redes sociais
Se suas contas de redes sociais forem públicas, qualquer pessoa pode descobrir informações sobre você por meio de stalking cibernético. É possível encontrar sua localização, local de trabalho, amigos, fotos, curtidas e descurtidas, lugares que você visitou, os nomes dos seus parentes, os nomes dos seus animais de estimação e assim por diante. Usando essas informações, um criminoso podem até criar as respostas para as suas perguntas de segurança, o que o ajudaria a invadir outras contas on-line.
Filtro em registros governamentais
Embora a maioria dos registros pessoais não esteja disponível na Internet, há uma quantidade razoável de informações que podem ser coletadas em sites do governo. Dentre os exemplos estão bancos de dados de licenças comerciais, registros municipais, licenças de casamento, informações de CNH e dados eleitorais: todos eles contêm informações pessoais.
Rastreamento de endereços IP
Os criminosos podem usar vários métodos para descobrir seu endereço IP, que está vinculado ao seu local físico. Assim que descoberto, eles poderão usar truques de engenharia social no seu provedor de serviços de Internet (ISP, na sigla em inglês) para descobrir mais sobre você. Por exemplo, eles podem apresentar reclamações sobre o proprietário do endereço IP ou tentar hackear a rede.
Pesquisa inversa de número de telefone celular
Assim que o hacker descobre seu número de telefone, ele pode obter mais informações sobre você. Por exemplo, serviços de pesquisa inversa de telefone, como o Whitepages, permitem que você digite um número de telefone celular (ou qualquer número de telefone) para descobrir a identidade do proprietário do número. Esses tipos de sites semelhantes ao Whitepages cobram uma taxa para fornecer informações além da cidade e do estado associados a um número de telefone celular. Todavia, aquele que tiver disposto a pagar poderá descobrir informações pessoais sobre você usando o número do seu telefone celular.
Packet sniffing (detecção de pacote)
Algumas vezes, o termo packet sniffing (detecção de pacote) é usado em associação ao doxing. Refere-se a interceptação por parte dos criminosos em seus dados na Internet; é uma busca por todos os seus dados, incluindo senhas, números de telefone, informações de conta bancária e mensagens antigas de e-mail. Os criminosos fazem isso conectando-se a uma rede on-line, violando suas medidas de segurança e, por fim, capturando o fluxo de dados dentro e fora da rede. Uma forma de se proteger contra o packet sniffing é usando uma VPN.
Uso de data brokers
Os data brokers existem para coletar informações sobre pessoas e vender essas informações em troca de dinheiro. Os data brokers coletam informações de registros disponíveis ao público, cartões de fidelidade (que rastreiam seu comportamento de compra on-line e off-line), históricos de pesquisas on-line (tudo o que você pesquisa, lê ou baixa) e de outros data brokers. Muitos data brokers vendem as informações para anunciantes, mas vários sites de pesquisa de pessoa oferecem registros pessoais abrangentes por uma pequena quantia em dinheiro. Tudo o que o criminoso precisa fazer é pagar essa pequena quantia para obter informações suficientes para atacar alguém.
Ao seguir a navegação estrutural (informações sobre alguém) disponível na Internet, os criminosos podem criar uma imagem que leva à descoberta de uma pessoa real por trás de um alias, incluindo o nome dessa pessoa, o endereço físico, o endereço de e-mail, o número de telefone e muito mais. Os criminosos também podem comprar e vender informações pessoais na Dark Web.
As informações encontradas podem ser usadas para ameaçar alguém, por exemplo, em um tweet como resposta a uma discordância. A maior preocupação quanto ao doxing é sobre como as informações são usadas para intimidar ou assediar um alvo, não sobre a disponibilidade dessas informações. Por exemplo, alguém em posse do seu endereço pode localizar você e sua família. Alguém em posse do seu número de telefone ou e-mail pode bombardear você com mensagens que interrompem sua capacidade de se comunicar com sua rede de suporte. Por fim, alguém em posse do seu nome, data de nascimento e CPF pode hackear suas contas ou roubar sua identidade.
Qualquer pessoa com determinação, tempo, acesso à Internet e motivação conseguirá reunir um perfil de outra pessoa. E se o alvo desse esforço de doxing tiver suas informações relativamente acessíveis na Internet, ficará ainda muito mais fácil.
Exemplos de doxing
As situações mais comuns envolvendo doxing basicamente dizem respeito a estas três categorias:
- Publicação na Internet de informações privadas e de identificação pessoal de alguém.
- Publicação na Internet de informações até então desconhecidas de uma pessoa privada.
- A publicação na Internet de informações de uma pessoa privada pode prejudicar sua reputação e a de seus contatos pessoais e/ou profissionais.
Alguns exemplos de doxing mais famosos e comumente citados incluem:
Ashley Madison
Ashley Madison era um site de namoro virtual que atendia a pessoas interessadas em encontros amorosos sem compromisso. Um grupo de hackers fez exigências para a gestão do Ashley Madison. Quando essas exigências não foram atendidas, o grupo publicou dados confidenciais de usuários, atingindo milhões de pessoas e causando humilhação, constrangimento e um possível dano à reputação pessoal e profissional dos usuários.
Leão Cecil
Um dentista de Minnesota ilegalmente caçou e matou um leão que vivia em um reserva protegida do Zimbábue. Algumas das informações de identificação pessoal do dentista foram publicadas na Internet, o que resultou em um ataque de pessoas contrárias à sua atitude e que queriam vê-lo punido publicamente.
Atentado à Maratona de Boston de 2013
Durante a busca pelos criminosos do atentado à maratona de Boston, milhares de usuários na comunidade do Reddit reuniram notícias e informações sobre o evento e conduziram uma investigação subsequente. O objetivo deles era fornecer informações à polícia para que pudesse usá-las e assim fazer justiça. Em vez disso, pessoas inocentes que não tinham nada a ver com os crimes foram envolvidas, resultando em uma caça às bruxas desacertada.
O doxing é ilegal?
O doxing pode arruinar vidas, pois expõe as vítimas e seus familiares a assédio on-line e no mundo real. Mas é ilegal?
No geral, a resposta é não: o doxing tende a não ser ilegal caso as informações expostas se encontrem em domínio público e tenham sido obtidas pelo uso de métodos legais. Tendo isso em mente, dependendo de sua jurisdição, o doxing pode ir de encontro às leis criadas contra stalking, assédio e ameaças.
Também vai depender das informações em questão reveladas. Por exemplo, revelar o nome real de alguém não é tão grave como revelar seu endereço residencial ou número de telefone. No entanto, nos EUA, aplicar esse golpe contra um funcionário público se enquadra dentro das leis federais de conspiração e é visto como uma ofensa nacional. Devido à natureza relativamente recente do doxing, as respectivas leis estão em constante evolução e nem sempre são claras.
Independentemente da lei, o doxing viola os termos de serviço de muitos sites e, portanto, podem resultar em punição. Isso porque o doxing normalmente é visto como algo antiético e, na maioria da vezes, é realizado com más intenções, a fim de intimidar, chantagear e controlar pessoas. Expor pessoas a possíveis assédios, roubo de identidade, humilhação, perda de emprego e rejeição de parentes e amigos.
Como se proteger do doxing
Com a existência de inúmeras ferramentas e informações prontamente disponíveis na Internet, praticamente qualquer pessoa pode ser vítima de doxing.
Se você alguma vez já tiver publicado em um fórum na Internet, participado de um site de rede social, assinado uma petição na Internet ou adquirido uma propriedade, suas informações estarão disponíveis publicamente. Além disso, grandes volumes de dados estão prontamente disponíveis para quem quiser procurá-los em bancos de dados públicos, registros municipais, registros estaduais, mecanismos de busca e outros repositórios.
Embora essas informações estejam disponíveis para quem estiver disposto a procurá-las, você pode tomar algumas medidas para protegê-las. Entre eles:
Proteja seu endereço IP usando uma VPN
A VPN, ou rede virtual privada, oferece excelente proteção contra a exposição de endereços IP. A VPN criptografa o tráfego de Internet do usuário e o envia por meio de um dos servidores do serviço antes de seguir para a Internet pública, permitindo que você navegue pela Internet de forma anônima. O Kaspersky Secure Connection protege você em Wi-Fi público, mantém suas comunicações privadas e garante a sua não exposição a phishing, malware, vírus e outras ameaças cibernéticas.
Adote uma boa prática de segurança cibernética
Soluções antivírus e software de detecção de malware podem barrar a ação dos criminosos que consiste no roubo de informações usando aplicativos mal-intencionados. O software atualizado regularmente ajuda a evitar "lacunas" de segurança que podem fazer com que você seja hackeado e atacado.
Use senhas fortes
Normalmente, uma senha forte inclui uma combinação de letras minúsculas e maiúsculas, além de números e símbolos. Evite usar a mesma senha em várias contas e mude suas senhas regularmente. Caso você tenha problemas para memorizar senhas, tente usar um gerenciador de senhas.
Use nomes de usuário distintos para diferentes plataformas
Caso você use fóruns, como Reddit, 4Chan, Discord, YouTube ou outros, use nomes de usuários e senhas diferentes para cada serviço. Quando você usa os mesmos, os criminosos podem pesquisar seus comentários em diferentes plataformas e usar essas informações para compilar uma imagem detalhada de você. Ao usar nomes de usuário diferentes para propósitos variados, você dificulta ainda mais que pessoas rastreiem seus movimentos em vários sites.
Crie contas de e-mail distintas para propósitos variados
Considere usar contas de e-mail distintas para propósitos variados: profissional, pessoal e spam. Seu endereço de e-mail pessoal pode ser reservado para correspondência privada com amigos próximos, familiares e outros contatos confiáveis; evite listar esse endereço publicamente. Seu e-mail de spam pode ser usado para você inscrever-se em contas, serviços e promoções. Por último, seu endereço de e-mail profissional (seja você freelancer ou afiliado a uma organização privada) pode ser listado publicamente. Em relação às contas de mídia social públicas, evite incluir muitas informações de identificação pessoal em seu e-mail (por exemplo, nome.sobrenome.datadenascimento@gmail.com).
Revise e maximize suas configurações de privacidade em mídias sociais
Revise as configurações de privacidade em seus perfis de rede social e certifique-se de que você esteja confortável com o volume de informações que estão sendo compartilhadas e com quem.
Seja estratégico quanto a quais plataformas você usa para quais propósitos. Se você usa uma plataforma por motivos pessoais (como para compartilhar fotos com amigos e familiares no Facebook ou Instagram), estreite as configurações de privacidade. Suponhamos que você esteja usando uma plataforma por motivos profissionais (como para monitorar notícias de última hora no Twitter e postar links para o seu trabalho). Nesse caso, você pode deixar algumas configurações públicas; evite incluir informações pessoais e imagens.
Use a autenticação de vários fatores
Isso significa que você (e qualquer outra pessoa que tentar acessar a sua conta) precisará de dois tipos de identificação para acessar o site, geralmente sua senha e seu número de telefone. Ela torna mais difícil para os hackers conseguir acessar os dispositivos ou as contas on-line de uma pessoa, já que apenas a senha da vítima não é suficiente e será necessário um número PIN extra.
Livre-se de perfis obsoletos
Revise quantos sites possuem suas informações. Embora sites como o MySpace possam agora estar fora de moda, os perfis que foram hospedados lá há mais de uma década ainda permanecem visíveis e publicamente acessíveis. Isso se aplica a qualquer site que você possa já ter usado. Tente excluir o máximo de perfis antigos/não usados e obsoletos que puder.
Fique atento a e-mails de phishing
Os criminosos podem usar tentativas de phishing para enganar você fazendo com que divulgue seu endereço residencial, número de CPF ou, até mesmo, senhas. Seja cauteloso sempre que receber uma mensagem que supostamente venha de uma instituição bancária ou de cartão de crédito e solicite suas informações pessoais. Instituições financeiras nunca solicitarão essas informações por e-mail.
Oculte as informações de registro de domínio do WHOIS
WHOISé um banco de dados de todos os nomes de domínio registrados na Web. Esse registro público pode ser usado para determinar a pessoa ou organização proprietária de um determinado domínio, seu endereço físico e outras informações de contato.
Se você pretende operar um site de forma anônima sem divulgar sua identidade real, mantenha a privacidade e o sigilo de suas informações pessoais no banco de dados WHOIS. Como os registradores de domínio têm o controle sobre as configurações de privacidade, você terá que perguntar à sua empresa de registro de domínio sobre como fazê-lo.
Peça ao Google para remover informações
Se informações pessoais aparecerem nos resultados de busca do Google, os usuários poderão solicitar a remoção do mecanismo de busca. O Google facilita esse processo por meio de um formulário on-line. Muitos data brokers disponibilizam esses tipos de dados, normalmente para verificações de antecedentes ou criminais.
Remova seus dados
Você pode remover suas informações de sites de data broker. Caso queira fazê-lo por conta própria sem incorrer custos, isso pode exigir uma intensa mão de obra. Caso seu tempo seja limitado, comece pelas três principais empresas: Epsilon, Oracle e Acxiom.
Você terá que verificar regularmente esses bancos de dados, já que suas informações podem ser republicadas mesmo após ser removidas. Você também pode pagar um serviço, como o DeleteMe, PrivacyDuck ou Reputation Defender para fazê-lo para você.
Tome cuidado com questionários on-line e permissões de aplicativos
Questionários on-line podem parecer inofensivos, mas, no geral, são fontes ricas de informações pessoais que você fornece satisfeito sem pensar duas vezes. Algumas questões podem até mesmo servir de perguntas de segurança para as suas senhas. Como muitos questionários pedem permissão para visualizar as informações de sua rede social antes de mostrar a você os resultados, eles podem facilmente associar essas informações à sua identidade real, sem muito contexto sobre quem está proporcionando o questionário; por isso, é melhor evitá-los completamente.
Aplicativos móveis também são fontes de dados pessoais. Muitos aplicativos pedem permissão de acesso aos seus dados ou dispositivo sem necessidade. Por exemplo, um aplicativo de edição de imagens não tem por que usar seus contatos. Se ele solicitar acesso à câmera ou às fotos, isso fará sentido. Mas se ele quiser acessar seus contatos, localização GPS e perfis de mídia social, prossiga com cuidado.
Evite divulgar certos tipos de informações
Sempre que possível, evite divulgar certas informações publicamente, como número do CPF, endereço residencial, número da carteira de motorista e qualquer informação relacionada a contas bancárias ou números de cartão de crédito. Lembre-se: os hackers podem interceptar mensagens de e-mail, portanto você não deve incluir detalhes privados em suas mensagens.
Repare o quão fácil é atacar você
A melhor defesa é dificultar o controle de suas informações privadas por parte dos criminosos. Você pode descobrir o quão fácil é atacar você verificando quais de suas informações pessoais estão disponíveis. Por exemplo:
- Procure por você mesmo no Google.
- Faça uma pesquisa inversa de imagem.
- Faça a auditoria dos seus perfis nas redes sociais, incluindo configurações de privacidade.
- Verifique se algumas de suas contas de e-mail estiveram envolvidas em uma grande violação de dados usando um site como o com.
- Confira CVs, biografias e sites pessoais para saber quais informações pessoais sua presença profissional transmite. Caso você tenha CVs em PDF na Internet, exclua detalhes como seu endereço residencial, e-mail pessoal e número de telefone celular (ou substitua pelas versões públicas dessas informações).
Configure os alertas do Google
Configure os alertas do Google para o seu nome completo, número de telefone, endereço residencial ou outros dados privados com os quais você esteja preocupado e sabe que, se de repente forem publicados na Internet, é porque houve um golpe de doxing.
Evite dar aos hackers um motivo para atacar você
Seja cauteloso ao fazer publicações on-line e nunca compartilhe informações privadas em fóruns, quadros de mensagens ou sites de redes sociais. É fácil pensar que a Internet dá a liberdade de as pessoas dizerem (ou digitarem) o que querem. As pessoas podem achar que, ao criar identidades anônimas, elas podem expressar quaisquer opiniões que quiserem, não importa o quão controversas forem, sem nenhuma possibilidade de serem rastreadas. Mas, como temos visto, esse não é o caso; então, ser cuidadoso com o que diz na Internet é ser inteligente.
O que fazer se você for vítima de doxing
A resposta mais comum ao doxing é o medo, se não o pânico total. Sentir-se vulnerável é compreensível. O doxing foi intencionalmente criado para violar seu senso de segurança e causar em você pânico, cancelamento ou desligamento. Se você for vítima de doxing, estas serão as medidas que você poderá adotar:
Denuncie
Denuncie o ataque às plataformas nas quais suas informações pessoais foram publicadas. Pesquise e siga os termos de serviço ou as diretrizes comunitárias da plataforma relevante para determinar o processo de denúncia para esse tipo de ataque. Ao preencher um formulário, salve-o para uso futuro (ou seja, para não ter que se repetir). Essa é a primeira etapa para interromper a disseminação das suas informações pessoais.
Envolva a polícia
Caso um criminoso faça ameaças pessoais contra você, entre em contato com o departamento de polícia local. Qualquer informação que identifique seu endereço residencial ou dados financeiros deve ser tratada como máxima prioridade, especialmente se vierem com ameaças críveis.
Documente
Tire capturas de tela ou faça o download das páginas nas quais suas informações foram publicadas. Tente capturar a data e o URL de maneira que eles fiquem legíveis. Essa prova é essencial para sua própria referência e pode ajudar a polícia ou outras agências de aplicação da lei envolvidas.
Proteja suas contas bancárias
Se os criminosos publicarem sua conta bancária ou números de cartão de crédito, você deverá comunicar imediatamente as instituições financeiras relevantes. Provavelmente, seu provedor de cartão de crédito cancelará seu cartão e enviará um novo a você. Você também precisará mudar a senha da sua conta bancária na Internet e do cartão de crédito.
Bloqueie suas contas
Mude suas senhas, use um gerenciador de senhas, ative a autenticação multifator sempre que possível e reforce a segurança de suas configurações de privacidade em cada conta que você usar.
Conte com a ajuda de um amigo ou parente
O doxing pode ser emocionalmente penoso. Peça para alguém em que você confia para ajudar você a passar pelo problema, para não ter que lidar com ele sozinho.
O doxing é um problema sério possibilitado pelo fácil acesso a informações pessoais na Internet. Manter-se seguro em um mundo virtual nem sempre é fácil, mas seguir as práticas recomendadas de segurança na Internet pode ajudar. Recomendamos o uso da solução Total Security da Kaspersky, que protege seu PC contra vírus, protege e armazena senhas e documentos privados e criptografa os dados que você envia e recebe na Internet usando uma VPN.
Artigos relacionados: