Doxing: cos’è e come difendersi dalla gogna online
Ogni volta che mettete “mi piace” a qualcosa su un social network, vi unite a una community di vicini del vostro quartiere, pubblicate il vostro CV o venite ripresi da una telecamera di sicurezza per le strade della vostra città, tutte queste informazioni si immagazzinano e accumulano nei database. Forse non avete idea di quanto tutte queste informazioni, ogni azione su Internet e quasi ogni azione nel mondo reale, vi rendano vulnerabili ad attacchi esterni.
Facciamo quindi conoscenza con il doxing, parola che indica la raccolta e la pubblicazione online di dati personali identificativi senza il consenso del proprietario. Oltre ad essere sgradevole, può avere pesanti conseguenze nella vita reale, colpendo la reputazione della vittima, il suo lavoro e può minacciare persino la sua incolumità fisica.
Le motivazioni dei doxer (ovvero chi pratica il doxing) possono essere di vario tipo. Alcuni credono di smascherare dei criminali, altri cercano di intimidire i propri avversari online, altri ancora lo fanno per vendicarsi di torti personali. Il fenomeno del doxing è emerso negli anni ’90, ma da allora è diventato sempre più pericoloso e al giorno d’oggi, con il volume di informazioni private disponibili a tutti, il doxing non richiede davvero abilità o privilegi speciali.
Gli esperti di Kaspersky propongono un approfondimento per delineare i metodi dei doxer e dare consigli su come difendersi.
Doxing: uno sguardo dall’interno
Poiché non richiede né conoscenze speciali, né molte risorse, il doxing è diventata una pratica molto comune. Anche gli strumenti che usano i doxer tendono inoltre a essere legittimi e pubblici.
Motori di ricerca
I normali motori di ricerca possono offrire molte informazioni personali e, grazie alle funzionalità di ricerca avanzate (per esempio, la ricerca su specifici siti web o di tipi di file), possono aiutare i doxer a trovare le informazioni giuste più velocemente. Oltre al nome e al cognome, anche un nickname può tradire le abitudini online di una persona. Per esempio, la pratica comune di usare lo stesso nickname su diversi siti web rende le cose più facili per gli investigatori online, che possono usarlo per aggiungere commenti e post da qualsiasi fonte pubblica.
Social network
I social network, compresi quelli professionali come LinkedIn, contengono una grande quantità di dati personali. Un profilo pubblico con dati reali è fondamentalmente un dossier già pronto. Anche se un profilo è privato o aperto solo agli amici, un investigatore esperto può raccogliere informazioni spulciando tra i commenti della vittima, le community, i post degli amici e così via. Aggiungete poi una richiesta di amicizia, magari da qualcuno che si spaccia per un recruiter e si passa al livello successivo, ovvero l’ingegneria sociale.
Ingegneria sociale
Punto cardine di molti attacchi, l’ingegneria sociale sfrutta la natura umana per aiutare i doxer a ottenere informazioni. Utilizzando come punto di partenza le informazioni pubbliche disponibili su un’azienda, un doxer può contattare la vittima e convincerla a concedere informazioni personali. Per esempio, un doxer potrebbe spacciarsi per un impiegato del settore sanitario o per un rappresentante bancario per cercare di estorcere informazioni dalla vittima, uno stratagemma che funziona molto meglio se si aggiunge qualche briciolo di verità come esca.
Fonti ufficiali
I personaggi pubblici tendono ad avere più difficoltà a mantenere l’anonimato in rete, ma questo non significa che le rock star e gli atleti professionisti siano gli unici a dover salvaguardare le proprie informazioni personali. Un doxer può anche sfruttare il profilo del datore di lavoro per tradire la fiducia di una potenziale vittima di doxing, servendosi ad esempio del nome completo e della foto sulla pagina aziendale “Chi siamo”, oppure prendendo le informazioni di contatto complete sul sito della divisione aziendale interessata.
Sembrerebbe tutto molto innocente e legittimo, tuttavia le informazioni generali dell’azienda vi avvicinano geograficamente alla persona obiettivo, e la foto può portare al suo profilo sui social network. Anche le attività commerciali lasciano tipicamente tracce su Internet; per esempio, in molti paesi sono disponibili a tutti diverse informazioni su chi ha fondato un’azienda.
Mercato nero
I metodi più sofisticati includono l’uso di fonti non pubbliche, come i database compromessi appartenenti a enti governativi e aziende. Come i nostri studi hanno dimostrato, nei mercati della darknet si vendono dati personali di tutti i tipi, dalle scansioni dei passaporti (dai 6 dollari in su) agli account delle app bancarie (dai 50 dollari in su).
Raccoglitori di dati professionali
I doxer esternalizzano parte del loro lavoro ai data broker, aziende che vendono dati personali raccolti da varie fonti. Non si tratta di un’attività criminale personalizzata: le banche usano i dati dei broker, così come le agenzie pubblicitarie e di recruiting. Purtroppo, però, non tutti i broker di dati si preoccupano di verificare chi acquista questi dati.
Cosa fare se siete stati coinvolti in una fuga di dati
In un’intervista su Wired Eva Galperin, direttrice della Electronic Frontier Foundation per la sicurezza informatica, suggerisce di mettersi in contatto con i social network su cui i doxer hanno pubblicato i dati senza il consenso dell’interessato; si può iniziare con il servizio clienti o con l’assistenza tecnica. La divulgazione di informazioni private senza il consenso del proprietario costituisce normalmente una violazione dei termini d’uso. Anche se questa mossa non risolverà completamente il problema, dovrebbe ridurre i danni potenziali.
Galperin consiglia anche di bloccare gli account dei social network o di trovare qualcuno che gestisca gli account per un po’ di tempo dopo un attacco. Come avviene con altre misure disponibili in situazioni di questo genere, non può annullare il danno, ma potrebbe evitare stress aggiuntivo e alcune situazioni difficili online.
Come difendersi dal doxing
Di sicuro l’ideale sarebbe ridurre la probabilità di una fuga di dati invece affrontarne le conseguenze. Esserne immuni, però, non è compito facile. Per esempio, difficilmente si possono evitare un dump di dati o le fughe di informazioni dai database governativi o dei social network. Tuttavia, è possibile mettere i bastoni tra le ruote ai doxer.
Non rivelate segreti su Internet
Mantenete i vostri dati personali fuori da Internet, specialmente il vostro indirizzo, il numero di telefono e le foto, per quanto possibile. Assicuratevi che le foto che pubblicate non contengano informazioni di localizzazione e che i documenti non contengano informazioni private.
Controllate le impostazioni dei vostri account sui social network
Kaspersky consiglia di scegliere impostazioni rigorose per la privacy sui social network e su altri servizi, di lasciare i profili aperti solo agli amici e di monitorare regolarmente l’elenco dei vostri amici. Potete usare le istruzioni passo dopo passo presenti sul portale Privacy Checker per le impostazioni per la privacy sui social network e su altri servizi.
Proteggete i vostri account dai cybercriminali
Usare una password diversa per ogni account può essere una seccatura (anche se non deve esserlo per forza) ma è una precauzione importante. Se usate la stessa password ovunque e uno dei siti viene coinvolto in una fuga di dati, allora nemmeno le impostazioni privacy più rigorose vi potranno salvare.
Vi consigliamo anche l’uso di un password manager raccomandiamo inoltre di utilizzare l’autenticazione a due fattori ovunque sia possibile, in modo da rafforzare ulteriormente la vostra linea di difesa.
Account di terze parti
Se possibile, evitate di iscrivervi a siti web utilizzando i social network o altri account contenenti i vostri dati reali. Associare un account a un altro rende le vostre attività online più facili da seguire, creando un vincolo tra i vostri commenti e il vostro nome reale.
Per risolvere il problema, è importante avere almeno due account di posta elettronica, riservandone uno per i vostri account con il vostro nome reale e l’altro per i siti web dove preferite rimanere anonimi. Usate anche nickname diversi per risorse diverse, per rendere più difficile la raccolta di informazioni inerenti alla vostra presenza su Internet.
Provate a elaborare un dossier su di voi
Un modo per conoscere lo stato della vostra privacy è quello di diventare doxer per un giorno e di cercare su Internet informazioni che vi riguardano. In questo modo, potrete conoscere eventuali problemi dei vostri account di social network e scoprire quali sono i vostri dati personali in circolazione su Internet. Ciò che trovate può aiutarvi a rintracciare la fonte di tali dati ed eventualmente anche a capire come farli eliminare. Per una vigilanza passiva, potete impostare una notifica su Google che vi informi di ogni nuovo risultato di ricerca sulle query che contengono il vostro nome.
Cancellate le informazioni che vi riguardano
Potete segnalare qualsiasi contenuto che violi la vostra privacy e chiedere ai motori di ricerca e ai social network di cancellare i vostri dati (per esempio, qui ci sono le istruzioni per Google, Facebook, e Twitter). I social network e altri servizi solitamente non permettono la pubblicazione non autorizzata di dati personali come si legge nelle condizioni d’uso, ma in realtà solo le forze dell’ordine possono mettere mano a certe risorse dubbie.
I broker di dati legali normalmente permettono agli utenti di eliminare informazioni personali, ma si tratta di tantissime aziende e rimuovere tutto non sarà facile. Allo stesso tempo, però, ci sono agenzie e servizi che possono aiutarvi a sbarazzarvi di queste tracce digitali. Dovrete trovare un equilibrio tra facilità, accuratezza e costo che faccia al caso vostro.