ALLERTA PERICOLI INFORMATICI

Come difendersi dal doxing : pubblicazione online di dati personali identificativi senza il consenso del proprietario

Come difendersi dal doxing : pubblicazione online di dati personali identificativi senza il consenso del proprietario
Scritto da gestore

Al giorno dโ€™oggi, elaborare un dossier su un qualsiasi utente di Internet รจ piรน facile di quanto si possa pensare. Cosa รจ il doxing e quali sono le tecniche utilizzate?

Ogni volta che mettete โ€œmi piaceโ€ a qualcosa su un social network, vi unite a una community di vicini del vostro quartiere, pubblicate il vostro CV o venite ripresi da una telecamera stradale, tutte queste informazioni si immagazzinano e accumulano nei database. Forse non avete idea di quanto tutte queste informazioni, ogni azione su Internet e quasi ogni azione nel mondo reale, vi rendano vulnerabili ad attacchi esterni.

Intermezzo promozionale ... continua la lettura dopo il box:

Ciclista, autista e padre sbagliati
Il doxing puรฒ colpire chiunque, come dimostrano questi tre aneddoti.

Quando il ciclista del Maryland Peter Weinberg haย iniziato a ricevereย messaggi di insulti e minacce da sconosciuti, ha capito che la sua app di allenamento stava pubblicando i suoi percorsi in bicicletta e che qualcuno li aveva usati per dedurre che Weinberg era recentemente passato non lontano dal luogo in cui era stato aggredito un bambino. La gente lo ha rapidamente, ed erroneamente, identificato come sospetto e ha trovato e pubblicato il suo indirizzo. Purtroppo, perรฒ, i successivi tweet di smentita e altri chiarimenti sono stati condivisi molto meno rispetto alle informazioni originali.

Dallโ€™altra parte del mondo, un attivista per i diritti degli animali di Singapore haย pubblicato il nome e lโ€™indirizzo di una persona la cui auto aveva investito un cane, esortandola di โ€œandare allโ€™infernoโ€. Secondo la proprietaria dellโ€™auto, leย accuse pubbliche hanno danneggiato la sua carriera: dopo che i vigili hanno capito dove lavorava, vari post di insulti e offese hanno colpito la pagina Facebook dellโ€™azienda. Si dร  il caso che unโ€™altra persona fosse alla guida dellโ€™auto al momento dellโ€™incidente.

Una variante della stessa situazione ha coinvolto lโ€™ex professionista del baseball Curt Schilling, che ha trovato dei tweet su sua figlia che considerava inappropriati e offensivi. Schilling ha rintracciato gli autori (a suo dire, ci ha messo meno di unโ€™ora), ha raccolto un dossier considerevole su ognuno di loro e haย pubblicatoย una parte di queste informazioni sul suo blog. Gli autori dei tweet, che fanno parte del mondo del baseball, sono stati licenziati o allontanati dalle loro squadre dopo un solo giorno.

Cosa รจ successo?
Tutte e tre le storie sono dei semplici esempi diย doxing. Con questa parola ci si riferisce alla raccolta e alla pubblicazione online di dati personali identificativi senza il consenso del proprietario. Oltre ad essere sgradevole, puรฒ avere pesanti conseguenze nella vita reale, colpendo la reputazione della vittima, il suo lavoro e puรฒ minacciare persino la sua incolumitร  fisica.

Le motivazioni dei doxer (ovvero chi pratica il doxing) possono essere di vario tipo. Alcuni credono di smascherare dei criminali, altri cercano di intimidire i propri avversari online, altri ancora lo fanno per vendicarsi di torti personali. Il fenomeno del doxing รจ emerso negli anni โ€™90, ma da allora รจ diventato sempre piรน pericoloso e al giorno dโ€™oggi, con il volume di informazioni private disponibili a tutti, il doxing non richiede davvero abilitร  o privilegi speciali.

Non siamo qui per analizzare la legalitร  o lโ€™etica del doxing. Come esperti di sicurezza, il nostro compito รจ quello di delineare i metodi dei doxer e darvi dei consigli su come difendervi.

Doxing: uno sguardo dallโ€™interno
Poichรฉ non richiede nรฉ conoscenze speciali, nรฉ molte risorse, il doxing รจ diventata una pratica molto comune. Anche gli strumenti che usano i doxer tendono ad essere legittimi e pubblici.

Motori di ricerca
I normali motori di ricerca possono offrire molte informazioni personali e, grazie alle funzionalitร  di ricerca avanzate (per esempio, la ricerca su specifici siti web o di tipi di file), possono aiutare i doxer a trovare le informazioni giuste piรน velocemente.

Oltre al nome e al cognome, anche un nickname puรฒ tradire le abitudini online di una persona. Per esempio, la pratica comune di usare lo stesso nickname su diversi siti web rende le cose piรน facili per gli investigatori online, che possono usarlo per aggiungere commenti e post da qualsiasi fonte pubblica.

Social network
I social network, compresi quelli professionali come LinkedIn, contengono una grande quantitร  di dati personali.

Un profilo pubblico con dati reali รจ fondamentalmente un dossier giร  pronto. Anche se un profilo รจ privato o aperto solo agli amici, un investigatore esperto puรฒ raccogliere informazioni spulciando tra i commenti della vittima, le community, i post degli amici e cosรฌ via. Aggiungete poi una richiesta di amicizia, magari da qualcuno che si spaccia per un recruiter e si passa al livello successivo, ovvero lโ€™ingegneria sociale.

Ingegneria sociale
Punto cardine di molti attacchi, lโ€™ingegneria sociale sfrutta la natura umana per aiutare i doxer a ottenere informazioni. Utilizzando come punto di partenza le informazioni pubbliche disponibili su unโ€™azienda, un doxer puรฒ contattare la vittima e convincerla a concedere informazioni personali. Per esempio, un doxer potrebbe spacciarsi per un impiegato del settore sanitario o per un rappresentante bancario per cercare di estorcere informazioni dalla vittima, uno stratagemma che funziona molto meglio se si aggiunge qualche briciolo di veritร  come esca.

Fonti ufficiali
I personaggi pubblici tendono ad avere piรน difficoltร  a mantenere lโ€™anonimato in rete, ma questo non significa che le rock star e gli atleti professionisti siano gli unici a dover salvaguardare le proprie informazioni personali.

Un doxer puรฒ anche sfruttare il profilo del datore di lavoro per tradire la fiducia di una potenziale vittima di doxing, servendosi ad esempio del nome completo e della foto sulla pagina aziendale โ€œChi siamoโ€, oppure prendendo le informazioni di contatto complete sul sito della divisione aziendale interessata. Sembrerebbe tutto molto innocente e legittimo, tuttavia le informazioni generali dellโ€™azienda vi avvicinano geograficamente alla persona obiettivo, e la foto puรฒ portare al suo profilo sui social network.

Anche le attivitร  commerciali lasciano tipicamente tracce su Internet; per esempio, in molti paesi sono disponibili a tutti diverse informazioni su chi ha fondato unโ€™azienda.

Mercato nero
I metodi piรน sofisticati includono lโ€™uso di fonti non pubbliche, come i database compromessi appartenenti a enti governativi e aziende.

Come i nostri studi hanno dimostrato, nei mercati dellaย darknet si vendono dati personali di tutti i tipi, dalle scansioni dei passaporti (dai 6 dollari in su) agli account delle app bancarie (dai 50 dollari in su).

Raccoglitori di dati professionali
I doxer esternalizzano parte del loro lavoro aiย data broker, aziende che vendono dati personali raccolti da varie fonti. Non si tratta di unโ€™attivitร  criminale personalizzata: le banche usano i dati dei broker, cosรฌ come le agenzie pubblicitarie e di recruiting. Purtroppo, perรฒ, non tutti i broker di dati si preoccupano di verificare chi acquista questi dati.

Cosa fare se siete stati coinvolti in una fuga di dati
In unโ€™intervista suย Wiredย Eva Galperin, direttrice della Electronic Frontier Foundation per la sicurezza informatica,ย suggerisceย di mettersi in contatto con i social network su cui i doxer hanno pubblicato i dati senza il consenso dellโ€™interessato; si puรฒ iniziare con il servizio clienti o con lโ€™assistenza tecnica. La divulgazione di informazioni private senza il consenso del proprietario costituisce normalmente una violazione dei termini dโ€™uso. Anche se questa mossa non risolverร  completamente il problema, dovrebbe ridurre i danni potenziali.

Galperin consiglia anche di bloccare gli account dei social network o di trovare qualcuno che gestisca gli account per un poโ€™ di tempo dopo un attacco. Come avviene con altre misure disponibili in situazioni di questo genere, non puรฒ annullare il danno, ma potrebbe evitare stress aggiuntivoย  e alcune situazioni difficili online.

Come difendersi dal doxing
Di sicuro lโ€™ideale sarebbe ridurre la probabilitร  di una fuga di dati invece affrontarne le conseguenze. Esserne immuni, perรฒ, non รจ compito facile. Per esempio, difficilmente si possono evitare un dump di dati o le fughe di informazioni dai database governativi o dei social network. Tuttavia, รจ possibile mettere i bastoni tra le ruote ai doxer.

Non rivelate segreti su Internet
Mantenete i vostri dati personali fuori da Internet, specialmente il vostro indirizzo, il numero di telefono e le foto, per quanto possibile. Assicuratevi che le foto che pubblicate non contengano informazioni di localizzazione e che i documenti non contenganoย informazioni private.

Controllate le impostazioni dei vostri account sui social network
Vi consigliamo di scegliere impostazioni rigorose per la privacy sui social network e su altri servizi, di lasciare i profili aperti solo agli amici e di monitorare regolarmente lโ€™elenco dei vostri amici. Potete usare le istruzioni passo dopo passo presenti sul nostro portaleย Privacy Checkerย per le impostazioni per la privacy sui social network e su altri servizi.

Proteggete i vostri account dai cybercriminali
Usare una password diversa per ogni account puรฒ essere una seccatura (anche se non deve esserlo per forza) ma รจ una precauzione importante. Se usate la stessa password ovunque e uno dei siti viene coinvolto in unaย fuga di dati, allora nemmeno le impostazioni privacy piรน rigorose vi potranno salvare.

Vi consigliamo anche lโ€™uso di un password manager. La nostra soluzioneย Kaspersky Password Managerย non solo custodisce le password ma ricorda anche i siti web e i servizi per cui servono, lasciandovi solo una master key da memorizzare. Raccomandiamo inoltre di utilizzare lโ€™autenticazione a due fattori ovunque sia possibile, per rafforzare ulteriormente la vostra linea di difesa.

Giocate dโ€™astuzia con gli account di terze parti
Se possibile, evitate di iscrivervi a siti web utilizzando i social network o altri account contenenti i vostri dati reali. Associare un account a un altro rende le vostre attivitร  online piรน facili da seguire, creando un vincolo tra i vostri commenti e il vostro nome reale.

Per risolvere il problema, รจ importante avere almeno due account di posta elettronica, riservandone uno per i vostri account con il vostro nome reale e lโ€™altro per i siti web dove preferite rimanere anonimi. Usate anche nickname diversi per risorse diverse, per rendere piรน difficile la raccolta di informazioni inerenti alla vostra presenza su Internet.

Provate a elaborare un dossier su di voi
Un modo per conoscere lo stato della vostra privacy รจ quello di diventare doxer per un giorno e di cercare su Internet informazioni che vi riguardano. In questo modo, potrete conoscere eventuali problemi dei vostri account di social network e scoprire quali sono i vostri dati personali in circolazione su Internet. Ciรฒ che trovate puรฒ aiutarvi a rintracciare la fonte di tali dati ed eventualmente anche a capire come farli eliminare. Per una vigilanza passiva, potete impostare una notifica suย Googleย che vi informi di ogni nuovo risultato di ricerca sulle query che contengono il vostro nome.

Cancellate le informazioni che vi riguardano
Potete segnalare qualsiasi contenuto che violi la vostra privacy e chiedere ai motori di ricerca e ai social network di cancellare i vostri dati (per esempio, qui ci sono le istruzioni perย Google,ย Facebook, eย Twitter).

I social network e altri servizi solitamente non permettono la pubblicazione non autorizzata di dati personali come si legge nelle condizioni dโ€™uso, ma in realtร , solo le forze dellโ€™ordine possono mettere mano a certe risorse dubbie.

I broker di dati legali normalmente permettono agli utenti di eliminare informazioni personali, ma si tratta di tantissime aziende e rimuovere tutto non sarร  facile. Allo stesso tempo, perรฒ, ci sono agenzie e servizi che possono aiutarvi a sbarazzarvi di queste tracce digitali. Dovrete trovare un equilibrio tra facilitร , accuratezza e costo che faccia al caso vostro.

Consigli veloci

Si puรฒ essere presi di mira dal doxing in qualsiasi momento, con o senza un motivo apparente. Questi consigli vi aiuteranno a preservare la vostra privacy online:

  • Lasciate i vostri dati personali (nome reale, indirizzo, luogo di lavoro e cosรฌ via) fuori da Internet;
  • Non consentite lโ€™accesso a estranei ai vostri account sui social network e usate password robuste e uniche, oltre allโ€™autenticazione a due fattori. Per gestire le vostre password, installateย Kaspersky Password Manager;
  • Evitate di usare lโ€™account di un servizio per accedere a un altro, soprattutto se uno di questi account contiene i vostri dati reali;
  • Siate proattivi: provate a elaborare un dossier su voi stessi e richiedete la cancellazione dei dati da tutti quei servizi che sanno troppo di voi;
  • Considerate la possibilitร  di eliminare del tutto gli account. รˆ un metodo radicale (anche se disfattista) per contrastare il doxing, e noiย possiamo aiutarvi a farlo nel modo giusto preservando i dati importanti;

Il doxing rappresenta solo unโ€™incursione dei dati online nella vita reale, ma potrebbe rovinarvi la vita. Per questo pubblichiamo regolarmente notizie e informazioni pratiche sulย doxingย e suย come difendervi.

Fonte : https://www.kaspersky.it/