Al giorno dโoggi, elaborare un dossier su un qualsiasi utente di Internet รจ piรน facile di quanto si possa pensare. Cosa รจ il doxing e quali sono le tecniche utilizzate?
Ogni volta che mettete โmi piaceโ a qualcosa su un social network, vi unite a una community di vicini del vostro quartiere, pubblicate il vostro CV o venite ripresi da una telecamera stradale, tutte queste informazioni si immagazzinano e accumulano nei database. Forse non avete idea di quanto tutte queste informazioni, ogni azione su Internet e quasi ogni azione nel mondo reale, vi rendano vulnerabili ad attacchi esterni.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Ciclista, autista e padre sbagliati
Il doxing puรฒ colpire chiunque, come dimostrano questi tre aneddoti.
Quando il ciclista del Maryland Peter Weinberg haย iniziato a ricevereย messaggi di insulti e minacce da sconosciuti, ha capito che la sua app di allenamento stava pubblicando i suoi percorsi in bicicletta e che qualcuno li aveva usati per dedurre che Weinberg era recentemente passato non lontano dal luogo in cui era stato aggredito un bambino. La gente lo ha rapidamente, ed erroneamente, identificato come sospetto e ha trovato e pubblicato il suo indirizzo. Purtroppo, perรฒ, i successivi tweet di smentita e altri chiarimenti sono stati condivisi molto meno rispetto alle informazioni originali.
Dallโaltra parte del mondo, un attivista per i diritti degli animali di Singapore haย pubblicato il nome e lโindirizzo di una persona la cui auto aveva investito un cane, esortandola di โandare allโinfernoโ. Secondo la proprietaria dellโauto, leย accuse pubbliche hanno danneggiato la sua carriera: dopo che i vigili hanno capito dove lavorava, vari post di insulti e offese hanno colpito la pagina Facebook dellโazienda. Si dร il caso che unโaltra persona fosse alla guida dellโauto al momento dellโincidente.
Una variante della stessa situazione ha coinvolto lโex professionista del baseball Curt Schilling, che ha trovato dei tweet su sua figlia che considerava inappropriati e offensivi. Schilling ha rintracciato gli autori (a suo dire, ci ha messo meno di unโora), ha raccolto un dossier considerevole su ognuno di loro e haย pubblicatoย una parte di queste informazioni sul suo blog. Gli autori dei tweet, che fanno parte del mondo del baseball, sono stati licenziati o allontanati dalle loro squadre dopo un solo giorno.
Cosa รจ successo?
Tutte e tre le storie sono dei semplici esempi diย doxing. Con questa parola ci si riferisce alla raccolta e alla pubblicazione online di dati personali identificativi senza il consenso del proprietario. Oltre ad essere sgradevole, puรฒ avere pesanti conseguenze nella vita reale, colpendo la reputazione della vittima, il suo lavoro e puรฒ minacciare persino la sua incolumitร fisica.
Le motivazioni dei doxer (ovvero chi pratica il doxing) possono essere di vario tipo. Alcuni credono di smascherare dei criminali, altri cercano di intimidire i propri avversari online, altri ancora lo fanno per vendicarsi di torti personali. Il fenomeno del doxing รจ emerso negli anni โ90, ma da allora รจ diventato sempre piรน pericoloso e al giorno dโoggi, con il volume di informazioni private disponibili a tutti, il doxing non richiede davvero abilitร o privilegi speciali.
Non siamo qui per analizzare la legalitร o lโetica del doxing. Come esperti di sicurezza, il nostro compito รจ quello di delineare i metodi dei doxer e darvi dei consigli su come difendervi.
Intermezzo promozionale ... continua la lettura dopo il box:
Doxing: uno sguardo dallโinterno
Poichรฉ non richiede nรฉ conoscenze speciali, nรฉ molte risorse, il doxing รจ diventata una pratica molto comune. Anche gli strumenti che usano i doxer tendono ad essere legittimi e pubblici.
Motori di ricerca
I normali motori di ricerca possono offrire molte informazioni personali e, grazie alle funzionalitร di ricerca avanzate (per esempio, la ricerca su specifici siti web o di tipi di file), possono aiutare i doxer a trovare le informazioni giuste piรน velocemente.
Oltre al nome e al cognome, anche un nickname puรฒ tradire le abitudini online di una persona. Per esempio, la pratica comune di usare lo stesso nickname su diversi siti web rende le cose piรน facili per gli investigatori online, che possono usarlo per aggiungere commenti e post da qualsiasi fonte pubblica.
Social network
I social network, compresi quelli professionali come LinkedIn, contengono una grande quantitร di dati personali.
Un profilo pubblico con dati reali รจ fondamentalmente un dossier giร pronto. Anche se un profilo รจ privato o aperto solo agli amici, un investigatore esperto puรฒ raccogliere informazioni spulciando tra i commenti della vittima, le community, i post degli amici e cosรฌ via. Aggiungete poi una richiesta di amicizia, magari da qualcuno che si spaccia per un recruiter e si passa al livello successivo, ovvero lโingegneria sociale.
Ingegneria sociale
Punto cardine di molti attacchi, lโingegneria sociale sfrutta la natura umana per aiutare i doxer a ottenere informazioni. Utilizzando come punto di partenza le informazioni pubbliche disponibili su unโazienda, un doxer puรฒ contattare la vittima e convincerla a concedere informazioni personali. Per esempio, un doxer potrebbe spacciarsi per un impiegato del settore sanitario o per un rappresentante bancario per cercare di estorcere informazioni dalla vittima, uno stratagemma che funziona molto meglio se si aggiunge qualche briciolo di veritร come esca.
Fonti ufficiali
I personaggi pubblici tendono ad avere piรน difficoltร a mantenere lโanonimato in rete, ma questo non significa che le rock star e gli atleti professionisti siano gli unici a dover salvaguardare le proprie informazioni personali.
Un doxer puรฒ anche sfruttare il profilo del datore di lavoro per tradire la fiducia di una potenziale vittima di doxing, servendosi ad esempio del nome completo e della foto sulla pagina aziendale โChi siamoโ, oppure prendendo le informazioni di contatto complete sul sito della divisione aziendale interessata. Sembrerebbe tutto molto innocente e legittimo, tuttavia le informazioni generali dellโazienda vi avvicinano geograficamente alla persona obiettivo, e la foto puรฒ portare al suo profilo sui social network.
Anche le attivitร commerciali lasciano tipicamente tracce su Internet; per esempio, in molti paesi sono disponibili a tutti diverse informazioni su chi ha fondato unโazienda.
Mercato nero
I metodi piรน sofisticati includono lโuso di fonti non pubbliche, come i database compromessi appartenenti a enti governativi e aziende.
Come i nostri studi hanno dimostrato, nei mercati dellaย darknet si vendono dati personali di tutti i tipi, dalle scansioni dei passaporti (dai 6 dollari in su) agli account delle app bancarie (dai 50 dollari in su).
Raccoglitori di dati professionali
I doxer esternalizzano parte del loro lavoro aiย data broker, aziende che vendono dati personali raccolti da varie fonti. Non si tratta di unโattivitร criminale personalizzata: le banche usano i dati dei broker, cosรฌ come le agenzie pubblicitarie e di recruiting. Purtroppo, perรฒ, non tutti i broker di dati si preoccupano di verificare chi acquista questi dati.
Cosa fare se siete stati coinvolti in una fuga di dati
In unโintervista suย Wiredย Eva Galperin, direttrice della Electronic Frontier Foundation per la sicurezza informatica,ย suggerisceย di mettersi in contatto con i social network su cui i doxer hanno pubblicato i dati senza il consenso dellโinteressato; si puรฒ iniziare con il servizio clienti o con lโassistenza tecnica. La divulgazione di informazioni private senza il consenso del proprietario costituisce normalmente una violazione dei termini dโuso. Anche se questa mossa non risolverร completamente il problema, dovrebbe ridurre i danni potenziali.
Galperin consiglia anche di bloccare gli account dei social network o di trovare qualcuno che gestisca gli account per un poโ di tempo dopo un attacco. Come avviene con altre misure disponibili in situazioni di questo genere, non puรฒ annullare il danno, ma potrebbe evitare stress aggiuntivoย e alcune situazioni difficili online.
Come difendersi dal doxing
Di sicuro lโideale sarebbe ridurre la probabilitร di una fuga di dati invece affrontarne le conseguenze. Esserne immuni, perรฒ, non รจ compito facile. Per esempio, difficilmente si possono evitare un dump di dati o le fughe di informazioni dai database governativi o dei social network. Tuttavia, รจ possibile mettere i bastoni tra le ruote ai doxer.
Non rivelate segreti su Internet
Mantenete i vostri dati personali fuori da Internet, specialmente il vostro indirizzo, il numero di telefono e le foto, per quanto possibile. Assicuratevi che le foto che pubblicate non contengano informazioni di localizzazione e che i documenti non contenganoย informazioni private.
Controllate le impostazioni dei vostri account sui social network
Vi consigliamo di scegliere impostazioni rigorose per la privacy sui social network e su altri servizi, di lasciare i profili aperti solo agli amici e di monitorare regolarmente lโelenco dei vostri amici. Potete usare le istruzioni passo dopo passo presenti sul nostro portaleย Privacy Checkerย per le impostazioni per la privacy sui social network e su altri servizi.
Proteggete i vostri account dai cybercriminali
Usare una password diversa per ogni account puรฒ essere una seccatura (anche se non deve esserlo per forza) ma รจ una precauzione importante. Se usate la stessa password ovunque e uno dei siti viene coinvolto in unaย fuga di dati, allora nemmeno le impostazioni privacy piรน rigorose vi potranno salvare.
Vi consigliamo anche lโuso di un password manager. La nostra soluzioneย Kaspersky Password Managerย non solo custodisce le password ma ricorda anche i siti web e i servizi per cui servono, lasciandovi solo una master key da memorizzare. Raccomandiamo inoltre di utilizzare lโautenticazione a due fattori ovunque sia possibile, per rafforzare ulteriormente la vostra linea di difesa.
Giocate dโastuzia con gli account di terze parti
Se possibile, evitate di iscrivervi a siti web utilizzando i social network o altri account contenenti i vostri dati reali. Associare un account a un altro rende le vostre attivitร online piรน facili da seguire, creando un vincolo tra i vostri commenti e il vostro nome reale.
Per risolvere il problema, รจ importante avere almeno due account di posta elettronica, riservandone uno per i vostri account con il vostro nome reale e lโaltro per i siti web dove preferite rimanere anonimi. Usate anche nickname diversi per risorse diverse, per rendere piรน difficile la raccolta di informazioni inerenti alla vostra presenza su Internet.
Provate a elaborare un dossier su di voi
Un modo per conoscere lo stato della vostra privacy รจ quello di diventare doxer per un giorno e di cercare su Internet informazioni che vi riguardano. In questo modo, potrete conoscere eventuali problemi dei vostri account di social network e scoprire quali sono i vostri dati personali in circolazione su Internet. Ciรฒ che trovate puรฒ aiutarvi a rintracciare la fonte di tali dati ed eventualmente anche a capire come farli eliminare. Per una vigilanza passiva, potete impostare una notifica suย Googleย che vi informi di ogni nuovo risultato di ricerca sulle query che contengono il vostro nome.
Cancellate le informazioni che vi riguardano
Potete segnalare qualsiasi contenuto che violi la vostra privacy e chiedere ai motori di ricerca e ai social network di cancellare i vostri dati (per esempio, qui ci sono le istruzioni perย Google,ย Facebook, eย Twitter).
I social network e altri servizi solitamente non permettono la pubblicazione non autorizzata di dati personali come si legge nelle condizioni dโuso, ma in realtร , solo le forze dellโordine possono mettere mano a certe risorse dubbie.
I broker di dati legali normalmente permettono agli utenti di eliminare informazioni personali, ma si tratta di tantissime aziende e rimuovere tutto non sarร facile. Allo stesso tempo, perรฒ, ci sono agenzie e servizi che possono aiutarvi a sbarazzarvi di queste tracce digitali. Dovrete trovare un equilibrio tra facilitร , accuratezza e costo che faccia al caso vostro.
Consigli veloci
Si puรฒ essere presi di mira dal doxing in qualsiasi momento, con o senza un motivo apparente. Questi consigli vi aiuteranno a preservare la vostra privacy online:
- Lasciate i vostri dati personali (nome reale, indirizzo, luogo di lavoro e cosรฌ via) fuori da Internet;
- Non consentite lโaccesso a estranei ai vostri account sui social network e usate password robuste e uniche, oltre allโautenticazione a due fattori. Per gestire le vostre password, installateย Kaspersky Password Manager;
- Evitate di usare lโaccount di un servizio per accedere a un altro, soprattutto se uno di questi account contiene i vostri dati reali;
- Siate proattivi: provate a elaborare un dossier su voi stessi e richiedete la cancellazione dei dati da tutti quei servizi che sanno troppo di voi;
- Considerate la possibilitร di eliminare del tutto gli account. ร un metodo radicale (anche se disfattista) per contrastare il doxing, e noiย possiamo aiutarvi a farlo nel modo giusto preservando i dati importanti;
Il doxing rappresenta solo unโincursione dei dati online nella vita reale, ma potrebbe rovinarvi la vita. Per questo pubblichiamo regolarmente notizie e informazioni pratiche sulย doxingย e suย come difendervi.
Fonte : https://www.kaspersky.it/
