Come difendersi dal doxing

Al giorno d’oggi, elaborare un dossier su un qualsiasi utente di Internet è più facile di quanto si possa pensare. Cosa è il doxing e quali sono le tecniche utilizzate?

Ogni volta che mettete “mi piace” a qualcosa su un social network, vi unite a una community di vicini del vostro quartiere, pubblicate il vostro CV o venite ripresi da una telecamera stradale, tutte queste informazioni si immagazzinano e accumulano nei database. Forse non avete idea di quanto tutte queste informazioni, ogni azione su Internet e quasi ogni azione nel mondo reale, vi rendano vulnerabili ad attacchi esterni.

Ciclista, autista e padre sbagliati

Il doxing può colpire chiunque, come dimostrano questi tre aneddoti.

Quando il ciclista del Maryland Peter Weinberg ha iniziato a ricevere messaggi di insulti e minacce da sconosciuti, ha capito che la sua app di allenamento stava pubblicando i suoi percorsi in bicicletta e che qualcuno li aveva usati per dedurre che Weinberg era recentemente passato non lontano dal luogo in cui era stato aggredito un bambino. La gente lo ha rapidamente, ed erroneamente, identificato come sospetto e ha trovato e pubblicato il suo indirizzo. Purtroppo, però, i successivi tweet di smentita e altri chiarimenti sono stati condivisi molto meno rispetto alle informazioni originali.

Dall’altra parte del mondo, un attivista per i diritti degli animali di Singapore ha pubblicato il nome e l’indirizzo di una persona la cui auto aveva investito un cane, esortandola di “andare all’inferno”. Secondo la proprietaria dell’auto, le accuse pubbliche hanno danneggiato la sua carriera: dopo che i vigili hanno capito dove lavorava, vari post di insulti e offese hanno colpito la pagina Facebook dell’azienda. Si dà il caso che un’altra persona fosse alla guida dell’auto al momento dell’incidente.

Una variante della stessa situazione ha coinvolto l’ex professionista del baseball Curt Schilling, che ha trovato dei tweet su sua figlia che considerava inappropriati e offensivi. Schilling ha rintracciato gli autori (a suo dire, ci ha messo meno di un’ora), ha raccolto un dossier considerevole su ognuno di loro e ha pubblicato una parte di queste informazioni sul suo blog. Gli autori dei tweet, che fanno parte del mondo del baseball, sono stati licenziati o allontanati dalle loro squadre dopo un solo giorno.

Cosa è successo?

Tutte e tre le storie sono dei semplici esempi di doxing. Con questa parola ci si riferisce alla raccolta e alla pubblicazione online di dati personali identificativi senza il consenso del proprietario. Oltre ad essere sgradevole, può avere pesanti conseguenze nella vita reale, colpendo la reputazione della vittima, il suo lavoro e può minacciare persino la sua incolumità fisica.

Le motivazioni dei doxer (ovvero chi pratica il doxing) possono essere di vario tipo. Alcuni credono di smascherare dei criminali, altri cercano di intimidire i propri avversari online, altri ancora lo fanno per vendicarsi di torti personali. Il fenomeno del doxing è emerso negli anni ’90, ma da allora è diventato sempre più pericoloso e al giorno d’oggi, con il volume di informazioni private disponibili a tutti, il doxing non richiede davvero abilità o privilegi speciali.

Non siamo qui per analizzare la legalità o l’etica del doxing. Come esperti di sicurezza, il nostro compito è quello di delineare i metodi dei doxer e darvi dei consigli su come difendervi.

Doxing: uno sguardo dall’interno

Poiché non richiede né conoscenze speciali, né molte risorse, il doxing è diventata una pratica molto comune. Anche gli strumenti che usano i doxer tendono ad essere legittimi e pubblici.

Motori di ricerca

I normali motori di ricerca possono offrire molte informazioni personali e, grazie alle funzionalità di ricerca avanzate (per esempio, la ricerca su specifici siti web o di tipi di file), possono aiutare i doxer a trovare le informazioni giuste più velocemente.

Oltre al nome e al cognome, anche un nickname può tradire le abitudini online di una persona. Per esempio, la pratica comune di usare lo stesso nickname su diversi siti web rende le cose più facili per gli investigatori online, che possono usarlo per aggiungere commenti e post da qualsiasi fonte pubblica.

Social network

I social network, compresi quelli professionali come LinkedIn, contengono una grande quantità di dati personali.

Un profilo pubblico con dati reali è fondamentalmente un dossier già pronto. Anche se un profilo è privato o aperto solo agli amici, un investigatore esperto può raccogliere informazioni spulciando tra i commenti della vittima, le community, i post degli amici e così via. Aggiungete poi una richiesta di amicizia, magari da qualcuno che si spaccia per un recruiter e si passa al livello successivo, ovvero l’ingegneria sociale.

Ingegneria sociale

Punto cardine di molti attacchi, l’ingegneria sociale sfrutta la natura umana per aiutare i doxer a ottenere informazioni. Utilizzando come punto di partenza le informazioni pubbliche disponibili su un’azienda, un doxer può contattare la vittima e convincerla a concedere informazioni personali. Per esempio, un doxer potrebbe spacciarsi per un impiegato del settore sanitario o per un rappresentante bancario per cercare di estorcere informazioni dalla vittima, uno stratagemma che funziona molto meglio se si aggiunge qualche briciolo di verità come esca.

Fonti ufficiali

I personaggi pubblici tendono ad avere più difficoltà a mantenere l’anonimato in rete, ma questo non significa che le rock star e gli atleti professionisti siano gli unici a dover salvaguardare le proprie informazioni personali.

Un doxer può anche sfruttare il profilo del datore di lavoro per tradire la fiducia di una potenziale vittima di doxing, servendosi ad esempio del nome completo e della foto sulla pagina aziendale “Chi siamo”, oppure prendendo le informazioni di contatto complete sul sito della divisione aziendale interessata. Sembrerebbe tutto molto innocente e legittimo, tuttavia le informazioni generali dell’azienda vi avvicinano geograficamente alla persona obiettivo, e la foto può portare al suo profilo sui social network.

Anche le attività commerciali lasciano tipicamente tracce su Internet; per esempio, in molti paesi sono disponibili a tutti diverse informazioni su chi ha fondato un’azienda.

Mercato nero

I metodi più sofisticati includono l’uso di fonti non pubbliche, come i database compromessi appartenenti a enti governativi e aziende.

Come i nostri studi hanno dimostrato, nei mercati della darknet si vendono dati personali di tutti i tipi, dalle scansioni dei passaporti (dai 6 dollari in su) agli account delle app bancarie (dai 50 dollari in su).

Raccoglitori di dati professionali

I doxer esternalizzano parte del loro lavoro ai data broker, aziende che vendono dati personali raccolti da varie fonti. Non si tratta di un’attività criminale personalizzata: le banche usano i dati dei broker, così come le agenzie pubblicitarie e di recruiting. Purtroppo, però, non tutti i broker di dati si preoccupano di verificare chi acquista questi dati.

Cosa fare se siete stati coinvolti in una fuga di dati

In un’intervista su Wired Eva Galperin, direttrice della Electronic Frontier Foundation per la sicurezza informatica, suggerisce di mettersi in contatto con i social network su cui i doxer hanno pubblicato i dati senza il consenso dell’interessato; si può iniziare con il servizio clienti o con l’assistenza tecnica. La divulgazione di informazioni private senza il consenso del proprietario costituisce normalmente una violazione dei termini d’uso. Anche se questa mossa non risolverà completamente il problema, dovrebbe ridurre i danni potenziali.

Galperin consiglia anche di bloccare gli account dei social network o di trovare qualcuno che gestisca gli account per un po’ di tempo dopo un attacco. Come avviene con altre misure disponibili in situazioni di questo genere, non può annullare il danno, ma potrebbe evitare stress aggiuntivo  e alcune situazioni difficili online.

Come difendersi dal doxing

Di sicuro l’ideale sarebbe ridurre la probabilità di una fuga di dati invece affrontarne le conseguenze. Esserne immuni, però, non è compito facile. Per esempio, difficilmente si possono evitare un dump di dati o le fughe di informazioni dai database governativi o dei social network. Tuttavia, è possibile mettere i bastoni tra le ruote ai doxer.

Non rivelate segreti su Internet

Mantenete i vostri dati personali fuori da Internet, specialmente il vostro indirizzo, il numero di telefono e le foto, per quanto possibile. Assicuratevi che le foto che pubblicate non contengano informazioni di localizzazione e che i documenti non contengano informazioni private.

Controllate le impostazioni dei vostri account sui social network

Vi consigliamo di scegliere impostazioni rigorose per la privacy sui social network e su altri servizi, di lasciare i profili aperti solo agli amici e di monitorare regolarmente l’elenco dei vostri amici. Potete usare le istruzioni passo dopo passo presenti sul nostro portale Privacy Checker per le impostazioni per la privacy sui social network e su altri servizi.

Proteggete i vostri account dai cybercriminali

Usare una password diversa per ogni account può essere una seccatura (anche se non deve esserlo per forza) ma è una precauzione importante. Se usate la stessa password ovunque e uno dei siti viene coinvolto in una fuga di dati, allora nemmeno le impostazioni privacy più rigorose vi potranno salvare.

Vi consigliamo anche l’uso di un password manager. La nostra soluzione Kaspersky Password Manager non solo custodisce le password ma ricorda anche i siti web e i servizi per cui servono, lasciandovi solo una master key da memorizzare. Raccomandiamo inoltre di utilizzare l’autenticazione a due fattori ovunque sia possibile, per rafforzare ulteriormente la vostra linea di difesa.

Giocate d’astuzia con gli account di terze parti

Se possibile, evitate di iscrivervi a siti web utilizzando i social network o altri account contenenti i vostri dati reali. Associare un account a un altro rende le vostre attività online più facili da seguire, creando un vincolo tra i vostri commenti e il vostro nome reale.

Per risolvere il problema, è importante avere almeno due account di posta elettronica, riservandone uno per i vostri account con il vostro nome reale e l’altro per i siti web dove preferite rimanere anonimi. Usate anche nickname diversi per risorse diverse, per rendere più difficile la raccolta di informazioni inerenti alla vostra presenza su Internet.

Provate a elaborare un dossier su di voi

Un modo per conoscere lo stato della vostra privacy è quello di diventare doxer per un giorno e di cercare su Internet informazioni che vi riguardano. In questo modo, potrete conoscere eventuali problemi dei vostri account di social network e scoprire quali sono i vostri dati personali in circolazione su Internet. Ciò che trovate può aiutarvi a rintracciare la fonte di tali dati ed eventualmente anche a capire come farli eliminare. Per una vigilanza passiva, potete impostare una notifica su Google che vi informi di ogni nuovo risultato di ricerca sulle query che contengono il vostro nome.

Cancellate le informazioni che vi riguardano

Potete segnalare qualsiasi contenuto che violi la vostra privacy e chiedere ai motori di ricerca e ai social network di cancellare i vostri dati (per esempio, qui ci sono le istruzioni per Google, Facebook, e Twitter).

I social network e altri servizi solitamente non permettono la pubblicazione non autorizzata di dati personali come si legge nelle condizioni d’uso, ma in realtà, solo le forze dell’ordine possono mettere mano a certe risorse dubbie.

I broker di dati legali normalmente permettono agli utenti di eliminare informazioni personali, ma si tratta di tantissime aziende e rimuovere tutto non sarà facile. Allo stesso tempo, però, ci sono agenzie e servizi che possono aiutarvi a sbarazzarvi di queste tracce digitali. Dovrete trovare un equilibrio tra facilità, accuratezza e costo che faccia al caso vostro.

Consigli veloci

Si può essere presi di mira dal doxing in qualsiasi momento, con o senza un motivo apparente. Questi consigli vi aiuteranno a preservare la vostra privacy online:

  • Lasciate i vostri dati personali (nome reale, indirizzo, luogo di lavoro e così via) fuori da Internet;
  • Non consentite l’accesso a estranei ai vostri account sui social network e usate password robuste e uniche, oltre all’autenticazione a due fattori. Per gestire le vostre password, installate Kaspersky Password Manager;
  • Evitate di usare l’account di un servizio per accedere a un altro, soprattutto se uno di questi account contiene i vostri dati reali;
  • Siate proattivi: provate a elaborare un dossier su voi stessi e richiedete la cancellazione dei dati da tutti quei servizi che sanno troppo di voi;
  • Considerate la possibilità di eliminare del tutto gli account. È un metodo radicale (anche se disfattista) per contrastare il doxing, e noi possiamo aiutarvi a farlo nel modo giusto preservando i dati importanti;

Il doxing rappresenta solo un’incursione dei dati online nella vita reale, ma potrebbe rovinarvi la vita. Per questo pubblichiamo regolarmente notizie e informazioni pratiche sul doxing e su come difendervi.

Consigli