Sinds het begin van de jaren negentig hebben mensen doxing gebruikt als een giftige manier om digitale wraak te nemen, waarbij iemands anonimiteit wordt weggenomen door zijn identiteit online openbaar te maken. Maar de afgelopen jaren is deze giftige praktijk nieuw leven ingeblazen, waarbij mensen worden afgeperst en afgeperst voor cryptocurrency en, in de meest extreme gevallen, mogelijk te maken krijgen met fysiek geweld.
Het afgelopen jaar heeft veiligheidsonderzoeker Jacob Larsen – die ongeveer tien jaar geleden het slachtoffer was van doxing toen iemand hem probeerde af te persen voor een gameaccount – doxinggroepen in de gaten gehouden, de technieken geobserveerd die gebruikt werden om mensen te ontmaskeren, en prominente leden van doxerende gemeenschappen. De doxing-operaties hebben ‘meer dan zes cijfers per jaar’ opgeleverd, en de methoden omvatten onder meer het doen van valse verzoeken aan wetshandhavingsinstanties om gegevens van mensen te verkrijgen, zo blijkt uit de interviews van Larsen.
“Het primaire doel van doxing, vooral als het om een fysieke afpersingscomponent gaat, is het financieren van de financiën”, zegt Larsen, die leiding geeft aan het offensieve beveiligingsteam van cyberbeveiligingsbedrijf CyberCX, maar het doxingonderzoek op persoonlijke titel heeft uitgevoerd met steun van het bedrijf. .
Tijdens verschillende online chatsessies afgelopen augustus en september interviewde Larsen twee leden van de doxinggemeenschap: “Ego” en “Reiko”. Hoewel geen van hun offline identiteiten publiekelijk bekend is, wordt Ego verondersteld lid te zijn geweest van een vijfkoppige groep die bekend staat als ViLe, en Reiko trad vorig jaar op als beheerder van de grootste openbare doxingwebsite, Doxbin, en was ook betrokken bij in andere groepen. (Twee andere leden van ViLeo hebben in juni schuldig gepleit aan hacking en identiteitsdiefstal.) Larsen zegt dat zowel Ego als Reiko hun sociale media-accounts hebben verwijderd sinds ze met hem spraken, waardoor het voor WIRED onmogelijk werd om onafhankelijk met hen te praten.
Mensen kunnen om allerlei redenen worden veroordeeld – van intimidatie in online games tot het aanzetten tot politiek geweld. Doxing kan de informatie-autonomie van de beoogde individuen “vernederen, schaden en verminderen”, zegt Bree Anderson, een digitale criminoloog aan de Deakin University in Australië, die dit onderwerp samen met collega’s heeft onderzocht. Er is directe ‘eerste orde’ schade, zoals risico’s voor de persoonlijke veiligheid, en ‘tweede orde schade’ op de lange termijn, waaronder angst voor toekomstige onthullingen, zegt Anderson.
Het onderzoek van Larsen richtte zich vooral op degenen die geld willen verdienen. Doxbin staat centraal bij veel doxing-inspanningen, waarbij de website meer dan 176.000 publieke en private doxes host, die namen, sociale-mediagegevens, burgerservicenummers, thuisadressen, werkplekken en soortgelijke details van familieleden kunnen bevatten. Larsen zegt dat hij gelooft dat de meeste doxing op Doxbin voortkomt uit afpersingsactiviteiten, hoewel er mogelijk ook andere motieven en doxing voor bekendheid kunnen zijn. Zodra informatie is geüpload, zal Doxbin deze niet verwijderen, tenzij deze in strijd is met de gebruiksvoorwaarden van de website.
“Het is jouw verantwoordelijkheid om je privacy online te handhaven”, zei Reiko in een gesprek met Larsen, die de transcripties vrijgaf. Ego voegde hieraan toe: “Het is aan de gebruikers om hun internet veilig te houden, maar laten we eerlijk zijn: hoe voorzichtig je ook bent, iemand kan je nog steeds opsporen.”
Nabootsing van de politie, geweld als een dienst
Volledig anoniem online zijn is bijna onmogelijk – en veel mensen proberen het niet eens, vaak gebruiken ze hun echte naam en persoonlijke informatie op online accounts en delen ze informatie op sociale media. Doxing-tactieken om details over mensen te verzamelen, waarvan sommige gedetailleerd worden beschreven in de beschuldigingen tegen ViLe-leden, kunnen het hergebruiken van algemene wachtwoorden omvatten om toegang te krijgen tot accounts, toegang krijgen tot publieke en private databases, en social engineering om SIM-swapping-aanvallen te lanceren. Er zijn meer sinistere methoden.
Ook Emergency Data Requests (EDR’s) kunnen worden misbruikt, zegt Larsen. Met EDR’s kunnen wetshandhavingsfunctionarissen technologiebedrijven zonder gerechtelijk bevel om de namen en contactgegevens van mensen vragen, omdat ze denken dat er gevaar of risico voor de levens van mensen bestaat. Deze verzoeken worden rechtstreeks aan technologieplatforms gericht, vaak via speciale onlineportals, en moeten doorgaans afkomstig zijn van officiële e-mailadressen van wetshandhavingsinstanties of de overheid.