每当您在社交网络上点赞,加入群聊或社区群的时候;每当您发布简历,或是被街头电子眼拍到的时候,都会有相关信息存入数据库中。无论是网络上还是现实中,您大概不知道自己留下的这些信息踪迹有多么脆弱。
█ 错误的自行车手、司机、父亲
每个人都有可能遭遇网络扒皮(Doxing),正如下面三个案例所示。
马里兰州一名自行车手 Peter Weinberg 忽然收到一堆来自陌生人的侮辱性信息和威胁,他这才发现自己的健身 App 正在公布他的骑车路线,还有人据此推断他近期曾途经发生过儿童遇袭事件的地区。网民们反响迅速,他们错误地把 Weinberg 当做嫌犯,并扒出了他的地址,公布了出来。大家都知道,往往是“造谣一张嘴,辟谣跑断腿”。
在地球另一端,新加坡的一名动物保护人士公布了某位开车撞到狗的人的姓名与住址,还呼吁“让她下地狱”。据车主说,这些公开的职责影响到了她的事业。在那些“义务警察”摸清了她的住址之后,就有骂人帖子出现在了她公司的 Facebook 页面。而当撞狗事故发生时,驾驶她车的人恰恰不是她。
另一个更知名的案例发生在前职业棒球运动员 Curt Schilling 身上,他看到了有关自己女儿的推文,感到反感且不适。Schilling 追踪了这些推文的作者(据他称只花了不到一个小时),收集了这些人的大量个人信息,并发布了博客。冒犯者中与棒球社团有关系的人,在一天内被解雇或从球队中除名。
█ 发生了什么?
以上三个故事都是“扒皮”的简单例子。扒皮这个词汇指的是在未经同意的情况下搜集一个人的身份信息,并在网络上发布。这种行为不仅让人反感,还可能在现实生活中损害受害者的名誉、工作,甚至人身安全。
扒皮者的目的千奇百怪。有的人认为自己是在揭露罪行,有的则是为了恐吓网上的对手,还有的是为了私事报复。网络扒皮现象出现在20世纪90年代,之后则变得更加危险。现在,随着所有人都可以获得大量个人信息,在线上搜集他人信息已经不再需要特殊技能,也不需要特权。
在这篇文章中,我们暂且不从法律和道德角度对网络扒皮作分析。作为安全专家,我们的任务就是概述扒皮的方式,并教您自我保护的方法。
█ 网络扒皮:从内窥探
由于网络扒皮既不需要特殊的知识,也不需要很多资源,所以变得非常普遍。扒皮者使用的工具也是合法且公开的。
█ 搜索引擎
普通的搜索引擎就能提供很多个人信息,扒皮者还会通过使用高级搜索功能 (例如在特定网站或文件类型范围内进行搜索) ,更快地找到正确的信息。
除了姓名之外,网名也会暴露一个人的线上习惯。比如,在不同网站上使用相同网名的行为,就给扒皮者提供了相当的便利。通过这种网名,他们能在公共来源搜集到大量相关评论和帖子内容。
█ 社交网络
社交网络,包括领英等专业网站,包含了大量个人信息数据。
具有真实数据的公开个人资料基本就是现成的档案。即使个人资料设置成私人,仅对朋友开放,专门的调查者也能通过搜索受害者的评论、社区、朋友发的帖子等等来收集信息。一些好友申请有可能是冒充招聘者的人提出的,而这会将您拖入下一个圈套,即社会工程学。
█社会工程学
许多攻击都采用了社会工程学手段,这就是利用人性搜罗信息。扒皮者首先会通过公开可见的信息联系上受害者,然后从受害者那里套出信息。比如,扒皮者可以自称是医疗管理或是银行代表,然后从受害者嘴里套话。这种骗术在真话假话参半时效果更好。
█ 官方来源
公众人物想在网上保留隐私是最难的,但这不代表只有摇滚明星和职业运动员需要保护自己的个人信息。
扒皮者甚至会利用受害者的雇主发布的信息实施侵害,比如一些公司网站上“关于我们”页面贴出的全名和照片,或是部门网页上完整的联系方式。雇主可能比较无辜,但是一般的公司信息能让你定位到某个人,而照片有可能引申至他们的社交网络资料。
商业活动往往也会在互联网上留下痕迹。比如在许多国家,有关公司创始人的大量信息都是公开的。
█ 黑市
更复杂的方法包括使用非公开的资源,例如隶属政府实体和企业的遭破坏的数据库。
经我们研究发现,暗网上有各种个人数据被挂牌出售,从护照扫描(6美元或以上)到银行 App 的账户(50美元或以上)。
█ 专业信息收集
扒皮者还将部分工作外包给数据代理,这些公司贩卖从各种来源收集到的个人数据。数据代理公司并不一定就是犯罪企业。银行会使用数据代理公司提供的数据,广告商和招聘机构也一样。然而不幸的是,总有些数据代理是任谁都卖的。
信息泄露,怎么办
在接受Wired采访时,电子前沿基金会(EFF)网络安全总监 Eva Galperin 建议,一旦发现自己的个人信息遭滥用,应与扒皮者发布信息的所有社交网络取得联系。应该从客户服务或技术支持入手。通常来说,未经所有者同意而泄露个人信息的行为会违反用户协议。这样做虽然不能完全解决问题,但可以减少潜在的损害。
Galperin 还建议在遭到攻击后一段时间内,关闭您的社交帐户或找别人管理您的帐户。和其他亡羊补牢的措施一样,这也不能消除损害,但可以让您放松情绪,大概也能让您避免面对网上的一些窘境。
█ 保护自己免受扒皮侵害
与其在收拾残局上下功夫,不如尽力去降低数据泄露的可能性。然而,很难做到完全免受其害。比如说,您基本无法确保政府或社交网络数据库中的数据不会遭人转储或泄露。但是您可以提高扒皮者的犯罪成本。
█ 别在网上泄露秘密
不要把您的个人信息放到网上,尤其是您的住址、电话号码和照片,一定要远离互联网。确保您发布的任何照片都不包含地理标签,同理,文档中也不能包含个人信息。
█ 检查您的社交网络账户设置
我们建议您在使用的社交网络和服务上选择严格的隐私设置,只对朋友开放个人资料,还要定期检查您的朋友列表。您可以参考我们隐私诊断门户上的分步说明,对社交网络和其他服务进行设置。
█保护您的帐户免受黑客攻击
为每个帐户单独设置密码,这是非常重要的保护措施,只是可能会比较麻烦(也不一定)。如果您在所有地方都使用一样的密码,一旦您的某项服务泄漏了该密码,那么即便把隐私设置得再严格,也无济于事。
我们建议您使用密码管理程序。卡巴斯基密码管理器,我们的这项解决方案不仅能保存密码,还能保存密码所属的网站和服务,而您只需记住一个管理密匙。我们还建议您尽量使用双重身份验证,进一步加强防御。
█ 巧用小号
如果可以的话,在网站上注册时,要避免使用社交网络,或是其他包含您真实信息的帐户。将一个帐户与另一个帐户相关联,会让人更容易把握您的在线活动,比如使用顶着真实姓名的账号发表言论。
为了解决这种问题,请至少准备两个电子邮件账户,一个为您的实名账户提供,另一个为您想要保持匿名的网站提供。同样也要在不同的地方使用不同的网名,这样一来在线搜集您的信息就会变得更加困难。
█尝试扒出自己的档案
有一种了解自己隐私状况的方式,就是扮演扒皮者的角色,在互联网上搜索与您有关的信息。这样,您就能了解到自己的社交网络账户遇到的任何问题,还能找出您有哪些个人信息被挂到了网上。您找到的内容可以用来追踪数据来源,甚至能学习如何将其删除。您还可以设置被动监控,让谷歌来通知您包含您姓名关键词的所有最新搜索结果。
█ 删除与自己有关的信息
您可以举报任何侵犯您隐私的内容,并要求搜索引擎和社交网络删除您的数据。
社交网络和其他服务的使用政策,往往禁止未经授权发布个人数据。然而实际上,只有执法部门才有权对一些有嫌疑的资源进行处理。
合法的数据代理公司通常允许个人删除自己的信息,但是基于此类公司数量有限,想删除所有内容并不容易。而与此同时,有一些机构和服务能帮您抹除您在网上的踪迹。您需要在省事、删得彻底和花销费用这三者间找到平衡
快速小贴士
无论是否有动机,任何人随时都有可能成为被扒皮曝光的目标。这些诀窍能帮您保护自己的在线隐私:
不要将您的个人数据上传到互联网,包括真实姓名,地址,工作地点等;
将您的社交网络账户对外人隐藏,并使用强大而独特的密码,以及双重身份验证。要管理您的密码,请安装卡巴斯基密码管理器;
避免使用一项服务中的帐户登录到另一项服务,尤其是对于包含您真实信息的账户;
主动出击:尝试扒出自己的档案,并要求所有保留了您过多信息的服务方删除数据;
考虑彻底删除账户。对于失败主义者,这是一种能阻止扒皮者的激进方法。我们能帮助您在保留重要数据的同时,正确执行删除账户操作。
网络扒皮,不过是无处不在的在线数据对现实生活的一种入侵,但这种入侵非常严重,可能对现实生活造成恶劣影响。我们会定期发布新闻和实用信息,对网络扒皮以及自我保护的方式进行科普。
