How to protect yourself from doxing.

人肉搜索的定义

术语“人肉搜索 (Doxing)”是“droping dox”的缩写,“dox”代表文档 (documents)。通常,人肉搜索是一种恶意行为,用于攻击黑客不认同或不喜欢的人。

什么是人肉搜索?

人肉搜索是一种在网上泄露某人的身份信息的行为,例如他们的真实姓名、家庭住址、工作场所、电话、财务信息和其他个人信息。然后,未经受害者的允许,这些信息就被公开发布。

虽然在未经当事人同意的情况下公开个人信息的做法早已出现在互联网上,但在上世纪 90 年代,将匿名视为神圣权利的网络黑客世界中才出现了人肉搜索 这个术语。彼此敌对的黑客之间的争执有时会导致某人决定对其他人(以前只知道他们的用户名或别名)执行人肉搜索。“文档 (Docs)”变成了“dox”,并最终变成了一个动词(即没有前缀“drop”)。

人肉搜索的定义已经延伸到黑客圈子以外,如今指的是个人信息泄露。虽然该术语仍用于描述揭示匿名用户的身份,但是,当我们大多数人在社交媒体中使用真实姓名时,这方面的含义如今已不那么相关。

最近,人肉搜索已成为文化大战中的一种工具,敌对黑客会对其他阵营持相反观点的人执行人肉搜索。人肉搜索者旨在通过揭示以下信息,将与目标对象的冲突从网络升级到现实世界:

  • 家庭住址
  • 工作场所详细信息
  • 个人电话号码
  • 社会保险号码
  • 银行账户或信用卡信息
  • 私人信件
  • 犯罪历史记录
  • 个人照片
  • 令人尴尬的个人详细信息

人肉搜索攻击的范围很广,从相对琐碎的事件(例如虚假的电子邮件注册或披萨快递),到危险程度更大的事件(例如骚扰某人的家人或雇主、身份盗用、威胁或其他形式的网络欺凌行为,甚至是当面骚扰)。

名人、政客和新闻记者受到人肉搜索困扰,使他们遭受网络暴民的骚扰,担心自己的安全 - 甚至在极端情况下还面临死亡威胁。这种做法也已经蔓延到了出名的公司高管身上。例如,当宝洁公司的吉列剃须刀发布“We Believe”广告时(该广告针对不得体的男性行为进行了说教),有人在 4chan 上公开分享了首席品牌官 Marc Pritchard 的 LinkedIn 个人资料,并且号召他人对 Marc 实施网暴行为。

人肉搜索在 2011 年 12 月被主流所认知,当时,黑客主义者组织 Anonymous 披露了 7,000 名执法人员的详细信息,以回应对黑客活动开展的调查。自那时以来,Anonymous 已对数百名据称的 3K 党成员发起人肉搜索,他们的最新目标包括 Q-Anon 支持者。

人肉搜索背后的动机各不相同。人们感觉自己受到攻击目标的攻击或侮辱,因此可能会寻求报复。如果某人因支持某种有争议观点而闻名,他们可能会针对具有相反观点的人发起攻击。不过,这往往是在话题极度两极化的情况下,而非日常的政治分歧。

在网上故意泄露他人的个人信息通常是为了惩罚、恐吓或侮辱相关受害者。也就是说,人肉搜索者也可能将自己的行为视为一种手段,以纠正其认定的错误行为,当众将某人绳之以法,或公开以前未公开的事项。

不管动机如何,人肉搜索的核心目的都是侵犯隐私,这种行为会让人们感到不安 - 有时甚至会带来可怕的后果。

人肉搜索的工作原理

我们生活在大数据时代;互联网上的个人信息浩瀚如海,人们对这些信息的控制往往比他们想象的要少。这意味着任何有时间、动机和兴趣的人都可以将数据变成武器。

用于对人执行人肉搜索的一些方法包括:

跟踪用户名

许多人在各种服务中使用相同的用户名。这使潜在的人肉搜索者可以了解目标的兴趣以及他们如何在互联网上花费时间。

在域名上运行 WHOIS 搜索

拥有域名的任何人都将其信息存储在注册表中,该注册表通常可以通过 WHOIS 搜索公开获取。假设购买域名的人在购买时并未掩盖其私人信息。在这种情况下,任何人都可以在线获得其个人身份信息(例如他们的姓名、地址、电话号码、公司和电子邮件地址)。

网络钓鱼

如果某人使用不安全的电子邮件帐户,或成为了网络钓鱼诈骗的受害者,则黑客可以发现敏感电子邮件并将其发布在网上。

追踪社交媒体

如果您的社交媒体帐户是公开的,那么任何人都可以通过网络追踪来找到有关您的信息。他们可以找出您的位置、工作场所、朋友、照片、喜好、您访问过的地方、家人的名字、宠物的名字,等等。通过此信息,人肉搜索者甚至可以找出您的安全问题的答案 - 这将有助于他们入侵其他在线帐户。

How to prevent doxing.

详查政府记录

尽管大多数个人记录无法在线获取,但可以在政府网站上收集大量信息。示例包括营业执照、郡记录、结婚证、DMV 记录和选民登记日志的数据库 - 全都包含个人信息。

跟踪 IP 地址

人肉搜索者可以使用多种方法来发现您的 IP 地址,该地址与您的实际位置相关联。一旦知道 IP 地址,他们便可以对互联网服务提供商(ISP) 使用社会工程技巧来发现有关您的更多信息。例如,他们可以对 IP 地址的所有者提出投诉,或尝试入侵网络。

反向手机查询

一旦黑客知道您的手机号码,他们就可以找到有关您的更多信息。例如,Whitepages 等反向电话查询服务使您可以键入手机号码(或任何电话号码),以查找拥有该号码的人的身份。Whitepages 等网站收费提供与手机号码相关的信息(不仅仅包括城市和州信息)。但是,愿意付款的人可以通过您的手机号码找到有关您的其他个人信息。

数据包嗅探

有时,数据包嗅探这一术语与人肉搜索有关。这是指人肉搜索者拦截您的互联网数据,并查找您的所有信息 - 从您的密码、信用卡号、银行账户信息,到旧的电子邮件消息。人肉搜索者通过连接到在线网络,破解其安全措施,然后捕获流入和流出网络的数据来实现上述目的。保护自己免受数据包嗅探的一种方法是使用 VPN

使用数据代理

数据代理的作用是收集有关某人的信息并出售该信息以牟利。数据代理可从公共记录、会员卡(跟踪您的在线和离线购买行为)、在线搜索历史记录(您搜索、阅读或下载的所有内容)以及其他数据代理中收集信息。许多数据代理将其信息出售给广告商,但是,一些人肉搜索网站以相对较少的金额提供了有关个人的全面记录。人肉搜索者要做的只是支付这笔小额费用,便可获得足够的信息来对某人执行人肉搜索。

通过跟踪分散在互联网上的浏览痕迹(有关某人的一小部分信息),人肉搜索者可以建立人员概况,从而发现别名后面的真人身份,包括该人的姓名、实际地址、电子邮件地址、电话号码等。人肉搜索者可能还会在暗网上买卖个人信息。

找到的信息可能用在威胁性行为中,例如,为了回应分歧,而针对某人发布推文。人肉搜索可能重点不在于信息的公布,而是在于恐吓或骚扰攻击目标。例如,知道您的地址的人可以找到您或您的家人。拥有您的手机号码或电子邮件的人可以用消息轰炸您,从而破坏您与支持网络进行通信的能力。最后,知道您的姓名、出生日期和社会保险号码的人也可能侵入您的帐户或窃取您的身份。

任何有决心、有时间、能上网并且有动机的人都可能整理出他人的一份个人资料。而且,如果这种人肉搜索行动的攻击目标使他们的信息在网上变得相对公开,那么,攻击将变得更加容易。

人肉搜索的示例

最常见的人肉搜索情况通常分为以下三类:

  1. 在线发布个人的私人身份信息。
  2. 在网上揭露以前未知的私人信息。
  3. 在网上发布私人信息可能会损害人员声誉以及其个人和/或职业伙伴的声誉。

一些最著名和最常引用的人肉搜索示例包括:

Ashley Madison

Ashley Madison 是一个在线约会网站,该网站的目标用户是那些已经有伴侣但想要找点刺激的人。一个黑客团体对 Ashley Madison 的管理层提出了要求。由于他们的需求没有得到满足,该团体公布了大量敏感的用户数据,导致数百万人遭受人肉搜索,并使他们蒙羞、尴尬,并有可能损害他们的个人和职业声誉。

狮子 Cecil

来自明尼苏达州的一名牙医非法狩猎并杀死了生活在津巴布韦野生动物保护区中的一头狮子。他的一些身份信息被公布,导致更多个人信息公开发布到网上,这些发布人对他的行为感到不安,并希望看到他受到公开惩罚。

波士顿马拉松爆炸案

在搜寻波士顿马拉松爆炸案的肇事者期间,Reddit 社区中成千上万的用户共同搜集了有关事件和随后调查的新闻和信息。他们打算向执法部门提供信息,然后他们可以用来寻求正义。事与愿违,此事件披露的是与罪行无关的无辜者,造成了错误的迫害行为

人肉搜索是非法的吗?

人肉搜索可能彻底破坏人们的生活,因为它可能使目标人群及其家庭遭受在线和现实世界的骚扰。但这是非法的吗?

通常情况下,并不是:如果公开的信息属于公共领域,并且使用合法方法获得,则人肉搜索往往并不违法。话虽如此,根据您所在的司法管辖区,人肉搜索可能会违反旨在打击跟踪、骚扰和威胁的法律。

它还取决于披露的特定信息。例如,公开某人的真实姓名不如透露其家庭住址或电话号码严重。但是,在美国,对政府雇员进行人肉搜索违反了联邦阴谋法,被视为联邦罪行。由于人肉搜索是一种相对较新的现象,因此围绕它的法律正在不断发展,而且并不总是十分明确。

无论法律如何,人肉搜索都违反了许多网站的服务条款,因此可能会被禁止。这是因为人肉搜索通常被认为有违道德,并且大多是出于恶意意图,旨在恐吓、勒索和控制他人。使他们遭受潜在的骚扰、身份盗窃、侮辱、失业和家人与朋友的抵触。

如何保护您自己免遭人肉搜索侵害

面对在线提供的大量搜索工具和信息,几乎任何人都可能成为人肉搜索的受害者。

如果您曾经在在线论坛上发帖,参加过社交媒体网站,签署了在线请愿书或购买了财产,则您的信息已公开提供。此外,在公共数据库、郡记录、州记录、搜索引擎和其他存储库中搜索数据的任何人都可以轻松获得大量数据。

虽然这些信息可供真正想要查找的人使用,但是您可以采取一些步骤来保护您的信息。这包括:

使用 VPN 保护您的 IP 地址

VPN(虚拟专用网络)为防止暴露 IP 地址提供了出色的保护。VPN 可接收用户的互联网流量,对其进行加密,然后通过 VPN 服务的其中一台服务器将其发送,然后再进入公共互联网 - 允许您匿名浏览互联网。Kaspersky Secure Connection 可在公共 Wi-Fi 上为您提供保护,使您的通信保持私密,并确保您不会遭受网络钓鱼、恶意软件、病毒和其他网络威胁。

使用良好的网络安全做法

反病毒和恶意软件检测软件可以阻止人肉搜索者通过恶意应用程序窃取信息。定期更新的软件有助于防止可能导致您遭遇黑客攻击和人肉搜索的任何安全“漏洞”。

使用强密码

密码通常包含大写和小写字母以及数字和符号的组合。避免对多个帐户使用相同的密码,并确保定期更改密码。如果您很难记住这么多密码,可以试着使用密码管理器。

为不同的平台分别使用不同的用户名

如果您使用的是 Reddit、4Chan、Discord、YouTube 等在线论坛,请确保为每个服务使用不同的用户名和密码。如果使用相同的凭据,人肉搜索者可以在不同平台上搜索您的评论,从这些信息中拼凑出您的详细画像。您应该针对不同的目的使用不同的用户名,这将使他人更加难以跟踪您在多个站点上的活动。

针对不同目的创建单独的电子邮件帐户

考虑出于不同的目的(职业、个人和垃圾邮件)维护单独的电子邮件帐户。您可以保留您的个人电子邮件地址,以便与亲密的朋友、家人和其他受信任的联系人进行私人通信;避免公开列出此地址。您的垃圾电子邮件地址可以用来注册帐户、服务和促销。最后,您的职业电子邮件地址(无论您是自由职业者还是附属于特定组织)可能需要公之于众。与面向公众的社交媒体帐户一样,避免在电子邮件地址中包含太多身份信息(例如,避免使用 firstname.lastname.dateofbirth@gmail.com)。

在社交媒体上检查并最大程度提升您的隐私设置

检查社交媒体资料上的隐私设置,并确保您对共享的信息量以及与谁共享信息感到满意。

策略性规划针对哪个目的使用哪个平台。如果您出于个人原因使用平台(例如在 Facebook 或 Instagram 上与朋友和家人共享照片),请收紧隐私设置。假设您出于职业目的使用平台(例如监视 Twitter 上的突发新闻和在 Twitter 上发布指向您的工作的链接)。在这种情况下,您可以决定公开某些设置 - 在这种情况下,请避免包含敏感的个人信息和图像。

使用多因素身份验证

这意味着您和尝试访问您帐户的任何其他人都需要至少两次身份验证才能登录到网站,通常分别是使用您的密码和电话号码。它使黑客更难获得个人设备或在线帐户的访问权限,因为仅知道受害者的密码是不够的;他们还需要获得 PIN 码。

清理过时的资料

检查有多少个网站拥有您的信息。尽管像 MySpace 这样的网站现在可能已经过时,但十年前发布的个人资料仍然可见,并且可以公开访问。这适用于您以前可能一直活跃使用的任何网站。如果可能,请尝试删除过时的和旧的/未使用的资料。

警惕网络钓鱼电子邮件

人肉搜索者可能会使用网络钓鱼诈骗来欺骗您,以泄露您的家庭住址、社会保险号甚至密码。每当您收到一条可能来自银行或信用卡公司的消息并要求您提供个人信息时,请保持警惕。金融机构绝不会通过电子邮件要求您提供此信息。

从 WHOIS 隐藏域名注册信息

WHOIS 是 Web 上所有已注册域名的数据库。该公共注册簿可用于确定拥有给定域的个人或组织、其实际地址以及其他联系信息。

如果您打算匿名运行网站而不公开您的真实身份,请确保您的个人信息保持私密,并且对 WHOIS 数据库隐藏。域名注册商可以控制这些隐私设置,因此您需要向域名注册公司咨询如何操作。

要求 Google 移除信息

如果个人信息出现在 Google 搜索结果中,则个人可以请求将其从搜索引擎中移除。Google 提供了一份在线表单,因此操作起来非常容易。许多数据代理通常会在网上放置这种类型的数据,以进行背景调查或获取犯罪调查信息。

清理您的数据

您可以从数据代理站点中移除您的信息。如果您想自己执行此操作,而不产生任何费用,则可能会耗费大量人力。如果时间有限,请首先从三大批发商开始:Epsilon、Oracle 和 Acxiom。

您将需要定期检查这些数据库,因为,即使您的信息已被移除,也可能会有其他机构再次发布。您还可以付费使用 DeleteMePrivacyDuckReputation Defender 之类的服务来为您完成此任务。

警惕在线测验和应用程序权限

在线测验看似无害,但它们常常是您未多加考虑而乐意提供的个人信息的丰富来源。测验的某些部分甚至可以用来探究密码的安全问题。由于很多测验在向您展示结果之前,都会要求您向其授予查看您的社交媒体信息或电子邮件地址的权限,所以他们可以轻松将这些信息与您的真实身份联系在一起,但您获得的背景信息非常有限,很难得知是谁发起了这些测验,很可能也不清楚最好为什么根本不要参加这类测验。

移动应用程序也是个人数据的来源。许多应用程序要求获得您的数据或设备的访问权限,而这些访问权限与该应用程序软件完全无关。例如,图像编辑应用程序与您的联系人没有逻辑关联。如果它要求访问您的相机或照片,这是说得通的。但是,如果它也想查看您的联系人、GPS 位置和社交媒体资料,请谨慎操作。

避免泄露某些类型的信息

尽可能避免公开披露某些信息,例如您的社会保险号码、家庭住址、驾照号码以及有关银行账户或信用卡号的任何信息。请记住,黑客可能会拦截电子邮件,因此您不应在其中包含私人详细信息。

检查对您自己执行人肉搜索的难易程度

最好的防御措施是使人肉搜索者更难追踪您的私人信息。通过检查可以找到有关您的哪些信息,您可以发现自己遭受人肉搜索的难易程度。例如:

  • 在 Google 上搜索您自己。
  • 执行反向图像搜索。
  • 审核您的社交媒体资料,包括隐私设置。
  • 使用 com 等网站,检查您的电子邮件帐户是否包含在重大数据泄露事件中。
  • 检查简历、个人档案和个人网站,以查看职业资料传达的个人信息。如果您在线提供了简历的 PDF 文件,请确保排除家庭住址、个人电子邮件和手机号码之类的详细信息(或将其替换为该信息面向公众的版本)。

设置 Google 提醒

为您关注的全名、电话号码、家庭住址或其他私人数据设置 Google 提醒,这样您就可以知道它是否突然出现在网上,如果出现这种情况,那么就可能意味着您已遭到人肉搜索。

避免为黑客提供对您执行人肉搜索的理由

请注意您在网上发布的内容,切勿在论坛、留言板或社交媒体网站上共享私人信息。显而易见,互联网赋予了人们随意表达自我的自由,他们可以在网络上输入任何内容。人们可能会认为,创建匿名身份可以使他们有机会表达自己想要表达的任何观点,无论是否存在争议,他们都不会被追查。但是,正如我们所看到的,情况并非如此 - 因此,谨慎对待您在网上的言论是明智之举。

如果您成为人肉搜索的受害者,该怎么办

对人肉搜索最常见的反应是恐惧,甚至是极度恐慌。这种危机感是可以理解的。人肉搜索的意图就是破坏您的安全感,让您惊慌失措。如果您成为人肉搜索的受害者,可以采取以下步骤:

进行举报

向发布了您的个人信息的平台举报此类攻击。搜索相关平台的服务条款或社区准则,以确定针对此类攻击的举报过程并予以遵循。填写一次表单,将其保存以备将来使用(这样您将来就不必反复执行相同的操作)。这是阻止传播您的个人信息的第一步。

联系执法部门

如果人肉搜索者对您构成人身威胁,请与您当地的警察部门联系。指向您的家庭住址的任何信息或财务信息都应被视为头等大事,尤其是在存在实质威胁的情况下。

记录

截屏或下载已发布您的信息的页面。尝试确保日期和 URL 可见。这些证据对于您自己进行参考至关重要,并且可以帮助执法部门或其他相关机构。

保护您的财务账户

如果人肉搜索者已经发布了您的银行账户或信用卡号,请立即向您的金融机构报告。您的信用卡提供商可能会取消您的信用卡并向您发送一张新卡。您还需要更改网上银行和信用卡账户的密码。

锁定您的帐户

更改密码,使用密码管理器,在可能的情况下启用多因素身份验证,并在您使用的每个帐户上加强隐私设置。

向朋友或家人寻求支持

人肉搜索可能会在情感上造成负担。请您信任的人来帮助您解决问题,使您不必独自应对。

由于可以轻松访问在线个人信息,使得人肉搜索成为了一个严重的问题。在网络世界中保持安全并不总是那么容易,但是,遵循网络安全最佳做法可能会有所帮助。我们建议您使用 Kaspersky 的全面安全解决方案,该解决方案可以保护您免受 PC 上病毒的侵害,保护和存储您的密码和私人文档,并通过 VPN 加密您在线收发的数据。

相关文章:

什么是人肉搜索 – 定义和解释


Kaspersky Logo