stars
stars
great-it_linkedin_risk-och-sakerhet

Släpp "doxxen"

Föreställ dig en situation där du är en användare av sociala medier och deltar i en debatt om ett känsligt ämne. Du och en annan användare har skilda åsikter och börjar argumentera öppet på forumet. Det hela eskalerar snabbt och det slutar med att användaren du argumenterar mot "doxxar" dig.

Vare sig man är aktiv i offentliga digitala forum eller ej så brukar det vara vanligt att man har ett digitalt avtryck, en sorts fotspår ute på nätet. I en digitaliserad värld har fler och fler av oss en vana att uttrycka våra åsikter, känslor och attityder med vår digitala röst. För många av oss är detta en del av det digitaliserade fria ordet.

Men med ökad digitalisering och anonymiseringsmöjligheter finns det också människor som i stället för att främja sund diskussion och dialog använder nätet som ett vapen – ett sätt är att starta ett doxxningsangrepp för att ge sig på sina upplevda meningsmotståndare.

Vad är doxxning?

Doxxning är ett slanguttryck för att via Internet och med uppsåt att skada sitt offer, avslöja identifierande information utan personens samtycke. Begreppet kommer sig av uttrycket dropping documents som blev dropping doxs som till sist blev doxxning eller som vissa säger doxxing. Doxxning är inte bara en kränkning av individens integritet, utan kan även leda till andra allvarliga konsekvenser. Doxxning kan beröva individer deras online-anonymitet och utsätta dem för olika risker både i den digitala och fysiska världen. Det primära målet är alltså att underminera, störa, skada och sabotera för offret genom att sprida vederbörandes personliga information online.

Ett känt exempel av doxxning är ärendet kring den digital informella marknadsplatsen Silk Road där det gick att köpa alla möjliga illegala varor och tjänster. Silk Road var uppskattat och frekventerat av alla möjliga sorters kriminella och deras kunder. Dessa användare hade för avsikt att fördröja och även försöka stoppa den juridiska processen som hotade Silk Roads existens. Doxxning kom att bli ett viktigt och tråkigt inslag i ärendet. Angriparna använde sig av Doxbin, en mjukvara eller snarare digital plattform där vem som helst på ett icke-spårbart sätt kan släppa personlig information om andra. I det här fallet blev domaren i ärendet utsedd som måltavla. Doxxningen medförde spridning och exponering av domarens privata personuppgifter inklusive hem- och arbetsadresser vilket ledde till personliga hot mot domaren.

Denna typ av exponering får allvarliga konsekvenser för de inblandade och understryker behovet av optimerat cyber- och dataskydd. Doxxning är inte bara begränsat till digitala forum, utan kan också inträffa på sociala medieplattformar, gaming-communities eller vilka digitala sammanhang som helst där människor interagerar.

Varför sker detta?

Doxxning riktas framför allt mot politiker, journalister och andra personer i offentliga positioner. I en del länder har det blivit ett skarpt verktyg för att utöva påtryckningar och skapa påverkan på politiska beslut. För att bekämpa detta har några länder infört lagstiftning som anonymiserar tjänstepersonal och tilldömt böter för den som utför doxxning. Målet för denna lagstiftning är att skydda offentliga tjänstemän och politiker.

Doxxning har inte än haft lika farliga konsekvenser i Sverige som i andra länder. I USA däremot finns ett närliggande fenomen som uppstått vilket är SWATING. Uttrycket innebär att falsk information förmedlas till polisen i syfte att framkalla en kraftfull reaktion från polisens insatsstyrka (swat kan översättas med polisens pikét-styrka). Målet är att få polisen att överreagera på en plats där det egentligen inte är motiverat. Denna handling är en grov lagöverträdelse men också direkt skadlig för de som utsätts.

Swating har blivit ett allvarligt problem i USA särskilt kring både demokratiska och republikanska politiker men har drabbat allt från kända streamers till vanligt folk. Lyckligt nog är fenomenet ännu relativt ovanligt i Sverige.

Hur bör man agera?

I stundens hetta är det lätt att göra misstag, att man blir för personlig och själv avslöjar något som skulle kunna användas för att doxxa. Ett givet tips är att vara restriktiv med vilken information man delar ifrån sig.

  • Man kan fråga sig om det alltid är nödvändigt att använda sitt för- och efternamn i sin online-profil och behöver man verkligen lägga till var man bor eller adressen till arbetsplatsen på sina sociala medier?
  • Behöver du verkligen lägga till ditt telefonnummer och din e-postadress på din profil?

En ofta förbisedd åtgärd är att se över sin kontosäkerhet generellt. Väl inloggad på dina konton, skulle en angripare enkelt kunna plocka fram mycket privat och personlig information om dig. För mer information kring kontosäkerhet, läs vårt whitepaper om ämnet.

Vad kan företag göra?

Det är viktigt för företag att implementera robusta säkerhetsprotokoll och följa standarder som ISO 27001 och anpassa sig till den kommande NIS 2-lagen för att nämna några aspekter. Man bör utbilda anställda om potentiella hot, inklusive doxxning. Det viktiga är att man har dessa säkerhetsprotokoll implementerade och integrerade i vardagen, och inte vaknar upp när incidenten väl händer.

Finns inte mina personuppgifter redan ute på nätet?

I Sverige finns som vi alla vet databaser och webbplatser som redan idag förmedlar personlig information om oss medborgare. Sverige räknas som ett av de mest öppna länderna när det kommer till publikt tillgänglig information om sina medborgare. I stort sett vem som helst med tillgång till en uppkopplad dator kan ta reda på mycket information om svenska medborgare såsom kontakt- och adressuppgifter.

I Sverige är myndigheterna än så länge tillmötesgående med att dela information om svenska medborgare, men det finns en viss tendens att även svenska myndigheter blir mer återhållsamma. Man bör vara försiktig med sin onlineidentitet och vilka spår man skapar via internet. Det finns dessvärre många personer aktiva på nätet som inte skulle tveka att utsätta andra för doxxning eller andra digitala angrepp.

Vad kan du göra för att undvika att bli doxxad?

  • Noggrant överväga vilken personlig information du delar online. 
  • Att skydda ditt digitala avtryck och vara medveten om vad för sorts information som finns att nå om dig via Internet och vilka potentiella hot det kan medföra.
  • Hålla dig informerad om säkerhetsåtgärder och uppdatera dina kunskaper regelbundet. Genom att vidta åtgärder för att säkra personlig information kan du minska risken för oönskad exponering och skydda sig själv och sitt rykte online.
  • VPN är också ett bra alternativ där du krypterar uppkopplingen till VPN tjänsten och använder dig av VPN-tjänsteleverantör IP adress för att kunna surfa skyddat. Detta gör så att det blir svårare att identifiera dig när du använder VPN tjänsten.

För företag och organisationer

  • Var medveten om potentiella hot och skydda ditt digitala avtryck. Se till att dina enheter är uppdaterade och använd flerfaktorsautentisering (MFA) på dina konton. 
  • Organisationer rekommenderas att följa standarder för informationssäkerhet och dataskydd.
  • För större organisationer rekommenderas att också ha analys- och rapporteringsverktyg på plats för incidenthantering samt ha en medvetenhet kring organisationens olika interna och externa beroenden, dvs vilka andra organisationer och system är man som organisation uppkopplade och sammanlänkade med.

Denna text är skriven av IT-säkerhetsspecialist Yassein Said som gör sin praktik som emerging expert hos Great IT.

Vill du komma i kontakt med oss?

Fyll i formuläret nedan och skicka in, så kontaktar vi dig så snart vi kan!

Detta fält används för valideringsändamål och ska lämnas oförändrat.

Är du orolig för säkerheten i din organisation?

Vårt team av risk- och säkerhetsexperter kan utföra en grundlig hotaktörsbedömning, vilket möjliggör att vi kan identifiera de typer av attacker som utgör de största riskerna för din organisation. Våra tester är inte bara teoretiska - vi använder riktiga hotaktörer som spelar rollerna som cyberbrottslingar, sociala ingenjörer, insiders och fysiska tjuvar, både i digitala och fysiska världar.

Läs om "Holistiskt säkerhetstest"