Кибербезопасность, 04 июл, 13:40

Что такое доксинг, чем он опасен и как от него защититься

Читать в полной версии
Фото: Denis Doyle/ Getty Images
Фотографии вечернего заката из собственной квартиры и полученных посылок, которые мы, не задумываясь, публикуем в соцсети, становятся находкой для злоумышленников. Разбираемся, к чему приводит публикация личных данных

Содержание:

Что такое доксинг

Доксинг — это публикация личной информации о человеке без его согласия с целью травли, шантажа или получения выгоды. Термин происходит от английского производного dox (вариант написания слова docs — документы). Человека, который совершает доксинг, называют доксером.

Доксинг — широко распространенная киберугроза, говорится в исследовании SafeHome, опубликованном весной 2022 года. По данным организации, более 43 млн американцев лично сталкивались с доксингом. Для России это тоже распространенное явление. Согласно опросу, который проводила «Лаборатория Касперского» в 2021 году, почти 20% пользователей приложений для онлайн-знакомств становились жертвами доксинга. Годом ранее, в 2020 году, опрос компании показал, что 64% пользователей в России пытались удалить свои личные данные с сайтов или из социальных сетей. При этом пятая часть опрошенных заявляли, что находили в сети информацию о себе или своих близких, которую не хотели бы видеть в открытом доступе.

Термин доксинг появился в хакерской субкультуре в 1990-х в формулировке «скинуть доки» (dropping dox). Как отмечает журнал Wired, у хакеров-преступников того времени было не так много возможностей отомстить сопернику, так что нарушение анонимности было мощным оружием для травли или даже привлечения правоохранительных органов.

Среди опубликованной злоумышленником информации может быть домашний адрес человека, его место работы, финансовая и медицинская информация, приватные фото и видео, высказывания в соцсетях многолетней давности, фрагменты личной переписки. Представим случай: на дороге вы случайно подрезали чей-то автомобиль. Другой водитель, которому это не понравилось, выложил в сеть (например, в открытую группу в социальной сети) фотографию с номером вашего авто и призывом «найти и наказать неэтичного водителя». Это пример доксинга. Или после разрыва романтических отношений один из партнеров выложил в сеть личную переписку или личные фотографии своего бывшего спутника — это тоже доксинг.

Дата-капитализм: кто владеет информацией в современном мире
Футурология 

Чем опасен доксинг

Цель доксинга — вызвать у человека чувство дискомфорта, страха, беспомощности. Согласитесь, станет мягко говоря неприятно, когда кто-то на всеобщее обозрение выложит результаты медицинских анализов, фрагменты вашей конфиденциальной переписки или неоднозначных высказываний, прикрепив к скриншотам ваш домашний адрес. Практические последствия могут быть самыми разными — от разлада с близкими до увольнения с работы и реальной угрозы жизни.

По словам эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Галова, количество случаев доксинга увеличивается в последние годы. «Такая угроза актуальна не только для определенных граждан или публичных людей — журналистов, политиков, знаменитостей, — по сути, зачастую человеку достаточно иметь недоброжелателей, чтобы стать объектом доксинга», — говорит он. Вот несколько примеров того, как доксинг может навредить в повседневной жизни.

  • Учительница начальных классов не понравилась родителям одного из своих учеников. В родительском чате появились откровенные фотографии учительницы из ночного клуба с призывом отстранить девушку от работы с детьми. Причем фотографии учительница делала и публиковала давно, еще в студенческие годы, и сохранились они только на старой, уже забытой странице в соцсети. Родителей возмутило появление таких снимков в общем чате и они потребовали директора школы уволить учителя, после чего девушка осталась без работы.
  • Экоактивисты обсуждают в отраслевой группе в социальной сети очередной проект по вырубке парка и строительства на его месте нового ЖК. Все против этой градостроительной идеи. Но в ходе обсуждения в комментариях появляется сообщение от пользователя, по мнению которого новое строительство наоборот будет на пользу округу. Спустя пару дней в этой же группе публикуется домашний адрес этого человека и его фотографии с призывом «найти и проучить инакомыслящего». В таком случае личная безопасность гражданина находится под угрозой.

Что хакеры могут узнать о вас по номеру телефона
Индустрия 4.0 

Как доксеры находят информацию

Есть несколько способов, как можно получить конфиденциальные данные о человеке, начиная от обычного мониторинга соцсетей и заканчивая незаконными покупками в даркнете.

IP-адрес

Каждое устройство имеет IP-адрес, который показывает, где используется гаджет. Доксеры могут использовать IP-логгер (часть кода, который не виден пользователю) для отслеживания онлайн-активности жертвы и определения ее местоположения. IP-логгер, как правило, добавляется к электронному письму или сообщению. Как только пользователь открывает сообщение, определяется IP-адрес и отправляется доксеру. Впрочем, обычный человек, зная IP-адрес пользователя, может лишь определить провайдера, которому он принадлежит, а также страну и город, откуда выходили в интернет.

Соцсети

Многие интернет-пользователи имеют личные аккаунты в соцсетях. Мы сами публикуем о себе информацию и даже не задумываемся, что она может быть использована нам во вред. Доксеры могут узнать из профиля дату рождения, место работы/учебы, имена родственников и ближайших друзей. Фотографии могут содержать метаданные, в том числе координаты места съемки. Кроме того, доксеры обращают внимание на мелкие детали, такие как вид из окна, по которому можно определить местоположение; адрес на коробке с посылкой; марку и модель автомобиля.

WHOIS

Если у вас есть свой собственный сайт, то данные, которые вы использовали при получении доменного имени, становятся доступным всем пользователя платформы WHOIS. Любой злоумышленник может получить данные о вас через этого регистратора доменных имен. Среди персональных данных указывается имя, физический адрес, номер телефона, адрес электронной почты.

Брокеры данных

Злоумышленники могут обратиться за информацией об их потенциальной жертве к брокерам данных. Брокеры в свою очередь либо собирают данные из общедоступных источников, либо покупают их у сотовых операторов, банков и т.д. Также брокеры могут получить информацию через утечки персональных данных. Например, в 2022 году произошла утечка базы данных пользователей онлайн-кинотеатра Start, после которой в сети могли распространиться e-mail и телефоны пользователей 43,9 млн аккаунтов. В этом же году в интернет попали телефоны клиентов «Яндекс Еды» и информация об их заказах. Стоимость баз данных может быть разной. Например, в 2021 году СМИ писали о продаже базы данных из 51 тыс. номеров клиентов, предположительно, финансовой организации, за ₽650 тыс.

Даркнет

Наконец, практически любые персональные данные можно незаконно купить в даркнете. По данным «Лаборатории Касперского», на начало 2022 года в русскоязычном сегменте даркнета пакет со сканом паспорта, селфи с паспортом, ИНН, СНИЛС стоил от ₽300, а только скан паспорта с ИНН — в среднем ₽100.

Что такое даркнет и почему там продаются наши данные
Индустрия 4.0 

Доксинг и законодательство

В некоторых странах понятие доксинг с недавних времен закреплено в законодательстве. Например, в Нидерландах с 2021 года закон предусматривает наказание для тех, кто делится частной информацией с целью запугивания. В худшем случае доксер может быть заключен в тюрьму на год. Более строгое наказание можно получить в Гонконге. Законодательство этого региона подразумевает под доксингом распространение частной информации о человеке с целью угрозы, запугивания, харассмента или причинения психологического вреда. Злоумышленник может лишиться свободы на срок до 5 лет и получить штраф в размере 1 млн гонконгских долларов.

Российское законодательство не выделяет доксинг как самостоятельное явление. Однако закон регулирует действия, связанные с доксингом, и предполагает для нарушителя серьезные последствия — вплоть до уголовных статей.

Конфиденциальная информация

Если речь идет о разглашении конфиденциальной информации, которую в принципе нельзя публиковать, тогда все относительно просто — для нарушителя в любом случае наступит ответственность, говорит партнер и руководитель практики интеллектуальной собственности и информационного права Maxima Legal Максим Али. «Ответственность зависит от вида использованной информации — это может быть коммерческая или служебные тайна, персональные данные или что-то еще. Типичной уголовной статьей для доксинга можно назвать статью 137 УК РФ (Нарушение неприкосновенности частной жизни)», — говорит он. Как поясняет юрист, статья предусматривает до двух лет лишения свободы за незаконный сбор или распространение сведений о частной жизни. Также, по его словам, можно представить и случаи вымогательства под угрозой доксинга, что тоже будет считаться преступлением (статья 163 УК РФ). Попутно доксер может совершать и другие преступления. В УК РФ есть отдельные «хакерские» статьи, связанные со взломом компьютерной инфраструктуры — например, статья 272 предполагает наказание за неправомерный доступ к компьютерной информации.

Открытые данные

Другой, более сложный, случай, когда собираются открытые данные. «Например, которые выложил сам пользователь. Но если что-то лежит в открытом доступе, не факт, что вы вправе это использовать. Это справедливо и для интеллектуальной собственности, и для личных данных. За распространение чужих данных из тех же социальных сетей можно получить административный штраф. Правда, штрафы в этой сфере рассчитаны на юридических лиц — для них они подчас составляют сотни тысяч рублей. Но если говорить про «физиков», то даже за неоднократное распространение наиболее чувствительных данных максимальный штраф составит всего ₽20 тыс., поэтому таких нарушителей может стимулировать разве что уголовная ответственность», — говорит Максим Али.

Что такое темные данные и как они вредят планете
Зеленая экономика 

Еще один возможный случай нарушения закона при публикации открытых данных — использование фотографий. Обычно, поясняет юрист, их нельзя использовать без согласия человека. «Те немногие исключения, которые разрешают использовать фото (например, публично значимые цели), не подойдут доксерам», — говорит он. Помимо этого, отмечает Максим Али, у пострадавшего есть возможность потребовать от доксера компенсацию морального вреда.

Как отмечает юрист, отдельно статистики по доксингу не ведется. Но для примера можно посмотреть статистику административных дел, когда нарушителям назначили штрафы за незаконную обработку персональных данных. В 2020 году было рассмотрено 1071 дело, 825 человека получили штрафы на общую сумму порядка ₽10,6 млн. По итогу 2021 года было рассмотрено 704 дела, штрафы получили 503 человека на общую сумму более ₽44,9 млн. В первом полугодии 2022 года было рассмотрено 370 дел, 172 человеку назначены штрафы на сумму ₽30,2 млн. «То есть мы видим тренд на увеличение суммы штрафов с каждым годом: при том, что количество дел либо не увеличивается, либо даже иногда уменьшается», — отмечает юрист.

Если смотреть на бизнес-специфику, то некоторые случаи доксинга, по словам Максима Али, вполне могут оказаться недобросовестной конкуренцией. Тогда делом может заняться ФАС, которая вправе выдать предписание нарушителю, оштрафовать его на полмиллиона рублей и открыть пострадавшему конкуренту дорогу для взыскания в суде упущенной выгоды.

Доксинг и сталкинг

Не следует путать доксинг со сталкингом. Сталкером называют человека, который преследует жертву как онлайн — например, отправляя много сообщений, угрожая опубликовать компрометирующие материалы; так и в реальной жизни — отравляя подарки или поджидая человека где-то на улице. Доксеры действуют только в сети.

Как отмечает член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александра Орехович, доксинг и сталкинг объединяет то, что это неправовые понятия. «Вместе с тем, ответственность за доксинг как и за сталкинг может наступить в зависимости от последствий, способов совершений и целей правонарушителя. Например, если цель доксинга — получения денег путем шантажа жертвы (угрожая раскрыть чувствительную информацию о ней), то действия доксера могут быть квалифицированы как вымогательство и могут повлечь уголовную ответственность», — говорит юрист. Она добавляет, что проблема доксинга не в отсутствии ответственности как таковой, а в отсутствии практической возможности установить лицо, совершившее преступление.

Кто такой сталкер? Как распознать сталкинг и защитить себя
Социальная экономика 

Как защититься от доксинга

Человеку может казаться, что он не станет жертвой доксинга, потому что не совершал каких-то неэтичных поступков, да и привлечь внимание особо ничем не может. Приятно жить с такой мыслью. Но одновременно с этим нужно помнить, что любой человек — ваш бывший друг, обиженный на что-то, или завистливый коллега могут выступить в качестве доксера. Если вы обнаружили публикацию ваших личных данных в сети, прежде всего следует связаться с администратором сайта, где они опубликованы или пожаловаться на соответствующие посты в социальных сетях. Также необходимо сделать скриншоты всех постов, сообщений и страниц, свидетельствующих о доксинге — они могут пригодиться в качестве доказательств при обращении в правоохранительные органы, если до этого дойдет дело.

Превентивные меры всегда лучше. Вот несколько советов, которые дает Дмитрий Галов.

  • Повысить настройки конфиденциальности в соцсетях. Важно минимизировать передачу персональной информации через соцсети. Проверьте настройки конфиденциальности в социальных сетях, лучше закрыть профиль от незнакомых пользователей и удалить из аккаунтов любые адреса, места, геометки.
  • Не публикуйте персональные данные. В ленте соцсетей можно зачастую увидеть, как человек выкладывает фото новых прав, хвастается полученной визой или выкладывает билет на самолет. Все эти данные доксеры могут использовать против вас. Если очень хочется опубликовать какой-то документ, проверьте, чтобы все персональные данные были закрашены. Важно не упрощать жизнь доксерам. Не храните и не передавайте конфиденциальные данные в социальных сетях и чатах, в облачных хранилищах, на форумах. Не передавайте данные о других людях без их согласия третьим лицам. Критически относитесь к тому, что публикуете и о чем рассказываете в интернете.
  • Создайте безопасные пароли. Доксеры могут попытаться взломать ваши личные аккаунты, чтобы получить из них данные. Эксперты советуют использовать надежные пароли: такими считаются комбинации размером от 12 символов из букв в разном регистре, цифр и спецсимволов. Они должны быть разными для каждого аккаунта, для их создания и хранения можно воспользоваться менеджерами паролей.
  • Удалите информацию о себе из интернета. Введите свое имя в поисковиках и проверьте, не попадается ли вам какая-либо личная информация о вас на интернет-форумах, в социальных сетях и т.д. Если такая информация распространена третьими лицами, напишите в поддержку «Яндекса» или Google для ее удаления. Также стоит избавиться от аккаунтов в социальных сетях, которыми больше не пользуетесь.

Как заключает Дмитрий Галов, 100% защиты от доксинга не существует, но соблюдение правил цифровой безопасности помогает сильно снизить риски столкнуться с такой угрозой.

Кибербезопасность Социальные сети IT Как это устроено Россия
Главное