Como se proteger do doxing

Hoje em dia, montar um dossiê sobre qualquer usuário é mais fácil do que você imagina. Aprenda sobre doxers e seus métodos.

Cada vez que você dá um like ou interage de algo em uma rede social, participa de uma comunidade de moradores do bairro, publica seu currículo ou é pego por uma câmera de rua, as informações se acumulam em bancos de dados. Você pode não ter ideia de como você fica vulnerável ao deixar todos esses rastros de informação: cada ação na Internet e quase todas as ações no mundo real.

O motociclista, motorista, pai

Doxing pode acontecer com qualquer pessoa, como ilustram essas três anedotas.

Quando o ciclista de Maryland Peter Weinberg começou a receber mensagens insultuosas e de estranhos, soube que seu aplicativo de treino estava publicando suas rotas de ciclismo e alguém as usou para deduzir que Weinberg havia passado recentemente não muito longe de onde alguém havia atacado uma criança. A multidão rapidamente – e incorretamente – o identificou como o suspeito, encontrou e publicou seu endereço. Em um padrão muito familiar, os tweets corretivos subsequentes e outros esclarecimentos foram compartilhados de forma muito menos ampla do que as informações originais.

Do outro lado do mundo, um ativista dos direitos dos animais de Cingapura publicou nome e endereço de uma pessoa cujo carro atropelou um cachorro, com um chamado para “fazer da vida dele um inferno”. De acordo com o dono do carro, as acusações públicas prejudicaram sua carreira: depois que vigilantes descobriram onde ela trabalhava, postagens de ódio chegaram à página da empresa no Facebook. Acontece que outra pessoa estava dirigindo o carro no momento do acidente.

O ex-jogador de beisebol Curt Schilling viu tweets sobre sua filha que considerou inadequados e ofensivos. Schilling rastreou seus autores (ele disse ter levado menos de uma hora), coletou um dossiê considerável sobre cada um e publicou algumas das informações em seu blog. Os infratores ligados à comunidade do beisebol foram demitidos ou removidos de suas equipes esportivas em um dia.

O que aconteceu?

Todas as três histórias fornecem exemplos simples de doxing. A palavra descreve a coleta e publicação online de dados de identificação sem o consentimento do proprietário. Além de ser desagradável, também pode ser prejudicial na vida real, à reputação da vítima, ao emprego e até à segurança física.

Os motivos dos doxers variam. Alguns acreditam que estão expondo criminosos; alguns estão tentando intimidar seus oponentes online; outros estão nisso para vingar desfeitas pessoais. O doxing como fenômeno surgiu na década de 1990, mas desde então se tornou muito mais perigoso – e com o volume de informações privadas agora disponíveis para todos, o doxing realmente não requer habilidades ou privilégios especiais.

Não estamos aqui para analisar a legalidade ou a ética do doxing. Como especialistas em segurança, nossa tarefa é delinear os métodos dos doxers e sugerir maneiras de se proteger.

Doxing: um olhar minucioso

Por não exigir nenhum conhecimento especial, nem muitos recursos, o doxing tornou- se muito comum. As ferramentas que os doxers usam tendem a ser legítimas e públicas também.

Mecanismos de pesquisa

Os mecanismos de pesquisa comuns podem fornecer muitas informações pessoais e o uso de suas funções de pesquisa avançada (por exemplo, pesquisar entre sites ou tipos de arquivo específicos) pode ajudar os usuários a encontrar as informações certas com mais rapidez.

Além do nome e do sobrenome, um apelido também pode trair os hábitos online de uma pessoa. Por exemplo, a prática comum de usar o mesmo apelido em vários sites torna as coisas mais fáceis para os detetives online, que podem usá-lo para agregar comentários e postagens de qualquer fonte pública.

Redes sociais

As redes sociais, incluindo as especializadas, como o LinkedIn, contêm uma grande quantidade de dados pessoais.

Um perfil público com dados reais é basicamente um dossiê pronto. Mesmo se um perfil for privado e aberto apenas para amigos, um investigador dedicado pode coletar pedaços de informações examinando os comentários da vítima, comunidades, postagens de amigos e assim por diante. Adicione um pedido de amizade, talvez de alguém se passando por um recrutador de empregos, e você chega ao próximo nível, engenharia social.

Engenharia social

Uma marca registrada de muitos ataques, a engenharia social tira proveito da natureza humana para ajudar doxers a obter informações. Usando informações publicamente disponíveis sobre uma marca como ponto de partida, um doxer pode contatar a vítima e persuadi-la a fornecer suas próprias informações. Por exemplo, um doxer pode aparecer disfarçado de administrador médico ou representante de banco para tentar arrancar informações de uma vítima – estratagema que funciona muito melhor com alguns pedaços de verdade espalhados.

Fontes oficiais

Pessoas na esfera pública tendem a ter mais dificuldade em manter o anonimato da rede, mas isso não significa que astros do rock e atletas profissionais sejam os únicos que precisam proteger suas informações pessoais.

Um doxer pode até usar um empregador para trair a confiança de uma potencial vítima de doxing, como um nome completo e foto em uma página “Sobre nós” corporativa ou informações de contato completas em um site de um departamento. Parece inocente, mas as informações gerais da empresa aproximam você da pessoa geograficamente, e a foto pode levar ao seu perfil na rede social.

As atividades comerciais também deixam rastros na Internet; e, por exemplo, muitas informações sobre os fundadores de empresas estão publicamente disponíveis em muitos países.

Mercado Paralelo

Métodos mais sofisticados incluem o uso de fontes não públicas, como bancos de dados comprometidos pertencentes a entidades governamentais e empresas.

Como nossos estudos mostraram, os outlets na darknet vendem todos os tipos de dados pessoais, desde varreduras de passaporte (U$ 6 ou mais) a contas de aplicativos bancários (U$ 50 ou mais).

Coletores de dados profissionais

Os Doxers terceirizam parte de seu trabalho para corretores de dados , empresas que vendem dados pessoais coletados de várias fontes. A corretagem de dados não é uma empresa criminosa personalizada; os bancos usam dados de corretores, assim como agências de publicidade e recrutamento. Infelizmente, no entanto, nem todos os corretores de dados se importam com quem compra os dados.

O que fazer se seus dados vazarem

Em uma entrevista à Wired , Eva Galperin, a diretora de segurança cibernética da Electronic Frontier Foundation, sugere que se você souber que suas informações pessoais foram mal utilizadas, deve entrar em contato com todas as redes sociais onde os doxers publicaram os dados. Comece com atendimento ao cliente ou suporte técnico. A divulgação de informações privadas sem o consentimento do proprietário normalmente constitui uma violação do contrato do usuário. Embora isso não resolva o problema completamente, deve reduzir o dano potencial.

Galperin também recomenda bloquear suas contas de redes sociais ou encontrar alguém para gerenciar suas contas por algum tempo após um ataque. Como outras medidas pós-violação disponíveis, não pode desfazer o dano, mas pode acalmar os ânimos e talvez ajudá-lo a evitar algumas situações difíceis online.

Protegendo-se contra doxing

Certamente, é melhor reduzir a probabilidade de um vazamento de dados do que lidar com suas consequências. A imunidade não é fácil, no entanto. Por exemplo, você dificilmente pode influenciar despejos ou vazamentos de dados de bancos de dados governamentais ou de redes sociais. Você pode, no entanto, tornar o trabalho dos doxers mais difícil.

Não revele segredos na Internet

Mantenha seus dados pessoais fora da Internet – especialmente seu endereço, número de telefone e fotos – na medida do possível. Certifique-se de que as fotos postadas não contenham geotags e também de que os documentos não contenham informações privadas.

Verifique as configurações de sua conta de rede social

Recomendamos escolher configurações de privacidade rígidas nas redes sociais e serviços que você usa, deixando os perfis abertos apenas para amigos e monitorando sua lista de amigos regularmente. Você pode usar as instruções passo a passo em nosso portal Privacy Checker para configurar redes sociais e outros serviços.

Proteja suas contas contra hackers

Usar uma senha diferente para cada conta pode ser um incômodo (embora não precise ser), mas é uma proteção importante. Se você usar a mesma senha em todos os lugares e um de seus serviços tiver uma brecha de segurança, mesmo as configurações de privacidade mais restritas não o ajudarão.

Recomendamos o uso de um gerenciador de senhas. Nossa solução, Kaspersky Password Manager, salva não apenas as senhas, mas também os sites e serviços que eles acessam, deixando apenas uma chave mestra para você lembrar. Também recomendamos o uso de autenticação de dois fatores sempre que possível, para fortalecer ainda mais sua defesa.

Seja esperto ao vincular contas de terceiros

Se possível, evite inscrever-se em sites que usam redes sociais ou outras contas que contenham seus dados reais. Associar uma conta a outra torna suas atividades online mais fáceis de acompanhar, por exemplo, vinculando seus comentários ao seu próprio nome.

Para resolver o problema, mantenha pelo menos duas contas de e-mail, reservando uma para suas contas de nome real e a outra para sites onde você prefere manter o anonimato. Use também apelidos diferentes para recursos diferentes, para dificultar a coleta de informações sobre sua presença na Internet.

Tente construir um dossiê sobre você

Uma maneira de aprender sobre o estado de sua privacidade é desempenhar o papel de um doxer e pesquisar na Internet informações sobre você. Dessa forma, você pode aprender sobre quaisquer problemas que suas contas de redes sociais tenham e descobrir quais bits de seus dados pessoais estão em roaming na Internet. O que você encontrar pode ajudá-lo a rastrear a origem de tais dados e possivelmente até aprender como excluí-los. Para ficar de olho passivamente, você pode configurar o Google para notificá-lo sobre quaisquer novos resultados de pesquisa em consultas que contenham seu nome.

Delete suas informações pessoais

Você pode denunciar qualquer conteúdo que infrinja sua privacidade e solicitar que mecanismos de pesquisa e redes sociais excluam seus dados (por exemplo, aqui estão as instruções para Google, Facebook e Twitter).

As redes sociais e outros serviços normalmente proíbem a publicação não autorizada de dados pessoais, mas, na realidade, apenas as autoridades responsáveis pela aplicação da lei podem controlar certos recursos duvidosos.

Os corretores de dados legais normalmente permitem que os indivíduos excluam suas informações pessoais, mas com base no grande número dessas empresas, remover tudo não será fácil. Ao mesmo tempo, porém, existem agências e serviços que podem ajudar a apagar rastros digitais. Você terá que encontrar o equilíbrio entre facilidade, meticulosidade e custo que funcione para você.

Dicas rápidas

Pode-se ser alvo de doxing a qualquer momento, com ou sem causa aparente. Estas dicas o ajudarão a preservar sua privacidade online:
● Mantenha seus dados pessoais – nome real, endereço, local de trabalho e assim por diante – fora da Internet;
● Feche suas contas de rede social para estranhos e use senhas robustas e exclusivas e autenticação de dois fatores. Para gerenciar suas senhas, instale o Kaspersky Password Manager;
● Evite usar uma conta em um serviço para entrar em outro – principalmente se uma dessas contas contiver seus dados reais.
● Seja proativo: tente construir um dossiê sobre você mesmo e solicite a exclusão de dados de todos os serviços que sabem muito sobre você;
● Considere a exclusão de todas as contas. É um método radical (embora derrotista) para impedir a doxing, e podemos ajudá-lo a fazer isso da maneira certa, preservando dados importantes.

O doxing representa apenas uma incursão da onipresença de dados online na vida real, mas é grande e tem o potencial de arruinar vidas.
[KIS Privacy banner]

Dicas