چطور از خود در برابر داکسینگ محافظت کنیم؟

۱۴۰۰/۲/۱۳امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هر بار که چیزی را در شبکه‌های اجتماعی لایک می‌کنید، CV خود را منتشر کرده یا در خیابان با دوربین ازتان مصاحبه‌ای می‌گیرند همه اینها در نهایت به جمع‌آوری اطلاعات در پایگاه‌های اطلاعاتی ختم می‌شود. شاید ندانید به جا گذاشتن ردی از چنین اطلاعات می‌تواند چقدر ارزشمند باشد. هر حرکت شما روی اینترنت و تقریباً هر کاری که در جهان واقعی انجام می‌دهید اطلاعاتی است طلایی. در ادامه با ما همراه شوید تا مفهوم «داکسینگ» را معرفی کرده و توضیح دهیم چطور می‌شود از خود در برابر آن محافظت کنید.

دوچرخه‌سوار، راننده، پدر اشتباهی

بر اساس سه روایت زیر داکسینگ[1] برای همه می‌تواند اتفاق بیافتد:

وقتی پیتر وینبرگِ دوچرخه‌سوار (در شهر مریلند آمریکا) شروع کرد به دریافت پیام‌های توهین‌آمیز و تهدیدهایی از جانب غریبه‌ها متوجه شد اپِ تمرین ورزشی‌اش داشته مسیرهای دوچرخه‌سواری او را نشر می‌داده و فردی هم از این اطلاعات برای استنباط اینکه وینبرگ اخیراً از جایی عبور کرده که در آن کودکی توسط فردی مورد حمله واقع شده بود استفاده کرده بود. و جمعیت همه –به اشتباه- به او هجمه وارد کردند و او را مظنون خواندند. طی این اتفاق آدرس خانه او نیز منتشر شد.

آن سوی دیگر جهان، یک فعال حقوق حیوانات (از سنگاپور) نام و نشانی فردی را که با ماشین سگی را زیر کرده بود منتشر کرد. طبق گفته‌های صاحب ماشین، اتهاماتی که به او در فضای عمومی وارد شد به حرفه‌اش لطمه زد. بعد از آنکه محل کار متهم معلوم شد کلی پست تنفرآمیز به سمت صفحه فیسبوک آن شرکت روانه شد. و بعد مشخص شد فرد دیگری در زمان وقوع تصادف پشت رول آن ماشین بوده است! درست مثل حکایت مشهور کورت اسشیلینگ -بازیکن حرفه‌ای اسبق بیسبال- که توییت‌هایی به دستش رسیده بود مبنی بر اینکه دخترش را ناپاک خوانده بودند. اسشیلینگ نویسندگان این توییت‌ها را ردیابی کرد (به گفته خودش از او کمتر از یک ساعت زمان برده شد)، بر هریک به حد کافی مدرک و شواهد جمع کرد و برخی از این اطلاعات را در بلاگ خویش پست نمود. متخلفانی که به جامعه‌ی بیسبال در ارتباط بودند اخراج شدند و یا ظرف یک روز از تیم‌های ورزشی خود حذف گشتند.

چه اتفاقی افتاد؟

این سه قصه نمونه‌های کوچکی‌اند از داکسینگ. این واژه توصیفگر عمل جمع‌اوری و نشر آنلاین داده‌هایی است که بواسطه آن‌ها فرد دارنده اطلاعات شناسایی می‌شود. همه اینها در شرایطی اتفاق می‌افتد که دارنده داده به نشر آن‌ها راضی نباشد. جدا از اینکه این اقدام بسیار ناخوشایند است، همچنین می‌تواند به زندگی واقعی فرد لطمه بزند، اعتبار، حرفه یا حتی امنیت فیزیکی قربانی را خدشه‌دار کند. انگیزه داکسرها متفاوت است. برخی معتقدند آن‌ها مجرمانی هستند که علاقه به افشای اطلاعات دارند؛ برخی می‌گویند آن‌ها قصدشان ترساندن حریف در فضای آنلاین است و همچنان عده‌ای نظرشان بر این است که آن‌ها می خواهند انتقام بگیرند و تسویه حساب شخصی دارند. پدیده داکسینگ در دهه 90 میلادی ظهور پیدا کرد اما از آن زمان به بعد هر روز دارد ابعاد خطرناک‌تری به خود می‌گیرد (حجم اطلاعات خصوصیِ قابل‌دسترس اکنون بیش از هر زمان دیگری افزایش یافته و دیگر داکسینگ مثل سابق نیازی به مهارت یا مزیت خاص ندارد). ما در این مطلب قرار نیست قانونی بودن یا جنبه اخلاقی داکسینگ را مورد تحلیل قرار دهیم. بعنوان متخصصین امنیت کار ما این است که متودهای داکسرها را برایتان فهرست کرده و راهکارهای محافظتی-امنیتی در این خصوص ارائه دهیم. با ما همراه بمانید:

داکسینگ: نگاهی از داخل

از آنجایی که نه به دانش خاصی نیاز دارد و نه به منابع زیادی، داکسینگ بسیار رایج شده. ابزارهایی که داکسرها استفاده می‌کنند همچنین هم قانونی است و هم برای عموم قابل‌دسترس!

موتورهای جستجو

موتورهای جستجوی معمولی می‌توانند اطلاعات شخصی زیادی را ارائه دهند و استفاده از کارکردهای جستجوی پیشرفته‌شان (برای مثال جستجو میان برخی وبسایت‌ها یا انواع فایل) حتی به داکسرها کمک می‌کند تا سریعتر به این اطلاعات برسند. علاوه بر نام کوچک و نام خانوادگی، اسم مستعار هم می‌تواند به عادات آنلاین فرد خیانت کند. برای مثال، این اقدام رایجِ استفاده از نام مستعار روی چندین وبسایت شناسایی‌های الاین را راحت‌تر می‌کند؛ کاراگاهان آنلاین بدین‌ترتیب می‌توانند از آن برای جمع کردن هر تعداد کامنت و پست‌ از منابع عمومی استفاده کنند.

شبکه‌های اجتماعی

شبکه‌های اجتماعی از جمله آن‌هایی که تخصصی‌ترند –مانند لینکدین- حاوی کلی اطلاعات شخصی هستند. یک پروفایل عمومی با داده‌های واقعی در اصل یک گزارش هویتی تمام عیار و حاضر و آماده به حساب می‌آید. حتی اگر پروفایلی خصوصی باشد و فقط دوستان بتوانند بدان دسترسی داشته باشند هم باز آن کاراگاه آنلاین می‌تواند بخش‌هایی از اطلاعات را با اسکن کردن کامنت‌ها، انجمن‌ها، پست‌های دوستان و غیره‌ی قربانی به دست آورد. و بعد می‌رسیم به مرحله بعدی که مهندسی اجتماعی است:

مهندسی اجتماعی

مهندسی اجتماعی که گل سرسبد بسیاری از حملات است از طبیعت انسان در آن لحظه برای کمک به داکسر در جمع‌آوری اطلاعات سوءاستفاده می‌کند. استفاده از اطلاعات قابل‌دسترسی در فضای عمومی نقطه شروعی می‌تواند باشد برای داکسر که با قربانی ارتباط گرفته و او را به تسلیم اطلاعاتش مجاب کند. برای مثال داکسر شاید خود را جای یک مدیر پزشکی یا نماینده بانک بزند و سعی کند از قربانی اطلاعاتی بگیرد- نقشه‌ای که بسیار هم موفقیت‌آمیز عمل می‌کند.

منابع رسمی

افرادی که در بخش عمومی فعالیت دارند شاید سخت بتوانند گمنامی شبکه اینترنتی خود را حفظ کنند اما این بدان معنا نیست که فقط ورزشکاران یا راک‌استارها هستند که باید از اطلاعات خصوصی‌شان محافظت کنند. داکسر شاید حتی از یک کارمند ساده برای فریب قربانی استفاده کند و اسم و اطلاعات کامل از شرکت مربوطه را دربیاورد. شاید به نظر نقشه‌ای محال باشد اما رسیدن به اطلاعات شرکت می‌تواند پیدا کردن فرد مورد نظر را راحت‌تر کند (به لحاظ جغرافیایی). همچنین فعالیت‌های تجاری هم معمولاً در اینترنت از خود رد و نشانی به جای می‌گذارند. برای مثال در بسیاری از کشورها بخشی از اطلاعات در خصوص مؤسسین شرکت‌ها در فضای آنلاین موجود است. 

بازار سیاه

پیچیده‌ترین متودها عبارتند از استفاده از منابع غیرعمومی نظیر پایگاه‌های اطلاعاتی دستکاری‌شده متعلق به نهادهای دولتی و کسب و کارها. اینطور که مطالعات ما نشان داده، بازار فروش‌های دارک‌نت همه نوع داده شخصی را می‌فروشند از اسکن‌های پاسپورت گرفته (6 دلار به بالا) تا اکانت‌های اپ بانکداری (50 دلار به بالا).

جمع‌آورهای حرفه‌ای داده

داکسرها برخی از کار خود را به دلالان داده برون‌سپاری[2] می‌کنند؛ این دلالان در واقع شرکت‌هایی هستند که داده‌های شخصی جمع‌آوری‌شده از چندین منبع مختلف را میفروشند. دلالی داده یک کار مجرمانه به حساب نمی‌اید! بانک‌ها از داده‌های دلالان برای مقاصد تبلیغاتی یا در قالب آژانس‌های استخدامی استفاده می‌کنند. با این حال متأسفانه همه دلالان داده هم خریدارِ این داده‌ها برایشان مهم نیست!  

اگر داده‌ نشت شد باید چه کار کرد؟

در طی مصاحبه‌ای با Wired، مدیر بخش امنیت سایبری Electronic Frontier Foundation خانم اوا گالپریناظهار داشت اگر شما متوجه شوید از داده‌های شخصی‌تان دارد سوءاستفاده می‌شود باید با هر شبکه اجتماعی که در آن داکسرها اقدام به نشر داده کردند تماس بگیرید. ابتدا با سرویس مشتریان یا پشتیبانی فنی شروع کنید. افشای اطلاعات خصوصی بدون رضایت دارنده معمولاً نقض توافقات کاربر محسوب می‌شود. گرچه این کار مشکل را به کل حل نمی‌کند؛ اما آسیب‌های احتمالی را کاهش خواهد داد. گالپرین همچنین توصیه می‌کند اکانت‌های شبکه اجتماعی خود را بلاک کرده و یا فردی را پیدا کنید که مدتی بعد از حمله اکانت‌های شما را تحت مدیریت خود قرار دهد. درست مانند هر اقدام پسانقض داده‌ای، آسیب را نمی‌توان از بین برد اما می‌شد خونسردی را حفظ کرد و شاید از این طریق جلوی اقدامات بعدی گرفته شود.

راهکارهای امنیتی

پیشگیری همیشه بهتر از درمان است. اما امنیت به این سادگی‌ها حاصل نمی‌شود. شاید نشود تماماً در برابر داکسرها ایستاد اما می‌شود کارشان را بسیار سخت کرد. جوری که از ادامه کار خود پشیمان شوند.

رازهای خود را در اینترنت برملا نکنید

(حتی‌الامکان) اطلاعات شخصی خود را از اینترنت دور نگه دارید خصوصاً آدرس، شماره تلفن و عکس‌هایتان. مطمئن شوید هر عکسی که پست می‌کنید ژئوتگ نداشته باشند و همینطور داکیومنت‌ها هیچ اطلاعات شخصی در خود نداشته باشند.

تنظیمات اکانت شبکه اجتماعی خود را چک کنید

توصیه ما این است که سرسختانه‌ترین تنظیمات حریم خصوصی را برای شبکه‌های اجتماعی و سرویس‌هایی که استفاده می‌کنید انتخاب کنید. بگذارید پروفایل‌هایتان فقط برای دوستان شما باز باشند و هر از چندگاهی فهرست دوستان خود را مورد بررسی و نظارت قرار دهید. شما می‌توانید برای راه‌اندازی شبکه‌های اجتماعی و سایر سرویس‌ها روی پورتال Privacy Checker ما دستورالعمل‌ها را گام به گام پیش روید.

از اکانت‌های خود در برابر هکرها محافظت کنید

استفاده از پسوردی متفاوت برای هر اکانت شاید کار سختی باشد (گرچه قرار نیست چنین باشد) اما راهکار امنیتی مهمی است. اگر همه‌جا از یک پسورد واحد استفاده کنید دیگر راه‌اندازی تنظیمات سخت حریم خصوصی هم کمکتان نخواهد کرد. توصیه ما به شما استفاده از مدیر کلمه عبور است. راهکار ما -Kaspersky Password Manager- نه تنها پسوردها را ذخیره می‌کند که همچنین وبسایت‌ها و سرویس‌هایی را که بدان‌ها دسترسی دارند را نیز ذخیره کرده و فقط به شما یک کلید مستر می‌دهد که به خاطرتان بسپارید. همچنین پیشنهاد می‌کنیم از احراز هویت دوعاملی –هر جا که امکانش باشد- استفاده کنید تا دیوار دفاعی‌تان قوی‌تر شود.

در خصوص اکانت‌های طرف‌سوم زیرکانه عمل کنید

در صورت امکان، در وبسایت‌ها با استفاده از اکانت‌های شبکه‌های اجتماعی یا سایر اکانت‌های خود که داده‌های واقعی‌تان در آنهاست ثبت‌نام نکنید. ربط دادن یک اکانت به دیگری پیگیری فعالیت‌های آنلاین شما را راحت‌تر می‌کند. برای حل این مشکل دست‌کم دو اکانت ایمیل بسازید- یکی برای اکانت‌هایی که با اسم واقعی‌تان هستند و دیگری برای وبسایت‌هایی که ترجیح می‌دهید در آن‌ها گمنام بمانید. از نام‌های مستعار مختلف برای منابع مختلف استفاده کنید تا جمع‌آوری اطلاعات در خصوص حضور اینترنتی‌تان سخت‌تر شود.

سعی کنید برای خود مدرک و شواهد جمع کنید

یکی از روش‌هایی که می‌توانید متوجه وضعیت حریم خصوصی خود شوید این است که نقش یک داکسر را بازی کنید و در اینترنت بگردید دنبال اطلاعاتی که از شما موجود است. بدین‌ترتیب می‌توانید مشکلات مربوط به اکانت‌های شبکه اجتماعی خود را متوجه شده و سر در بیاورید چه بخش‌هایی از داده‌های شما در اینترنت پخش شده است. یافته‌های شما به ردیابی منبع کمک می‌کند و حتی باعث می‌شود بتوانید آن‌ها را پاک کنید. همچنین می‌توانید گوگل را طوری تنظیم کنید که اگر هر نتیجه سرچی با نام شما وارد شد به شما خبر دهد.

اطلاعات خود را پاک کنید

شما می‌توانید هر محتوایی را که حریم خصوصی‌تان را نقض می‌کند گزارش دهید و از موتورهای جستجو و شبکه‌های اجتماعی بخواهید تا داده‌های شما را پاک کنند. شبکه‌های اجتماعی و سایر سرویس‌ها معمولاً نشر غیرقانونی داده‌های خصوصی را بنا بر خط‌مشی استفاده‌ای که دارند ممنوع کرده‌اند اما در واقعیت تنها مقامات اجرای قانون هستند که می‌توانند برخی منابع مشکوک را مدیریت کنند. کارگزاران قانونی داده در حالت طبیعی به افراد اجازه می‌دهند تا داده‌های شخصی خود را پاک کنند اما با توجه به تعداد بالای این شرکت‌ها شاید پاک کردن همه موارد انقدرها هم آسان نباشد. در عین حال، آژانس‌ها و سرویس‌هایی هم هستند که می‌توانند به از بین بردن رد و نشان‌های دیجتال کمک کنند. این دست شماست که آنی را انتخاب کنید که هم مبلغ مقرون به صرفه‌ای ازتان بگیرد و هم آنقدرها روش پیچیده‌ای نداشته باشند.

توصیه‌هایی خلاصه اما مفید

فرد می‌تواند هر زمانی توسط ترفند داکسینگ مورد هدف قرار بگیرد (چه با علت و چه بی‌علت). این راهکارها به شما کمک می‌کند تا حریم خصوصی آنلاین خود را حفظ کنید:

  •         داده‌های شخصی خود را از فضای اینترنت دور نگ دارید- اسم واقعی، آدرس، محل کار و غیره.
  •         نگذارید غریبه‌ها اکانت‌های شبکه اجتماعی شما را ببینند. همچنین از احراز هویت دو عاملی و پسوردهای قوی و منحصر به فرد استفاده کنید. برای مدیریت رمزهای عبور Kaspersky Password Manager را نصب کنید.
  •         برای ثبت نام در یک سرویس از اکانت سرویسی دیگر استفاده نکنید- خصوصاً اگر یکی از آن‌ها حاوی اطلاعات واقعی شما باشد.
  •         پیش‌قدم باشید: سعی کنید از خودتان زودتر در قالب یک داکسر اطلاعات جمع کنید و از هر سرویسی که از شما زیاد می‌داند درخواست حذف اطلاعات کنید.
  •         همه اکانت‌های خود را یکجا حذف کنید. شاید این فاحش‌ترین اقدام تدافعی باشد و ما به شما کمک می‌کنیم چطور این کار را در نهایت حفظ داده‌های مهم‌تان در آن‌ها انجام دهید.

داکسینگ نه تنها جهان دیجیتال فرد را خراب می‌کند که حتی جهان واقعی او را نیز به خطر می‌اندازد.

 

[1] DOXING، عمل تحقیق و نشر دادن عمومی اطلاعات شخصی یا اطلاعات شناسایی کننده (به‌ویژه اطلاعاتی که منجر به شناسایی افراد می‌شود) دربارهٔ یک فرد یا سازمان است که بر مبنای اینترنت انجام می‌گیرد.

[2] OUTSOURCING



منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.