Doxing là gì? Cách thức hoạt động của Doxing

Khi truy cập Internet bạn có thể bảo vệ thông tin cá nhân bằng cách sử dụng chế độ ẩn danh. Tuy nhiên bạn không nên chủ quan bởi người lạ có thể thực hiện hành động doxing để ăn cắp bí mật riêng tư của bạn.

Vậy Doxing là gì? Doxing hoạt động như thế nào? Làm thế nào để chống lại doxing? Hãy cùng BKHOST tìm hiểu trong bài viết dưới đây.

Doxing là gì?

Doxing là viết viết tắt của “dropping dox” (dox là tiếng lóng của các tài liệu). Doxing là một hành động gây hại cho người khác, nó được các hacker sử dụng để công khai những thông tin cá nhân của đối thủ hoặc những người mà chúng muốn chống lại.

Doxing hiểu đơn giản chính là một hình thức đe dọa trực tuyến thông qua việc tiết lộ tên, địa chỉ, nhà riêng, nơi làm việc, số điện thoại và các thông tin quan trọng khác của một ai đó. Những thông tin này sẽ được công khai rộng rãi trên mạng Internet mà chưa có sự cho phép của nạn nhân.

Thuật ngữ doxing lần đầu tiên xuất hiện là vào năm 1990 khi các hacker tiết lộ thông tin của những người ẩn danh hoặc nặc danh. Những cuộc xung đột giữa các hacker sẽ dẫn tới việc chúng quyết định vạch mặt đối thủ.

Hiện tại định nghĩa về doxing đã mở rộng ra ngoài thế giới của cộng đồng hacker. Nó được biết đến như một hành động phơi nhiễm thông tin cá nhân trực tuyến. Gần đây doxing còn trở thành công cụ trong các cuộc chiến tranh văn hóa để nhắm vào những phe phái không đi chung con đường với họ.

Các cuộc tấn công doxing có thể nhỏ lẻ hoặc phức tạp. Có những cuộc tấn công nguy hiểm gây ra những tổn thất nặng nề như quấy rối gia đình của một ai đó, đánh cắp danh tính, đe dọa tính mạng…Phần lớn đối tượng mà doxing hướng tới là những người nổi tiếng, chính trị gia, nhà báo.

Có người dùng doxing để trả thù vì họ bị tấn công hay xúc phạm. Có người lại thực hiện doxing để trừng phạt hay hạ bệ danh tiếng của những người khác. Bất kể là vì mục đích gì thì điều cốt lõi của doxing là xâm phạm quyền riêng tư và nó khiến mọi người rơi vào những tình huống khó xử, đôi khi còn ảnh hưởng cả tính mạng.

Doxing hoạt động như thế nào?

Internet giống như một đại dương rộng lớn, mênh mông và ở đó chứa lượng dữ liệu cực lớn. Điều này có nghĩa là những thông tin cá nhân của người dùng mạng sẽ trở thành vũ khí để kẻ xấu lợi dụng. Và chúng sẽ thực hiện hành động doxing với những mục đích như:

Theo dõi tên người dùng

Nhiều người sử dụng một tên hoặc tên tương tự nhau cho các tài khoản trên các website hoặc ứng dụng web. Điều này cho phép những kẻ lừa đảo theo dõi và thu thập dữ liệu từ các tài khoản để biên soạn một tư liệu tiết lộ thông tin cá nhân của họ.

Chạy tìm kiếm WHOIS trên một tên domain

Teen, địa chỉ, số điện thoại, doanh nghiệp, địa chỉ email của bạn sẽ có trong sổ đăng ký khi bạn sở hữu một tên domain. Thông tin này sẽ được công khai khi ai đó tìm kiếm WHOIS nếu như trong quá trình đăng ký tên domain bạn không tùy chọn ẩn thông tin.

Lừa đảo

Nếu tài khoản email của bạn bị ai đó xâm phạm thì họ có thể ăn cắp thông tin nhạy cảm của bạn và đăng chúng lên mạng. Bên cạnh đó kẻ xấu còn có thể truy cập tài khoản và sử dụng email của bạn để thực hiện hành động doxing với một đối tượng khác.

Theo dõi mạng xã hội

Bất kì ai cũng có thể tìm hiểu về bạn thông qua mạng xã hội nếu như tài khoản của bạn ở chế độ công khai. Họ có thể tìm thấy nơi ở, nơi làm việc, bạn bè của bạn, hình ảnh, tên các thành viên trong gia đình…Doxer sẽ sử dụng những thông tin đó để phân tích về bạn và đột nhập vào các tài khoản trực tuyến khác của bạn.

Sàng lọc hồ sơ chính phủ

Thông qua website của chính phủ doxer có thể tìm được một lượng lớn thông tin của những hồ sơ cá nhân không có sẵn trực tuyến. Ví dụ như doxer sẽ lấy thông tin của bạn thông qua giấy phép kinh doanh, hồ sơ quận, giấy phép kết hôn, nhật ký đăng ký cử tri…

Theo dõi địa chỉ IP

Bằng nhiều phương pháp khác nhau, doxer có thể khám phá địa chỉ IP của bạn vì địa chỉ này có liên kết với vị trí bạn ở. Sau khi biết được điều này doxer có thể giả danh là bạn để liên hệ với nhà cung cấp dịch vụ internet (ISP) của bạn để thu thập thêm thông tin về bạn.

Đảo ngược tra cứu điện thoại di động

Hacker có thể tìm hiểu thêm về bạn khi chúng biết số điện thoại di động của bạn. Chẳng hạn như doxer có thể sử dụng dịch vụ Whitepages để sử dụng dịch vụ tra cứu điện thoại ngược để tìm ra danh tính của người sở hữu số đó.

Packet sniffing

Packet sniffing đề cập tới việc doxer chặn dữ liệu internet của bạn để tìm kiếm mật khẩu, số thẻ tín dụng, thông tin tài khoản ngân hàng, địa chỉ email…Doxer sẽ thực hiện hành động đó bằng cách kết nối với một mạng trực tuyến và vượt qua hàng rào bảo mật sau đó thu thập dữ liệu và thoát ra ngoài.

Data broker

Data broker là thuật ngữ chỉ hành động thu thập thông tin của ai đó ở những hồ sơ công khai trên web hoặc từ lịch sử trình duyệt để bán cho nhà quảng cáo hoặc cho người mua trên dark web. Ngoài ra những thông tin còn được dùng để đe dọa, quấy rối.

Ví dụ về doxing

Doxing tiết lộ trực tuyến thông tin riêng tư của một cá nhân, tiết lộ thông tin của một người lạ trên mạng, tiết lộ thông tin của một cá nhân để gây tổn hại về danh tiếng của cá nhân đó và tổ chức, cộng sự của họ. Một số ví dụ nổi tiếng thể hiện rõ nét hành động doxing như:

Ashley Madison

Ashley Madison là một website hẹn hò trực tuyến cho những ai đã kết hôn có nhu cầu ngoại tình. Một nhóm hacker đã đưa ra những yêu cầu đối với ban quản lý website này. Tuy nhiên những yêu cầu này không được chấp nhận và nhóm hacker đã phát hành dữ liệu nhạy cảm. Hành động doxing này đã gây ra sự bẽ bàng và ảnh hưởng danh tiếng của hàng triệu người.

Cecil the Lion

Một con sư tử được bảo vệ ở Zimbabwe đã bị một nha sĩ đến từ Minnesota săn và giết chết. Trên mạng internet đã tiết lộ một số thông tin nhận dạng vị nha sĩ này dẫn tới hàng loạt thông tin cá nhân bị đăng tải công khai và anh ta phải đối mặt với sự chỉ trích của công chúng.

Đánh bom cuộc thi Marathon ở Boston

Sau vụ đánh bom cuộc thi Marathon ở Boston hàng nghìn người trong cộng đồng Reddit đã lùng sục tin tức về sự kiện và cung cấp những thông tin có được cho cơ quan điều tra. Tuy nhiên những thông tin họ cung cấp đã gây ra một cuộc truy lùng làm xáo trộn cuộc sống của nhiều người.

Doxing có bất hợp pháp không?

Doxing có thể hủy hoại cuộc sống của cá nhân và các thành viên trong gia đình. Thế nhưng nó lại không vi phạm pháp luật nếu những thông tin được tiết lộ được thu thập bằng hình thức hợp pháp.

Doxing vi phạm pháp luật hay không còn phụ thuộc vào thông tin mà nó công khai trước công chúng. Ví dụ như việc tiết lộ tên thật của ai đó sẽ không nghiêm trọng bằng cung cấp địa chỉ, số điện thoại của họ. Trường hợp doxing gây ra các vụ lừa đảo, tống tiền, đe dọa tính mạng thì sẽ trái với pháp luật và được coi là phi đạo đức.

Làm thế nào để bảo vệ bạn khỏi doxing?

Bất cứ ai tham gia các hoạt động trực tuyến đều có thể trở thành nạn nhân của doxing vì những thông tin cá nhân thường được công bố rộng rãi trên internet. Để bảo vệ bản thân trước sự quấy rối của doxing bạn có thực hiện những hành động sau:

• Sử dụng VPN để bảo vệ địa chỉ IP: Khi cài đặt và sử dụng VPN thiết bị của bạn sẽ được kết nối an toàn với một server VPN để tránh các cuộc tấn công từ phần mềm độc hại hoặc hacker.
• Thực hành tốt an ninh mạng: Phần mềm chống virus và phần mềm phát hiện độc hại sẽ ngăn chặn và kịp thời “vá” những lỗ hổng bảo mật.
• Sử dụng mật khẩu mạnh: Mật khẩu mạnh sẽ là sự kết hợp giữa chữ hoa, chữ thường, số và ký tự đặc biệt. Ngoài ra bạn không nên sử dụng cùng một mật khẩu cho những tài khoản khác nhau và thường xuyên thay mật khẩu.
• Sử dụng tên khác nhau cho các nền tảng: Ví dụ như khi bạn tham gia các diễn đàn bạn nên đặt tên và mật khẩu riêng biệt cho từng dịch vụ. Mục đích của hành động này là để doxer khó theo dõi chuyển động của bạn trên các website.
• Tạo tài khoản email riêng cho các mục đích khác nhau: Bạn nên lập tài khoản email riêng biệt cho các mục đích khác nhau. Địa chỉ email cá nhân chỉ để trao đổi thư từ với những người thân thiết. Địa chỉ email spam dùng để đăng ký tài khoản, dịch vụ. Còn địa chỉ email chuyên nghiệp có thể công khai.
• Nên cài đặt các chế độ hợp lý trên mạng xã hội: Tùy vào những trường hợp khác nhau để bạn cài đặt chế độ riêng tư hay công khai trên mạng xã hội để đảm bảo không bị rò rỉ những thông tin nhạy cảm, riêng tư.
• Sử dụng xác thực đa yếu tố: Có nghĩa là khi có ai đó cố gắng truy cập vào tài khoản của bạn thì phải trải qua các bước xác thực phức tạp.
• Loại bỏ các cấu hình lỗi thời: Những cấu hình lỗi thời có thể tạo lỗ hổng để hacker ăn cắp dữ liệu của bạn. Vì thế hãy cố gắng xoá các cấu hình cũ nếu có thể.
• Cảnh giác với email lừa đảo: Nếu có tin nhắn từ ngân hàng hay công ty phát thẻ tín dụng gửi đến email của bạn yêu cầu cung cấp thông tin cá nhân thì bạn nên cảnh giác. Thông qua hành động đó doxer có thể lừa đảo bạn để bạn tiết lộ mật khẩu, số tài khoản…
• Ẩn thông tin khi đăng ký tên domain khỏi WHOIS: Khi đăng ký tên domain bạn nên để chế độ ẩn danh thông tin để không có ai có thể tìm kiếm được những thông tin đó thông qua cơ sở dữ liệu WHOIS.
• Yêu cầu Google xóa thông tin: Nếu thông tin cá nhân của bạn xuất hiện trong kết quả tìm kiếm của Google thì bạn có thể yêu cầu Google xóa thông tin đó.
• Xóa dữ liệu của bạn: Bạn có thể tự mình xoa thông tin cá nhân khỏi các website data broker. Nếu bạn không có thời gian để làm việc này thì hãy liên hệ với các đơn vị như Epsilon, Oracle và Acxiom.
• Cảnh giác với các câu đố trực tuyến: Đôi khi những câu đố trực tuyến có vẻ vô hại lại khiến bạn vô tình cung cấp những thông tin cá nhân cho kẻ xấu.
• Tránh tiết lộ thông tin: Tốt nhất là bạn nên cảnh giác, không nên tiết lộ thông tin như số an sinh xã hội, địa chỉ nơi ở, tài khoản ngân hàng…trước công chúng.
• Kiểm tra mức độ rò rỉ thông tin: Cách tốt nhất để kẻ xấu khó theo dõi thông tin của bạn đó là tự mình xem xét những thông tin đó dễ dàng bị ăn cắp không. Bạn có thể kiểm tra hồ sơ mạng xã hội, kiểm tra tính bảo mật của các tài khoản…
• Thiết lập cảnh báo Google: Với những thông tin như họ tên, số điện thoại, địa chỉ nhà riêng, dữ liệu cá nhân bạn nên thiết lập cảnh báo google để tránh bị xâm hại.
• Không nên “tạo điểm nhấn” trên các diễn đàn: Hãy cẩn thận với những gì bạn chia sẻ trên các diễn đàn hay mạng xã hội. Nên khôn ngoan trước lời nói, hành động của mình để tránh sự chú ý của hacker.

Phải làm gì nếu bạn trở thành nạn nhân doxing?

Khi bị doxing tấn công bạn không nên hoang mang, sợ hãi vì chính sự hoảng loạn đó sẽ khiến bạn rối trí, không tìm ra phương án xử lý. Dưới đây là những việc bạn nên làm nếu trở thành nạn nhân của doxing:

• Báo cáo cuộc tấn công bạn gặp phải đến các nền tảng mà thông tin cá nhân của bạn được đăng tải trên đó.
• Liên hệ với cảnh sát địa phương nếu có người dùng thông tin cá nhân để đe dọa bạn.
• Chụp ảnh hoặc tải xuống các trang đã đăng tải những thông tin riêng tư của bạn. Đây là bằng chứng để cơ quan pháp luật thực thi nhiệm vụ.
• Báo cáo với tổ chức tài chính khi doxer công bố số tài khoản ngân hàng, số thẻ tín dụng của bạn công khai.
• Thay đổi mật khẩu, bật tính năng xác thực đa yếu tố để bảo mật các tài khoản của bạn.
• Nhờ người thân, bạn bè hỗ trợ khi vấn đề vượt qua khả năng của bản thân.

Tổng kết về Doxing

Doxing thực sự sẽ gây ra những phiên hà, rắc rối cho bạn và gia đình. Hy vọng với những kiến thức có được ở bài viết trên bạn sẽ biết cách phòng tránh doxing đồng thời tìm ra hướng đi tốt nhất khi bị hacker tiết lộ những bí mật riêng tư.

Nếu bạn có thắc mắc về Doxing, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.