人肉搜尋(Doxing)是在未經受害者同意的情況下收集及公開發佈某人的個人資料的惡意行為,例如他們的住址、電話號碼、財務資料或其他個人資料。
目錄
人肉搜尋定義
人肉搜尋是指有人挖掘某人的個人資料,例如其真實姓名、地址或私人訊息,並在未經其同意的情況下公開分享。通常這樣做是為了恐嚇、羞辱或使某人處於危險之中。
這術語早在 1990 年代就開始引起關注,當時黑客會曝露隱藏在用戶名稱背後的對手的身份。通過透露他們是誰,黑客可以移除他們的匿名性,令他們容易受到他人攻擊,包括執法當局。
今天,人肉搜尋是網上衝突的常見策略。它通常用於針對人們的信念或意見,尤其是當這些觀點與別人的隱秘目的發生衝突時。
人肉搜尋在英國是否違法?
在英國,視乎具體情況,人肉搜尋行為可能違法。雖然沒有專門的反人肉搜尋法律,但它可能涉及 2018 年數據保護法、1988 年惡意通訊法或 1997 年騷擾保護法。如果人肉搜尋涉及在未經同意的情況下分享個人資料,導致騷擾、威脅或傷害,則可能被視為刑事犯罪。
被判有罪的人可能面臨罰款或監禁。為保護自身,個人應減少網上曝光,並向當局報告事件。隨著網上私隱問題日益嚴重,英國法律正不斷演進,以更有效對抗人肉搜尋問題。
人肉搜尋如何運作
人肉搜尋採用一系列策略來彙編來自公開存取或保護不佳的個人資料來源:
追蹤用戶名稱
在不同平台採用同一用戶名稱,令攻擊者輕鬆連接網上個人檔案,並全面了解目標對象的網上活動。
社交媒體剖析
如果您的社交媒體帳戶是公開的,任何人都可以找到您在這些帳戶上發佈的資訊。這可能包括位置標籤、家人或朋友的照片、工作詳情,甚至寵物的名字。這些資訊可以提供寶貴線索,讓人肉搜尋者可以用來拼湊個人輪廓,甚至幫助人肉搜尋者回答安全問題,以劫持您擁有的其他帳戶。
追蹤 IP 位址
人肉搜尋者可使用多種方法發掘目標的 IP 位址,以找出他們的大概位置。然後,他們可以在目標的互聯網服務商上使用社交工程技巧來獲取更多有關受害者的資料。
數據抓取及整合
攻擊者利用軟件從不同來源收集和彙編數據,從看似微不足道的細節建立目標的深入概述。
反向手機查詢
通過在查找服務中輸入電話號碼,人肉搜尋者可以將該號碼關聯到姓名、地址和其他可能的敏感資料。
在域名上執行 WHOIS 搜尋
如果目標擁有域名,則其資料將儲存在登錄中。如果目標沒有選擇在登記冊隱藏其資料,人肉搜尋者可以使用簡單的 WHOIS 搜尋來顯示註冊人的聯絡資料,例如姓名、電話號碼、地址、電郵及其他個人資料。
假電郵或訊息會用作誘騙目標,以透露登入憑證或聯絡資料等私人資料,然後攻擊者會利用這些資料進一步入侵受害者。
封包嗅探
如果人肉搜尋者可以存取您的網絡,他們可以使用封包嗅探功能來監控和攔截特定數據包,這些數據包可能包含敏感資料,例如密碼、銀行帳戶資料、信用卡號碼和其他可以利用的資料。
使用資料中介
資料中介一般會收集、分析及向其他公司出售或授權使用消費者資訊作市場推廣用途。這些資料中介通常為個人創建檔案,當中載有其興趣、嗜好、特徵及其他可取得的資料。
他們通常從公開來源、第三方公司、調查和其他來源獲得資訊。
不幸的是,這些資訊最終可能出現在暗網上,然後被人肉搜尋者以小額費用使用。
哪些資訊是人肉搜尋者正在尋找的?
人肉搜尋者通常會尋求各種類型的個人資料,以建立針對其目標的完整檔案,並通常具有惡意圖謀:
住宅地址
其中一個最常見的資料是用戶的家居地址。取得這些資料可讓他們將騷擾或威脅提昇至實體層面,令受害者感到不安全。
電話號碼
電話號碼使人肉搜尋者能夠通過電話或短訊直接騷擾受害者。他們還可以利用逆向查找服務來發掘其他個人資料,或透過模擬目標來進行社交工程攻擊。
電郵地址
電郵地址是進一步騷擾、網絡釣魚攻擊及垃圾郵件的渠道。透過電郵,人肉搜尋者可嘗試入侵目標的網上帳戶,並導致進一步的資料洩漏。
就業及職銜
知道某人在哪裡工作,人肉搜尋者可以透過聯絡受害者的僱主來傳播虛假資訊,影響受害者的的職場生涯。這種騷擾可能會損害聲譽,甚至危及就業。
財務資料
銀行賬戶資料或信用卡號碼等敏感財務資料對人肉搜尋者而言非常寶貴。存取財務資料可能導致身份盜竊、未經授權交易或勒索。
社會保障號碼或國民身份證號碼
利用社會保障號碼或國民身份證,歹徒可進行身份盜用、以受害者的名義開設信用帳戶,或冒充受害者存取其他敏感資料,造成長期財務及法律後果。
有關人肉搜尋的法律和道德觀點
人肉搜尋的合法性因司法管轄區而異。在某些地區,法律明確禁止人肉搜尋,而在其他地區,則屬於法定灰色地帶。例如,美國有針對騷擾和網絡騷擾的法律,這些法律可能適用於猥褻行為,但並非所有個案都符合檢控的標準。歐盟通用資料保護法規亦保護個別人士免遭未經同意而曝露個人資料,並增加另一層防禦措施,防止人肉搜尋。
在道德上,人肉搜尋被廣泛譴責為危害及侵犯私隱。雖然有些人以透明度或資訊自由作爭辯,但未經他人同意而洩露他人的資訊通常被視為危險和不道德。
如何保護自己免受人肉搜尋
預防人肉搜尋從主動的網上私隱實務開始:
檢視社交媒體私隱設定
限制個人檔案的能見度,並對朋友請求作選擇性批核。限制公開顯示的個人資料數量。
使用強密碼及雙重認證
以安全密碼保護您的帳戶,並啟用雙重認證以增加一層保安。
限制網上分享的個人資料
避免在社交媒體或其他公共平台上發佈您的住址、電話號碼或位置等詳情。
使用 VPN
虛擬私人網絡可能會隱藏您的 IP 位址,令攻擊者更難追蹤您的網上活動或尋找您的位置。
定期監控網上資料
定期搜尋您的姓名及個人資料,以檢查任何在網上發佈的未經授權資料。
隱藏網域註冊
使用域名私隱保護在 WHOIS 記錄中隱藏個人資料,從而降低人肉搜尋者存取聯絡資料的風險。
通過採用這些做法,個人可以降低被人肉搜尋的風險,並對他們的個人資料保持更大的控制權。
假如您已被禁制,應採取的步驟
如果您發現自己已經迷上了,立即採取行動是必不可少的:
聯絡平台或網站
要求從發佈資料的任何網站移除您的資料。
向當局報告事件
對於涉及威脅或騷擾的案件,請向當地執法部門或網絡犯罪機構報告。
通知朋友、家人或同事
將此情況告知與您親近的人,尤其是當他們也有可能被針對時。
監控網上帳戶及信用報告
檢查帳戶或信用報告上是否有任何異常活動,因為人肉搜尋可能導致身份盜竊或財務欺詐。
如有需要,尋求專業協助
在嚴重情況下,考慮聯絡網絡保安專家尋求進一步協助及指引。
採用趨勢科技 CREM 來防範人肉搜尋
人肉搜尋強調外露的個人或業務資訊如何迅速成為嚴重威脅。當敏感資料被公開時,就會開啟騷擾、身份盜用及更進階網絡攻擊的大門。
TrendAI Vision One - Cyber Risk Exposure Management 是 TrendAI Vision One™ 平台的一部份,協助機構在入侵前偵測、評估及減低風險。CREM 以情報導向的主動分析來辨識漏洞,包括資料外洩或配置錯誤相關的漏洞,並強化您的整體保安狀態。
李兆熙是趨勢科技產品管理副總裁,負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。
常見問題
甚麼是人肉搜尋?
人肉搜尋是指在未經他人同意的情況下在網上披露他人個人資料的行為。
甚麼是人肉搜尋某人?
這意味著披露有關個人的私人資料,例如其姓名或地址,以傷害或恐嚇他們。
人肉搜尋是否違法?
是的,在很多地方。它可能違反私隱法律,並導致法律後果。
社交媒體上人肉搜尋有甚麼窒息之處?
當私人資訊在 Twitter 或 Facebook 等平台上分享時,通常會羞辱或騷擾他人。
人肉搜尋的懲罰是甚麼?
處罰各有不同,但可能包括罰款、法律行動或監禁,具體視乎嚴重程度和地點而定。
如何停止人肉搜尋?
保護個人資料、調整私隱設定,並向機關及平台報告任何猥褻行為。