Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Что такое доксинг и как от него защититься | Блог Касперского
Благодаря Интернету собрать досье на человека стало проще простого. Рассказываем, как работает доксинг и как от него защититься.
Каждый раз, когда вы ставите лайк в соцсети, вступаете в сообщество жителей района, размещаете резюме или попадаете в объектив уличной камеры, сведения об этом оседают в базах данных. Скорее всего, вы даже не представляете, насколько мы все уязвимы из-за информационных следов от каждого действия в Интернете и почти каждого — в реальном мире. Как герои следующих историй.
Как это бывает: не тот велосипедист, другой водитель и жесткий папа
Заядлый велосипедист Питер Вайнберг (Peter Weinberg) в один совсем не прекрасный день неожиданно начал получать оскорбительные сообщения и угрозы от незнакомцев. Как оказалось, приложение для записи тренировок, которым он пользовался, публиковало веломаршруты в открытом доступе, и таким образом кто-то выяснил, что недавно Питер проезжал неподалеку от места, где кто-то избил ребенка. И завертелось: по похожей экипировке в нем «опознали» подозреваемого, нашли и опубликовали его адрес. В результате у полиции к розыску настоящего преступника добавилась задача по охране ни в чем не повинного Вайнберга.
Сингапурский борец за права животных опубликовал имя и адрес владелицы автомобиля, сбившего собаку, с призывом: «Задайте ей!». По ее словам, публичные обвинения в ДТП негативно сказалась на ее карьере: к другим данным скоро прибавилось место работы, и на странице компании в Facebook стали постить негативные отзывы. Самое печальное в этой истории — за рулем в момент ДТП находился другой человек.
Увидев в Twitter неуместные и оскорбительные комментарии о своей дочери, бывший профессиональный бейсболист Курт Шиллинг выследил их авторов (по его словам, на это хватило часа) и собрал внушительное досье на каждого. Данные двоих отличившихся Шиллинг опубликовал в своем блоге. Уже через сутки часть комментаторов, связанных с бейсбольным сообществом, уволили или выгнали из спортивных команд.
Что это было?
Все три истории — примеры доксинга (от «dox» — искаженной формы слова «docs»). Так называют сбор и публикацию в Интернете чьих-либо личных данных без разрешения владельца. Это не только неприятно, но и вредит в реальной жизни: жертве грозит подмоченная репутация, потеря работы, а иногда даже физическая расправа.
Мотивы доксеров различаются — кто-то уверен, что обличает преступника, кто-то запугивает оппонента по онлайн-дискуссии, а кто-то мстит за прежние обиды. Как явление доксинг возник еще в 90-х годах, но теперь, с учетом объемов личной информации, хранящейся в электронном виде и нередко доступной любому желающему без каких-то особенных навыков или прав, он стал гораздо опаснее.
В этом тексте мы не будем оценивать доксинг с точки зрения закона или морали, а лишь расскажем о методах доксеров и научим защищаться от слива данных.
Доксинг: взгляд изнутри
Доксинг стал распространенной практикой в Интернете, потому что для него не требуются особые познания или много ресурсов. Какие инструменты обычно используют доксеры?
Поисковые системы
Много информации о человеке могут выдать обыкновенные поисковики. Функции расширенного поиска (например, по заданным сайтам и типам файлов) позволяют быстрее найти конкретные сведения.
Кроме имени и фамилии выдать человека может его никнейм. Тут на руку интернет-следопытам играет повальная привычка пользователей регистрироваться под одним и тем же псевдонимом на нескольких площадках. В результате можно собрать досье из комментариев и постов жертвы сразу на множестве публичных ресурсов.
Соцсети
Соцсети, в том числе специализированные (например, LinkedIn) — кладезь личных данных.
Открытый профиль с настоящими данными — это фактически готовое досье на жертву. Если же профиль приватный и доступен только друзьям, доксер может собрать информацию по комментариям жертвы и сообществам, в которых она состоит, постам ее знакомых и так далее. Впрочем, постучаться в друзья под видом рекрутера недоброжелателю тоже никто не мешает, но это уже…
Социальная инженерия
Не гнушаются доксеры и методов социальной инженерии. Например, пишут жертве в соцсетях, мессенджерах или по электронной почте под видом сотрудника больницы или банка, чтобы выведать личные данные.
Официальные источники
Совсем сложно сохранять анонимность в Сети публичным людям — их имена, лица и, как правило, города проживания всем известны. Но это не значит, что за онлайн-присутствием надо следить только рок-звездам и профессиональным спортсменам.
Медвежью услугу потенциальной жертве доксинга может оказать работодатель: упоминание в списке сотрудников на сайте организации, особенно вместе с фотографией, может стать зацепкой для доксеров. Далее по местонахождению компании можно определить город, в котором живет человек, а по фото — найти его профиль в соцсетях.
Также нередко оставляет следы в Сети коммерческая деятельность — например, данные об учредителях компаний во многих странах находятся в открытом доступе.
Черный рынок
Более сложные приемы связаны с использованием непубличных источников — например, утекших баз данных госструктур и коммерческих компаний.
Как показало наше исследование, на подпольных онлайн-площадках в даркнете продаются любые персональные данные: от сканов паспортов (от 6 долларов за штуку) до учетных данных из банковских приложений (от 50 долларов).
Профессиональные сборщики данных
Часть работы за доксеров могут сделать брокеры данных — компании, которые собирают персональные данные из всевозможных источников и продают их.
Это, конечно, не специализированная услуга для доксеров: такие сведения используют банки для оценки платежеспособности клиента, а также рекламные и кадровые агентства.
Что делать, если ваши данные слили?
В интервью Wired Ева Гальперин, директор по кибербезопасности правозащитной организации Electronic Frontier Foundation, советует обратиться в поддержку всех соцсетей, где опубликовали ваши данные. Как правило, разглашение сведений о ком-либо без разрешения владельца считается нарушением пользовательского соглашения. Полностью это проблему не решит, но потенциальный урон уменьшится.
Еще она рекомендует заблокировать учетные записи в соцсетях, чтобы поберечь нервы, или найти человека, который бы некоторое время после атаки управлял вашими аккаунтами и избавил вас от неприятных контактов в Сети.
Как защититься от доксинга
Лучше, конечно, снизить вероятность утечки, чем разбираться с ее последствиями. Скажем сразу: исключить доксинг полностью весьма непросто. К примеру, вы вряд ли сможете повлиять на слив или утечку информации из баз данных госструктур или соцсетей. Тем не менее можно изрядно усложнить доксерам жизнь.
Не откровенничайте в Интернете
Во-первых, по возможности не выкладывайте в Сеть личные данные — в особенности свой адрес, номер телефона, а также фотографии, по которым можно узнать, где вы бываете. Следите за тем, чтобы публикуемые снимки не содержали геометок в метаданных, а документы — лишней информации.
Проверьте параметры своих аккаунтов в соцсетях
Настройки приватности в соцсетях и других сервисах стоит сделать максимально строгими. Закройте свои профили, оставив доступ к странице только друзьям. Соответственно, следите за тем, кто у вас во френдлисте.
Мы посвятили настройке соцсетей и других сервисов портал Privacy Checker — там есть инструкции для ВКонтакте, Facebook, Instagram и для многого другого.
Защитите свои аккаунты от взломщиков
Набивший оскомину совет про отдельный пароль для каждой учетной записи — на самом деле полезен. Если из какого-то сервиса утечет тот самый пароль на все случаи жизни, никакое засекречивание профилей не поможет.
Многие рекомендуют менеджеры паролей: так вы точно не забудете комбинации. К примеру, Kaspersky Password Manager надежно сохранит не только сами пароли, но и то, к каким сайтам они привязаны, — от вас требуется запомнить только мастер-ключ от приложения.
Также обязательно используйте двухфакторную идентификацию. Лишний рубеж обороны не помешает.
Пользуйтесь авторизацией через сторонние аккаунты с умом
По возможности не авторизуйтесь на сайтах с помощью учетных записей в соцсетях или других сервисах, где есть настоящие данные о вас. Если пренебречь этим советом, всю вашу активность в Интернете можно будет легко отследить, ведь комментарии будут подписаны вашим именем.
Заведите хотя бы два адреса электронной почты — один для аккаунтов с настоящим именем, а другой для площадок, где хотите сохранять анонимность. И не используйте один и тот же никнейм на разных ресурсах. Так вы усложните сбор данных о своих действиях в Сети.
Попробуйте собрать досье на себя
Поиграйте в доксера и поищите в Интернете информацию о себе — так вы узнаете, есть ли проблемы с приватностью у ваших профилей в соцсетях и какие персональные данные о вас гуляют в Интернете. Это с большой вероятностью позволит найти их источник и, возможно, даже удалить их. Для удобства в Google можно настроить оповещение о новых результатах по запросу с вашим именем.
Удалите информацию о себе
В поисковики и соцсети можно отправить запросы на удаление своих данных или жалобы на контент, нарушающий вашу приватность (инструкции для Google, Яндекс, Facebook, Twitter).
В соцсетях и других сервисах публикация чужих персональных данных обычно запрещена правилами использования. Остаются, правда, «серые» ресурсы, на которые управу можно найти разве что в лице правоохранительных органов.
Легальные брокеры данных, как правило, позволяют частным лицам удалить информацию о себе. Но учитывая число таких компаний, это будет затруднительно. В то же время существуют агентства и сервисы, позволяющие замести ваш цифровой след, так что если хотите скрыться от потенциальных преследователей, есть смысл обратиться туда.
Советы для тех, кто сразу проскроллил в конец статьи
Стать объектом доксинга можно в любой момент, но эти практические рекомендации помогут сохранить приватность в Сети:
- Держите личные данные — настоящее имя, адрес, место работы и так далее — подальше от Интернета. Им там не место.
- Закройте аккаунты в соцсетях от посторонних, защитите их надежными и уникальными паролями, а также двухфакторной аутентификацией. Если трудно запоминать пароли — установите Kaspersky Password Manager.
- Не авторизуйтесь в сторонних сервисах с аккаунтов, где указаны ваши настоящие данные — так вы прокладываете доксерам дорожку из хлебных крошек к личной информации.
- Действуйте на опережение: соберите на себя досье и отправьте запрос на удаление данных в сервисы, которые слишком много знают.
- Радикальный, но пораженческий метод борьбы с доксерами — вовсе удалить свои учетные записи. Мы уже рассказывали в серии постов о том, как сделать это правильно и сохранить при этом важные данные.
Источник: Лаборатория Касперского
29.04.2021