肉搜在英文稱為「doxing」(或 doxxing),是 dropping dox 拋出文件的意思 (dox 是 documents 的俗稱),這是一種擅自蒐集並公開受害者個人資訊的惡意手法,例如公布受害者的住址、電話、金融資訊,或是其他個人資訊。
目錄
肉搜的定義
肉搜是指挖掘某人的個人資訊 (如真實姓名、地址或私人訊息) 然後未經同意就擅自加以公布,這通常用來恐嚇、羞辱或讓某人陷入危險。
這一詞是從 1990 年代開始引起注意,當時的駭客會利用這招來讓躲在使用者名稱背後的對手身分曝光。對方的真實身分一旦曝光,就會失去匿名性,進而招致其他駭客的攻擊或主管機關的追查。
然而不幸的是,肉搜卻是今日人們處理網路衝突常用的手段,經常被用來攻擊他人的信仰或意見,尤其是當其觀點妨礙到某人的企圖時。
肉搜在英國是否違法?
在英國,肉搜有可能違法,視情況而定。雖然目前並無針對肉搜行為的相關法律,但它有可能受到「2018 年資料保護法」(Data Protection Act 2018)、「1988 年惡意通訊法」(Malicious Communications Act 1988) 或「1997 年騷擾防治法」(Protection from Harassment Act 1997) 所管轄。假使肉搜行為是未經同意擅自公開他人的個人資料,進而導致他人遭到騷擾、威脅或傷害,就有可能被視為犯罪。
若是被判有罪,那就可能面臨罰鍰或牢獄之災。為了維持安全,使用者應盡量減少自己暴露在網路上的資訊,並且在遇到這類案件時向主管機關報案。隨著網路隱私權問題日益嚴重,英國法律也開始進化,以便更有效打擊肉搜的問題。
肉搜如何運作
肉搜者會運用各種手段從公開或缺乏妥善保護的來源蒐集個人資訊:
追蹤使用者名稱
在不同平台上使用相同的使用者名稱,很容易讓駭客將不同的網路帳號串連起來,而且還能完全掌握受害者在網路上的活動。
社群媒體個人檔案
假使您的社群媒體帳號是公開的,那麼任何人都能搜尋到您在這些帳號上張貼的資訊,包括:地理位置標籤、親朋好友的照片、工作內容,甚至是您寵物的名稱等等簡單的資訊。這些資訊都能提供寶貴的線索,讓肉搜者拼湊出您的個人檔案,甚至讓肉搜者能夠回答安全認證問題,進而盜取您的其他帳號。
追蹤 IP 位址
肉搜者可利用多種方法來找出受害者的 IP 位址,進而知道受害者大概的位置。接下來,他們就能透過社交工程技巧,從網路服務供應商 (ISP) 那裡取得更多有關受害者的資訊。
資料搜刮與彙整
肉搜者會利用軟體從各種來源蒐集和彙整零碎的資料,然後再從這些看似微不足道的細節拼湊出深度的受害者個人檔案。
反向行動電話查詢
只要將電話號碼輸入一些查詢服務,肉搜者就能找出該號碼相關的姓名、地址,甚至是其他敏感資訊。
執行網域名稱 WHOIS 查詢
如果受害者擁有某個網域名稱,那麼他們的資訊就會記錄在登錄檔案中。假使受害者當初沒有選擇隱藏自己在登錄檔案上的資料,那麼肉搜者只需利用簡單的 WHOIS 查尋就能查到受害者登記的聯絡資訊,例如:姓名、電話號碼、地址、電子郵件,以及其他個人資訊。
肉搜者可能利用假的電子郵件或訊息誘騙受害者揭露自己的私密資訊 (例如登入憑證或聯絡資訊),接著肉搜者就會利用這些資訊對受害者不利。
封包監聽
如果肉搜者有辦法連上您的網路,他們就能監聽您的封包,進而監控並攔截某些資料封包,這些封包可能含有敏感的資訊,例如:密碼、銀行帳戶資料、信用卡卡號,以及其他他們可能想要的資訊。
利用資料販子
資料販子會蒐集、分析、販售或授權消費者的資訊給其他公司,通常用於行銷用途。資料販子通常會建立好一些個人檔案,內容包括個人的興趣、嗜好、人口統計特徵,以及其他可取得的資料。
他們的資訊通常取自公開來源、第三方廠商、問卷調查,以及其他多種來源。
不幸的是,這些資訊最後很可能會淪落到暗網 (dark web) 上,然後被肉搜者以低廉的代價取得。
肉搜者會尋找什麼資訊?
肉搜者通常會尋找各種不同的個人資訊來建立受害者的完整個人檔案,而且通常意圖不良:
住家地址
肉搜者最常尋找的資料就是受害者的住家地址,有了這項資訊,他們就能將騷擾或威脅升高到人身傷害層次,讓受害者覺得在家不安全。
電話號碼
電話號碼可讓肉搜者透過電話或簡訊直接騷擾受害者,此外,還可利用反向查詢服務來挖掘更多個人詳細資訊,或者假冒受害者名義從事社交工程攻擊。
電子郵件地址
電子郵件地址是從事進一步騷擾、網路釣魚攻擊以及垃圾郵件的跳板,有了電子郵件,肉搜者就能試圖駭入受害者的網路帳號,而且通常能造成更多資料外洩。
工作和職稱
知道某人在哪裡上班,肉搜者就能攻擊受害者的職場生活,他們有時會聯絡受害者的雇主來散播假資訊。這類騷擾有時會讓人損害名聲,甚至丟掉工作。
金融資訊
銀行帳號資訊或信用卡卡號這類敏感的金融資訊,對肉搜者來說非常珍貴,金融資訊遭到掌握,很可能導致身分遭到冒用、產生未經授權的交易,或者遭到勒索。
社會安全碼 (SSN) 或身分證號碼
當肉搜者取得了社會安全碼或身分證號碼,就能從事身分冒用、以受害者的名義申辦信用卡,或者假冒受害者取得其他敏感資料,造成長期的財務和法律後果。
法律與道德對肉搜的看法
肉搜的合法性視司法管轄區而異,在某些地區,法律明文禁止肉搜,但在其他地區,這屬於法律的灰色地帶。例如,美國法律禁止騷擾和網路跟蹤,這些法律有可能適用於肉搜,但並非所有案件都能符合法律上的起訴條件。此外,歐盟的通用資料保護法 (GDPR) 也明定未經同意不得洩露個人資料來保障人民,算是多了一道防範肉搜的門檻。
在道德上,肉搜大多被視為嚴重侵犯隱私權而受到譴責,儘管有人會拿「公開透明」與「資訊自由」來辯解,但未經同意就擅自洩露他人的資訊,一般都被視為危險和不道德。
如何防範自己被肉搜
要防範肉搜,首先要主動保護自己的線上隱私:
檢視社群媒體隱私設定
限制誰可以看到您的個人檔案,不要隨便亂加好友,並減少公開顯示的個人資訊。
使用高強度密碼與雙重認證 (2FA)
使用安全的密碼來保護您的帳號,啟用雙重認證來增加一道安全性。
減少在網路上分享的個人資訊
避免在社群媒體或其他公開平台上公開您的住址、電話或地理位置等資訊。
使用 VPN
虛擬私人網路 (VPN) 會遮蔽您的真實 IP 位址,讓駭客更難追蹤您的網路活動,或者找到您的實際位置。
定期監控自己在網路上的足跡
定期上網搜尋一下您的姓名和個人資料,看看是否有任何未經您授權的資訊被張貼到網路上。
隱藏網域註冊資訊
使用網域隱私保護機制來隱藏 WHOIS 記錄中的個人資訊,降低肉搜者取得您詳細聯絡資訊的風險。
以上這些作法,都能降低被肉搜的風險,同時也更能掌控自己的個人資訊。
萬一您遭到肉搜該採取什麼動作
如果您發現自己被肉搜,立即採取行動非常重要:
聯絡平台或網站
要求他們將您的資訊從任何貼文中移除。
向主管機關報案
對於涉及威脅或騷擾的案件,請向當地執法單位或網路犯罪機關報案。
通知朋友、家人或同事
將情況告知您身邊的人,尤其當他們也有可能遭到攻擊時。
監控網路帳號與信用報告
檢查您的帳戶或信用報告上是否有任何不尋常的活動,因為遭到肉搜有可能導致身分被冒用或金融詐騙。
必要時尋求專業協助
若情況嚴重,您可考慮聯繫網路資安專家來取得進一步的協助和指引。
採用 TrendAI CREM 來防範肉搜
肉搜突顯出當個人或商業資訊暴露在外時,如何迅速演變成一項嚴重威脅,敏感資料一旦遭到公開,就可能引來騷擾、身分冒用,甚至更進階的網路攻擊。
TrendAI CREM (Cyber Risk Exposure Management) 資安曝險管理是 TrendAI Vision One™ 平台的其中一環,能協助企業在遭到攻擊之前預先偵測、評估及降低曝險。CREM 會利用主動、且情資驅動的洞見來發掘漏洞 (包括資料外洩或組態設定錯誤相關的漏洞),並強化您的整體資安態勢。
Joe Lee 是趨勢科技產品管理副總裁,負責掌管企業電子郵件與網路防護解決方案的全球策略與產品開發。
常見問題 (FAQ)
肉搜的定義是什麼?
肉搜是指未經同意擅自將他人的個人資訊公布在網路上的行為。
什麼是肉搜他人?
這意味著揭露某人的私密資訊 (例如姓名或地址) 來傷害或恐嚇他們。
肉搜是否違法?
是的,在許多地方確實如此,這可能違反隱私權法律,衍生法律後果。
什麼是在社群媒體上肉搜?
就是在 Twitter 或 Facebook 這類平台上公開私人資訊,通常用來羞辱或騷擾他人。
肉搜的懲罰是什麼?
懲罰不盡相同,但可能包括:罰鍰、法律訴訟或入獄服刑,視嚴重性和所在區域而定。
如何防止肉搜?
保護好個人資訊、調整隱私設定,並且在遇到肉搜時向主管機關和平台報案。