Wat is doxing?
Doxing is het openbaren van persoonlijke informatie over een individu met als doel de ware identiteit van dat individu te onthullen, het individu in het openbaar belachelijk te maken of politiek wraak te nemen. De betekenis van doxing is te herleiden naar de uitdrukking “dropping docs” (documenten lekken). Bij doxingaanvallen wordt geprobeerd de persoonsgegevens of identiteit van specifieke personen op internet te openbaren.
Doxing heeft zich sinds de jaren 90 van de vorige eeuw als aanvalsmethode ontwikkeld. ‘Gedoxt worden’ betekende dat een rivaliserende hacker of gamer “documenten lekte” aan anderen om de ware identiteit te openbaren van een tegenstander met een alias. “Docs” werd na verloop van tijd “dox” (of “doxx”), en nu wordt doxing niet alleen meer gebruikt door hackers die scans op het dark web uitvoeren om hun concurrenten zwart te maken.
De precieze betekenis van doxing staat nog niet vast. Van livestreamgamers die de pseudoniemen van tegenstanders openbaren tot journalisten die de echte identiteit van controversiële TikTok-aliassen, louche bedrijven en politici onthullen: wat ooit een specifieke verzameling acties was (altijd met kwade bedoelingen), ligt nu genuanceerder.
Tegenwoordig kan iedereen beweren slachtoffer van doxing te zijn. Het verantwoordelijk houden van machtige mensen zou nu negatief kunnen worden aangemerkt als doxing, maar daarbij wordt de echte betekenis nogal opgerekt. Generatie Z'ers zeggen zelfs weleens van zichzelf dat ze zich tot doelwit van doxing hebben gemaakt: “Oeps, ik heb te veel persoonlijke informatie online gezet of een niet erg flatteuze selfie gepost. Ik heb mezelf totaal gedoxt.”
Internet heeft het mogelijk gemaakt dat iedereen iets over een ander kan openbaren, inclusief boze werknemers, jaloerse rivalen en schimmige hackers. Of doxing nu wordt gedefinieerd als een vorm van cyberpesten of als nieuwe methode om mensen aan te spreken op hun daden: de kans bestaat dat het begrip doxing veel ruimer wordt dan ooit was bedoeld.
Doxing is eng, omdat het de kwetsbaarheid van onze persoonlijke identiteit blootlegt. Met behulp van een paar eenvoudige onlinetrackingtools of het ongemerkt achterhalen van iemands IP-adres kunnen doxers informatie openbaren op een manier waar je je zelfs met goede gewoonten op het gebied van anoniem browsen en onlineprivacy niet altijd tegen kunt beschermen.
Doxing kan worden gebruikt als methode om iemand verantwoordelijk te houden voor zijn daden of als een manier om wraak te nemen. Het kan ook verwijzen naar het onopzettelijk overenthousiast delen van informatie op social media.
Waarom zou iemand u doxen?
Mensen kunnen u doxen uit wraak, om u ergens verantwoordelijk voor te houden of omdat ze beledigd zijn door iets wat u hebt gedaan. Doxing kan zowel worden aangewakkerd door een sterk rechtvaardigheidsgevoel als door agressie, afhankelijk van iemands perspectief. Traditioneel werd je doelwit van doxing als iemand uit was op vergelding.
Iedereen over wie informatie op internet staat, kan worden gedoxt. Beroemdheden, publieke figuren en politici zijn vaak het doelwit van doxing. Op doxingwebsites kunnen mensen ook onterecht worden beschuldigd van een controversiële mening of overtuiging, en soms wordt er een ongemakkelijke waarheid onthuld. De vaak als activistisch aangemerkte hackersgroep Anonymous voert al sinds 2011 doxingaanvallen uit.
Hoe correct of integer de documenten ook zijn die worden gelekt in een doxingaanval: de daad kan het doelwit in gevaar brengen, vooral wanneer diens digitale identiteit fysieke locaties en details onthult. Het openbaren van persoonsgegevens zoals iemands telefoonnummer, thuisadres en andere informatie die hoog op de wensenlijst staat van gegevenshandelaren kan ook onbedoeld leiden tot identiteitsdiefstal.
Is doxing illegaal?
Of doxing illegaal is hangt af van de manier waarop de informatie is verzameld en van het resultaat van de doxingaanval. In de Verenigde Staten kan doxing volgens de wet als een misdaad worden aangemerkt als de gegevens illegaal zijn verkregen of als de doxingaanval is gekoppeld aan cyberpesten of intimidatie.
In de VS is het meermaals misgegaan met doxing, bijvoorbeeld toen een man overleed aan een hartaanval nadat zijn thuisadres op internet was gezet en er op de verkeerde gronden een arrestatieteam naar zijn huis was gestuurd. De persoon die verantwoordelijk was voor het doxen van het adres van de man kreeg een gevangenisstraf van vijf jaar, ook al was hij niet degene die de politie had gebeld.
Is het illegaal om iemands persoonsgegevens openbaar te maken? Niet per se. Als de gegevens beschikbaar zijn in openbare archieven, op een legale manier zijn verkregen en geen deel uitmaken van een grotere intimidatie- of stalkmethode, is het niet noodzakelijkerwijs illegaal om iemand te doxen.
Maar over het algemeen is doxing niet toegestaan op social-mediaplatforms zoals Instagram, Facebook, Twitter en Reddit. Doxing is een schending van de gebruiksvoorwaarden en kan tot een ban leiden.
Soorten doxing
Doxing kan verschillende vormen aannemen. Je kunt iemand doxen met diens telefoonnummer door het te gebruiken als toegangspoort naar andere vertrouwelijke gegevens. Er bestaat ook een type doxing waarbij een IP-adres wordt bekendgemaakt, wat een belangrijke aanwijzing kan zijn voor het achterhalen van iemands thuisadres. Maar alle doxingtechnieken worden gebruikt voor hetzelfde doel: zoveel mogelijk informatie over een doelwit verkrijgen.
Zo kunnen doxingaanvallen ontstaan:
-
Social media
Iemand kan u cyberstalken op Facebook, Twitter, TikTok of welk social-mediaplatform dan ook om informatie over u te verzamelen. Door zwakke privacyinstellingen kunnen uw volledige naam, uw adres, uw telefoonnummer, het adres van uw werk, de namen van uw gezinsleden en zelfs de naam van uw hond worden achterhaald.
-
IP-doxing
Er is sprake van IP-doxing, in combinatie met social engineering, wanneer een doxer het IP-adres van een doelwit achterhaalt en gebruikt om diens internetprovider over te halen persoonlijke informatie over die persoon te verstrekken.
-
Gebruikersnamen traceren
Door gebruikersnamen van meerdere websites aan elkaar te koppelen, kunnen doxers een gedetailleerd beeld krijgen van degene die ze willen doxen. Dat werkt vooral goed als een doxer de ware identiteit wil onthullen die schuilgaat achter een pseudoniem.
-
Phishing
Phishing is iemand overhalen om een schadelijke website te bezoeken of om op een geïnfecteerde koppeling te klikken. Omdat spear-phishingaanvallen zijn gericht op specifieke individuen, kunnen ze een gevaarlijke toegangspoort tot doxing vormen. Phishing gebeurt vaak via e-mail, maar wees ook bedacht op smishing (sms-phishing) en vishing (voice-phishing).
-
Gegevenshandelaren
Gegevenshandelaren putten uit een rijke bron van schrikbarend persoonlijke gegevens en verkopen alles aan vrijwel iedereen. U zou misschien denken dat gegevenshandelaren gebruikmaken van spyware of een hinderlijke keylogger om toegang te krijgen tot uw gegevens, maar ze stellen de identiteit van een persoon in feite samen op basis van openbare bronnen en onlineactiviteiten.
-
Omgekeerd zoeken met een telefoonnummer
Als doxers een telefoonnummer kunnen bemachtigen, kunnen ze nog veel, veel meer. In apps en op websites die de mogelijkheid bieden om omgekeerd te zoeken met een telefoonnummer, wordt beloofd dat je daarmee thuisadressen kunt achterhalen of op zijn minst de stad waar een telefoonnummer is geregistreerd.
-
Whois-zoekopdracht
Whois is een gratis toegankelijke tool waarmee je kunt zien welke persoon of personen er achter een websitedomein zitten. De meeste informatie, bijvoorbeeld volledige namen, telefoonnummers en adressen, kan worden ingesteld op privé. Maar eigenaars van een domein denken er bij het registreren van een website niet altijd aan om die bescherming in te stellen.
Doxers gebruiken beschikbare informatie online over u om te achterhalen wie u bent. Elk stukje persoonlijke informatie online kan worden gebruikt in een doxingaanval.
Voorbeelden: beroemde doxinggevallen
Bij de bekendste voorbeelden van doxing zijn beroemdheden en politici betrokken. Doxing van gewone mensen komt minder snel in het nieuws. Soms is het doelwit van doxing een slachtoffer van onlinemisbruik. Soms zijn de rollen omgedraaid en worden doxers zelf gedoxt.
Voorbeelden van beroemdheden die doelwit zijn geweest van doxing, zijn Kim Kardashian, Jay Z, Cardi B, JK Rowling en Donald Trump. Bij een opzienbarend doxingincident werden de burgerservicenummers, hypotheken, creditcardnummers, bankgegevens en zelfs details van autoleningen van beroemdheden online geplaatst.
Een tragisch voorbeeld van doxing was toen Sunil Tripathi zelfmoord pleegde toen hij ten onrechte werd gedoxt als de man achter de bomaanslag tijdens de marathon van Boston. En het waren niet alleen individuele burgerwachttypen die een foto van Sunil openbaarden en beweerden dat hij achter de aanslag zat. Ook bekende journalisten trokken die tragische conclusie.
In een mislukte poging om racisten die deelnamen aan een mars van neonazi's aan de schandpaal te nagelen, doxten internetspeurhonden ten onrechte professor Kyle Quinn van de University of Virginia. Toen zijn foto op internet verscheen naast die van een fakkeldragende demonstrant in een T-shirt van Arkansas Engineering, werd in een wilde uitwisseling van tweets opgeroepen de professor te royeren.
Een extreme vorm van doxing waarbij online-onthullingen veranderen in gevaarlijke situaties in het echte leven is ‘swatting’. Swatting is een doxingmethode waarbij aanvallers op jacht gaan naar het huisadres van een doelwit om een nepmisdaad aan te geven. De politie – of soms een arrestatieteam – staat dan ineens op de stoep van een nietsvermoedende persoon, klaar voor een confrontatie.
Een ander voorbeeld van omgekeerde doxing is toen honkballer Curt Schilling twee anonieme Twitter-gebruikers openbaar maakte die beledigende berichten naar zijn dochter stuurden. De berichten waren zo expliciet en ongepast dat het leidde tot het ontslag van een van de mannen.
Wat u als doxingslachtoffer kunt doen
Wat u moet doen als u het slachtoffer wordt van doxing? Er zijn verschillende maatregelen die u kunt nemen om uzelf te beschermen tegen verdere intimidatie. Een daarvan is verzoeken om privé-informatie te laten verwijderen van de websites waarop de informatie wordt gehost.
Als u het slachtoffer bent van doxing, kunt u het volgende doen:
-
Doe aangifte van doxing bij de politie.
Doxing kan worden beschouwd als een cybermisdaad waar u woont, en moet dus serieus genomen worden. Geef doxing aan voordat het uitloopt op een ernstigere misdaad, vooral als u identiteitsdiefstal moet aangeven als gevolg van gelekte informatie.
-
Meld doxing op social media.
Facebook, Twitter of andere social media waarop doxing voorkomt, moeten een eenvoudige manier bieden om een melding te maken en de informatie te verwijderen. Gebruik de opties “Misbruik melden” of “Beledigend of schadelijk gedrag rapporteren” om doxing te melden. Daarmee kunt u verdere intimidatie en toekomstige doxingaanvallen mogelijk voorkomen.
-
Wijzig gebruikersnamen en wachtwoorden.
Een doxer teert op stukjes informatie die kunnen leiden tot meer informatie. Door uw gebruikersnamen te veranderen, blokkeert u verdere toegang tot uw digitale aanwezigheid. Als een doxer op een dieper niveau toegang tot uw accounts heeft gekregen, is het van cruciaal belang om ook uw wachtwoorden te wijzigen.
-
Bekijk de informatie die de doxer over u heeft.
Hebben ze openbaar beschikbare gegevens van social media openbaar gemaakt? Dan kunt u misschien achterhalen waar de gedoxte informatie vandaan komt. Controleer uw privacyinstellingen en uw openbare zichtbaarheid, en pas eventueel social-mediamachtigingen aan. U kunt zelfs overwegen nieuwe accounts te maken.
-
Stel uw bank op de hoogte.
Het lijkt misschien onnodig, maar door doxing te melden bij uw bank kunnen ze u helpen met het in de gaten houden van verdachte transacties en ongebruikelijke activiteit. Bij verschillende doxingaanvallen zijn persoonlijke financiële gegevens op straat komen te liggen, bijvoorbeeld creditcard- en bankgegevens.
Doxing voorkomen
Bij doxing draait alles om zichtbaarheid. Hoe u uw gegevens online deelt, uw wachtwoorden instelt en oude accounts beheert, bepaalt hoe kwetsbaar u bent voor doxing. Onderstaande anti-doxingtactieken helpen u niet alleen ongewenste openbaring te voorkomen, maar ook cyberstalkers en telefoon-spoofing te vermijden.
Dit zijn de beste manieren om doxing te voorkomen:
-
Gebruik sterke wachtwoorden.
Verbeter uw persoonlijke beveiliging door voor al uw accounts sterke wachtwoorden te gebruiken die u niet vergeet. Als een potentiële doxer toegang krijgt tot één account, hebben ze vaak ook toegang tot andere. Gebruik dus altijd unieke wachtwoorden en tweevoudige verificatie voor het aanmelden bij accounts.
-
Stel lekmeldingen in.
Gebruik een betrouwbaar hulpprogramma voor gegevenscontrole dat u waarschuwt als er ooit persoonlijke gegevens van u uitlekken bij een gegevenslek.
-
Maak verbinding via een virtueel privénetwerk.
Er zijn veel redenen om een VPN te gebruiken. Eén daarvan is om uw browseactiviteiten te beschermen tegen onlinepottenkijkers en potentiële doxers. En de voordelen van een VPN gaan veel verder dan doxingpreventie.
-
Denk na voordat u iets post.
Overenthousiast delen op social media verhoogt het risico op doxing. Denk na over wie uw content te zien krijgt en controleer of uw Facebook-gegevens zijn uitgelekt.
-
Sluit oude accounts.
Goede ‘digitale hygiëne’ (bijvoorbeeld oude e-mailaccounts sluiten in het kader van uw e-mailbeveiliging, en online- of e-commercecommunity's verlaten die u niet meer gebruikt) kan doxing helpen voorkomen.
Uw persoonlijke gegevens beschermen met AVG BreachGuard
Doxers bijten zich vast in de kleinste stukjes informatie die ze online over u kunnen vinden. Voorkom dat uw persoonlijke gegevens in verkeerde handen vallen of op het dark web terechtkomen waar hackers ze kunnen vinden of tegen u kunnen gebruiken.
AVG BreachGuard houdt nieuwe gegevenslekken in de gaten en waarschuwt u als er persoonlijke gegevens van u worden aangetroffen bij een gegevenslek. Vervolgens helpt het programma u met het beveiligen van uw persoonlijke gegevens voordat ze in verkeerde handen vallen. Met AVG BreachGuard kunt u voorkomen dat doxers en andere verdachte figuren in het bezit komen van uw persoonsgegevens.