Trong khi sử dụng Internet, bạn có thể bảo vệ thông tin cá nhân của mình bằng cách sử dụng chế độ ẩn danh. Tuy nhiên, bạn không nên lơ là vì những kẻ xấu có thể thực hiện hành vi Doxing để đánh cắp thông tin riêng tư của bạn.
Vậy Doxing là gì và hoạt động như thế nào? Làm thế nào để ngăn chặn Doxing? Hãy cùng tìm hiểu trong bài viết sau đây.
Doxing là gì
Doxing, một thuật ngữ bắt nguồn từ “dropping dox” (dox là tiếng lóng của tài liệu), là một hành động có hại được tin tặc sử dụng để tiết lộ công khai thông tin cá nhân của đối thủ hoặc những người mà chúng muốn trả đũa.
Nói một cách đơn giản, doxing là một hình thức đe dọa trực tuyến thông qua việc tiết lộ trái phép thông tin cá nhân như tên, địa chỉ, nhà riêng, nơi làm việc, số điện thoại và các chi tiết quan trọng khác của một người nào đó. Những mẩu thông tin này được lưu hành rộng rãi trên Internet mà không có sự đồng ý của nạn nhân.
Thuật ngữ doxing xuất hiện lần đầu tiên vào năm 1990 khi tin tặc tiết lộ thông tin của các cá nhân ẩn danh hoặc có bút danh. Xung đột giữa các tin tặc sẽ khiến họ tiết lộ danh tính của đối thủ.
Hiện tại, định nghĩa về doxing đã mở rộng ra ngoài cộng đồng hacker. Nó được biết đến như một hành động lộ thông tin cá nhân trực tuyến. Gần đây, doxing đã trở thành một công cụ trong cuộc chiến văn hóa nhằm vào những người không cùng quan điểm.
Các cuộc tấn công doxing có thể nhỏ hoặc phức tạp. Một số cuộc tấn công nguy hiểm và dẫn đến tổn thất nghiêm trọng như quấy rối gia đình của ai đó, đánh cắp danh tính và đe dọa tính mạng. Hầu hết các mục tiêu dox là người nổi tiếng, chính trị gia và nhà báo.
Một số sử dụng doxing để trả đũa khi họ bị tấn công hoặc xúc phạm, trong khi những người khác sử dụng nó để trừng phạt hoặc hủy hoại danh tiếng của ai đó. Bất kể mục đích là gì, bản chất của doxing là xâm phạm quyền riêng tư, khiến mọi người rơi vào tình huống khó khăn, thậm chí đôi khi gây nguy hiểm đến tính mạng.
Ví dụ về Doxing
Doxing là hành động tiết lộ trực tuyến thông tin riêng tư của một cá nhân, tiết lộ thông tin của một người lạ trên mạng, hoặc tiết lộ thông tin của một cá nhân để gây tổn hại về danh tiếng của cá nhân đó và tổ chức, cộng sự của họ. Dưới đây là một số ví dụ nổi tiếng về hành động doxing
Ashley Madison
Ashley Madison là một trang web hẹn hò trực tuyến cho những người đã kết hôn có nhu cầu tìm kiếm mối quan hệ ngoài luồng. Một nhóm hacker đã yêu cầu ban quản lý trang web này đáp ứng một số điều kiện. Tuy nhiên, khi các yêu cầu này không được chấp nhận, nhóm hacker đã phát hành thông tin nhạy cảm của hàng triệu người sử dụng. Hành động doxing này đã gây ra sự rạn nứt và ảnh hưởng xấu đến danh tiếng của nhiều người.
Cecil the Lion
Một nha sĩ đến từ Minnesota đã đi săn và giết một con sư tử được bảo vệ ở Zimbabwe. Sau đó, thông tin nhận dạng của anh ta đã được tiết lộ trên mạng internet, dẫn đến việc rò rỉ thông tin cá nhân của anh ta và sự chỉ trích mạnh mẽ từ phía công chúng.
Đánh bom cuộc thi Marathon ở Boston
Sau vụ đánh bom tại cuộc thi Marathon ở Boston, một số người trong cộng đồng Reddit đã tìm kiếm thông tin liên quan đến vụ việc và chia sẻ những thông tin này với cơ quan điều tra. Tuy nhiên, những thông tin không chính xác và không được xác thực đã dẫn đến một cuộc truy lùng không đáng có, gây xáo trộn cuộc sống của nhiều người.
Cách thức hoạt động của Doxing
Internet tương đương với một đại dương rộng lớn, phong phú và chứa đựng lượng dữ liệu khổng lồ. Điều này có nghĩa là thông tin cá nhân của người dùng mạng sẽ trở thành một vũ khí để kẻ xấu lợi dụng. Họ có thể sử dụng hành động doxing để đạt được các mục đích sau đây:
Theo dõi tên người dùng
Sử dụng cùng một tên hoặc tên tương tự cho các tài khoản trên nhiều website hoặc ứng dụng web có thể tạo điều kiện cho những kẻ lừa đảo thu thập thông tin cá nhân của người dùng. Họ có thể sử dụng các thông tin này để biên tập một bộ sưu tập tiết lộ thông tin cá nhân của nạn nhân.
Chạy tìm kiếm WHOIS trên một tên domain
Khi sở hữu một tên miền (domain), thông tin cá nhân của bạn như tên, địa chỉ, số điện thoại, địa chỉ email và thông tin doanh nghiệp sẽ được lưu trữ trong sổ đăng ký (WHOIS) và có thể được truy cập công khai. Tuy nhiên, nếu bạn không chọn tùy chọn ẩn thông tin trong quá trình đăng ký tên miền, thông tin này có thể bị lộ ra ngoài và dễ bị lợi dụng cho mục đích sai trái.
Lừa đảo
Khi tài khoản email của bạn bị xâm nhập, kẻ tấn công có thể lấy cắp thông tin nhạy cảm và chia sẻ chúng trên mạng. Hơn nữa, họ có thể truy cập vào tài khoản của bạn và sử dụng email để thực hiện hành động doxing đối với một nạn nhân khác.
Theo dõi mạng xã hội
Khi tài khoản mạng xã hội của bạn ở chế độ công khai, bất kỳ ai cũng có thể tìm thấy thông tin về bạn như địa chỉ, nơi làm việc, danh sách bạn bè, hình ảnh và tên các thành viên trong gia đình. Những kẻ xấu có thể sử dụng những thông tin này để phân tích về bạn và xâm nhập vào các tài khoản trực tuyến khác của bạn bằng cách sử dụng các thông tin nhận dạng cá nhân của bạn.
Sàng lọc hồ sơ chính phủ
Doxer có thể thu thập thông tin cá nhân của bạn thông qua website của chính phủ, bao gồm cả những hồ sơ cá nhân không được công khai trực tuyến. Ví dụ như họ có thể tìm kiếm thông tin của bạn từ giấy phép kinh doanh, hồ sơ quận, giấy phép kết hôn và nhật ký đăng ký cử tri…
Theo dõi địa chỉ IP
Doxer có thể sử dụng nhiều cách khác nhau để xác định địa chỉ IP của bạn, vì địa chỉ IP này liên quan đến vị trí của bạn. Sau khi có được địa chỉ IP của bạn, doxer có thể giả danh là bạn và liên hệ với nhà cung cấp dịch vụ internet (ISP) của bạn để thu thập thêm thông tin về bạn.
Đảo ngược tra cứu điện thoại di động
Số điện thoại di động của bạn là một trong những thông tin quan trọng mà hacker có thể sử dụng để khám phá thêm về bạn. Ví dụ, bằng cách sử dụng các dịch vụ tra cứu điện thoại ngược như Whitepages, hacker có thể dễ dàng tìm ra danh tính của chủ sở hữu số điện thoại đó.
Packet sniffing
Packet sniffing là phương pháp doxer sử dụng để bắt gói dữ liệu internet của bạn và tìm kiếm các thông tin nhạy cảm như mật khẩu, số thẻ tín dụng, thông tin tài khoản ngân hàng hay địa chỉ email. Để thực hiện việc này, doxer sẽ kết nối vào một mạng trực tuyến và xâm nhập qua các rào cản bảo mật để thu thập dữ liệu và thoát ra ngoài.
Data broker
Data broker là thuật ngữ để chỉ việc thu thập thông tin cá nhân của người khác từ các hồ sơ công khai trên mạng hoặc từ lịch sử duyệt web, sau đó bán cho nhà quảng cáo hoặc người mua trên dark web. Các thông tin này còn có thể được sử dụng để đe dọa và quấy rối người chủ sở hữu.
Những thông tin mà Doxer tìm kiếm
Các doxer thường tìm kiếm:
Phone numbers: Số điện thoại có thể được dùng để liên lạc với nạn nhân trong khi giả danh người khác và sau đó đặt câu hỏi để lấy thêm thông tin. Hoặc chúng cũng có thể được dùng để truy cập vào các user account được bảo mật.
Social security numbers: Cần có số an sinh xã hội để xác thực danh tính của một người trên nhiều website và với nhiều công ty nắm giữ dữ liệu cá nhân.
Home address: Địa chỉ nhà không chỉ có thể được sử dụng để xác minh danh tính trong khi cố truy cập vào tài khoản cá nhân, mà còn có thể bị kẻ tấn công sử dụng để đăng ký các tài khoản mới bằng cách giả danh thành nạn nhân.
Credit card details: Thông tin thẻ tín dụng có thể bị sử dụng vì lợi nhuận hoặc làm giảm xếp hạng tín dụng của nạn nhân, cũng như có được quyền truy cập vào các thông tin nhạy cảm khác.
Bank account details: Vì chi tiết tài khoản ngân hàng chỉ có sau khi đáp ứng các biện pháp bảo mật, chúng có thể được sử dụng để ai đó giả danh bạn và “xác minh” danh tính. Họ cũng có thể bị đánh thuế khi chuyển tiền từ tài khoản của bạn sang tài khoản của người khác hoặc tổ chức một cuộc tấn công doxing để làm cho mục tiêu dễ bị tấn công hơn.
Doxing có bất hợp pháp không
Mặc dù được xem là vi phạm quyền riêng tư, Doxing vẫn chưa được coi là một hành vi phạm tội cụ thể. Bất kể thông tin được truy cập và phát hành hay không, việc xâm nhập máy tính hoặc thiết bị cá nhân của ai đó mà không được phép là bất hợp pháp và có thể bị truy cứu trách nhiệm hình sự. Tuy nhiên, Doxing không phải là hành vi bất hợp pháp vì thông tin được thu thập chủ yếu thông qua OSINT, thông tin có sẵn công khai trên mạng.
Nếu tòa án xem việc xử lý Doxing là vi phạm quyền riêng tư, đây sẽ là một khái niệm mới và chiến thuật mới cho các nhà lập pháp và tòa án để bảo vệ quyền riêng tư của cá nhân. Tuy nhiên, không phải tất cả các cơ quan chính phủ và nhà lập pháp đều xem Doxing là một vấn đề cụ thể, vì nó còn được sử dụng để chống lại các kẻ troll và ngôn từ kích động thù địch.
Do tính chất không rõ ràng của nó, Doxing rất phức tạp để quy định trong pháp luật và mỗi trường hợp phạm tội phải được xem xét cụ thể. Pháp luật sẽ cần phân tích các yếu tố như lý do cá nhân, thiệt hại gây ra cho nạn nhân, mối quan hệ giữa nạn nhân và thủ phạm, cách thức thông tin được lan truyền, ý định thực hiện hành vi lừa đảo… Tuy nhiên, các sự kiện Doxing có thể dẫn đến những hậu quả không mong muốn.
Luật pháp sẽ cần phân tích nhiều yếu tố khác nhau để xác định hành vi lừa đảo, bao gồm cả lý do cá nhân cho việc thực hiện hành vi đó, thiệt hại gây ra cho nạn nhân, mối quan hệ giữa nạn nhân và thủ phạm, cách thức thông tin được lan truyền và ý định thực hiện hành vi lừa đảo. Tuy nhiên, với việc Doxing, tất cả các sự kiện đều không sâu để dẫn đến hậu quả không mong muốn.
Vì sự thiếu quan tâm về chính trị và các thách thức trong việc xác định vấn đề, hiện tại chưa có biện pháp pháp lý hiện hành nào cho hành vi Doxing. Tuy nhiên, nếu bạn trở thành nạn nhân của Doxing, bạn nên thông báo sự việc với cơ quan chức năng. Tuy Doxing không phải là hành vi bất hợp pháp, nhưng nó có thể góp phần vào một hành vi phạm tội khác, chẳng hạn như quấy rối, đeo bám hoặc lừa đảo nếu thông tin được sử dụng để cấu thành hành vi phạm tội cụ thể đó. Vì vậy, cơ quan thực thi pháp luật có thể giải quyết vấn đề xung quanh việc thủ phạm lấy thông tin riêng tư của cá nhân và cách họ sử dụng thông tin đó.
Cách bảo vệ bản thân khỏi Doxing
Mặc dù có những bước cụ thể để bảo vệ quyền riêng tư trực tuyến, thực tế là bất kỳ ai đều có thể trở thành nạn nhân của doxing, đặc biệt là với sự phổ biến của các công cụ tìm kiếm và thông tin trực tuyến.
Thông tin cá nhân của bạn có thể trở nên công khai nếu bạn đã từng mua nhà, đăng thông tin trên diễn đàn trực tuyến, tham gia mạng xã hội hoặc ký đơn trực tuyến. Ngoài ra, thông tin của bạn cũng có sẵn trong các cơ sở dữ liệu công cộng, hồ sơ quận, hồ sơ của các cơ quan nhà nước, công cụ tìm kiếm và kho lưu trữ khác.
Tuy nhiên, điều đó không có nghĩa là không có cách nào để ngăn chặn việc doxing. Có một số hành động trực tuyến thông thường mà mọi người có thể thực hiện để bảo vệ thông tin cá nhân của mình, bao gồm:
Hãy nhận biết số lượng thông tin cá nhân bạn đang chia sẻ
Các chi tiết nhỏ có thể được ghép lại với nhau theo thời gian để tạo ra một hồ sơ hoàn toàn xác định. Ví dụ: chỉ cần nhấp vào tên người dùng của một người nào đó trên một trang web như Reddit hoặc Pinterest hoặc Twitter sẽ tiết lộ mỗi lần họ đóng góp vào cuộc thảo luận, hình ảnh được chia sẻ hoặc đăng ý kiến.
Không bao giờ chia sẻ thông tin nhận dạng cá nhân
Nếu bạn đã đăng địa chỉ, số điện thoại hoặc thông tin khác có thể được sử dụng để nhận dạng bạn, hãy lấy thông tin đó xuống.
Xem lại cài đặt bảo mật của bạn thường xuyên
Các trang web như Facebook và Google nhận và lưu trữ một lượng thông tin cá nhân đáng kinh ngạc về người dùng của họ; mọi thứ từ thói quen duyệt web đến các vị trí địa lý được xác định chính xác. Xem xét cài đặt bảo mật của trang web bạn truy cập nhiều nhất và đảm bảo rằng bạn cảm thấy thoải mái với lượng thông tin được chia sẻ.
Kiểm tra đăng ký tên miền của bạn
Nếu bạn sở hữu tên miền, hãy kiểm tra để đảm bảo rằng thông tin đăng ký (dữ liệu “whois”) bị che khuất. Hầu hết các công ty đăng ký tên miền cung cấp dịch vụ bảo mật tại thời điểm đăng ký tên miền sẽ che giấu thông tin này.
Xem lại số lượng trang web thực sự có thông tin của bạn
Mặc dù các trang web như MySpace có thể không phổ biến hiện nay, các hồ sơ đã được đưa lên một thập kỷ trước vẫn còn ở đó và có thể truy cập công khai. Điều này áp dụng cho bất kỳ trang web nào mà bạn có thể đã từng hoạt động trước đây.
Sử dụng nhiều tên người dùng
Thay vì sử dụng cùng tên người dùng trên tất cả các nền tảng trực tuyến của bạn, hãy sử dụng các tên người dùng khác nhau chỉ dành cho các trường hợp sử dụng cụ thể. Ví dụ: sử dụng một tên người dùng cho các diễn đàn trực tuyến, một tên người dùng khác cho truyền thông xã hội, một tên người dùng khác cho trò chơi, v.v. Thực hành này sẽ khiến mọi người khó theo dõi chuyển động của bạn trên nhiều trang web hơn.
Phải làm gì nếu trở thành nạn nhân của Doxing
Khi bị doxing tấn công bạn không nên hoang mang, sợ hãi vì chính sự hoảng loạn đó sẽ khiến bạn rối trí, không tìm ra phương án xử lý. Dưới đây là những việc bạn nên làm nếu trở thành nạn nhân của doxing:
- Báo cáo cuộc tấn công bạn gặp phải đến các nền tảng mà thông tin cá nhân của bạn được đăng tải trên đó.
- Liên hệ với cảnh sát địa phương nếu có người dùng thông tin cá nhân để đe dọa bạn.
- Chụp ảnh hoặc tải xuống các trang đã đăng tải những thông tin riêng tư của bạn. Đây là bằng chứng để cơ quan pháp luật thực thi nhiệm vụ.
- Báo cáo với tổ chức tài chính khi doxer công bố số tài khoản ngân hàng, số thẻ tín dụng của bạn công khai.
- Thay đổi mật khẩu, bật tính năng xác thực đa yếu tố để bảo mật các tài khoản của bạn.
- Nhờ người thân, bạn bè hỗ trợ khi vấn đề vượt qua khả năng của bản thân.
Lời kết
Tóm lại, doxing là một hành vi xâm phạm quyền riêng tư trực tuyến đáng nguy hiểm mà ai cũng có thể trở thành nạn nhân. Để bảo vệ thông tin cá nhân của mình, người dùng cần tuân thủ các nguyên tắc an toàn trực tuyến và tránh chia sẻ quá nhiều thông tin riêng tư trực tuyến. Nếu bạn là nạn nhân của doxing, hãy báo cáo ngay với cơ quan chức năng để có giải pháp hợp lý và bảo vệ quyền riêng tư của mình.
Với những thông tin và kiến thức về doxing mà chúng tôi đã chia sẻ, hy vọng bạn có thể bảo vệ được bản thân trên không gian mạng. Hãy truy cập Website Chuyên Nghiệp để cùng tìm hiểu thêm về những thông tin thú vị và bổ ích
Trần Tiến Duy. Sinh ra và lớn lên tại Vũng Tàu. Hiện tại Trần Tiến Duy đang là SEO Manager tại Miko Tech Agency Marketing và Giảng viên Digital Marketing với các khoá học SEO Website tại trường FPT Tp.HCM. Với hơn 5+ năm kinh nghiệm Quản lý đội ngũ nhân sự, training & Đào tạo về SEO/ Content Marketing.