Wat is doxing en hoe bescherm je jezelf ertegen? + 9 tips

Van haatdragende reacties tot het delen van gevoelige informatie. Cyberpesten bestaat helaas in verschillende soorten en maten. Eén soort digitaal pesten is doxing. Wat dit precies is, hoe het gebeurt en vooral hoe je er weer vanaf komt lees je hier.

Wat is doxing?

Doxing (ook wel geschreven als doxxing) is het verzamelen van persoonlijke en identificerende gegevens van een individuele persoon of organisatie. Vervolgens worden deze gegevens – zonder toestemming van het slachtoffer – online gepubliceerd. Zo kan online worden gedeeld:

  • De echte naam van de persoon;
  • Waar degene woont en werkt;
  • Persoonlijke telefoonnummers;
  • Het Burgerservicenummer van het slachtoffer;
  • Bank- en creditcardgegevens;
  • Andere (beschamende) persoonlijke informatie zoals foto’s, privécorrespondentie, criminele geschiedenis en social media profielen.

De gevolgen van het verspreiden van deze gegevens zijn vaak groot. Het slachtoffer kan worden bedreigd, soms zelfs met de dood, en moet in sommige gevallen vrezen voor zijn of haar veiligheid.

Doxing betekenis

De term doxing is herleid uit ‘dropping dox’. Hierbij is ‘dox’ een verbastering van het Engelse ‘docs’, oftewel documenten. Het betekent dus letterlijk het deponeren van documenten. De doxer maakt een soort document met privégegevens van het slachtoffer om deze vervolgens online te publiceren.

Om te kunnen doxen hoef je geen professionele hacker te zijn. Er zijn verschillende manieren om dit aan te pakken. Welke dit zijn, daar komen we later in dit artikel op terug.

Doel doxing

Het hoofddoel van doxing is het schenden van privacy. Er worden immers privégegevens gedeeld. Dit kan erge gevolgen hebben. Zo kan het slachtoffer bijvoorbeeld zijn baan verliezen of het contact met familie en vrienden kwijtraken. Naast het schenden van privacy kan het doxen nog meer doelen hebben:

  • Het slachtoffer intimideren, chanteren of vernederen;
  • Iemand te doen stoppen met bepaalde activiteiten, zoals een reclamecampagne of een demonstratie.
  • Wraak nemen of iemand straffen vanwege een ruzie of meningsverschil;
  • Een verborgen agenda onthullen.

doxing wat is het

Het ontstaan van doxing

Hoewel de term doxing in de jaren negentig voor het eerst gebruikt werd door hackers, bestond de activiteit al eerder. Zo worden bijvoorbeeld al jarenlang telefoonnummers gedeeld op muren en in openbare toiletten. Het doel hiervan is vaak om iemand te vernederen of te bedreigen. Via online kanalen zoals social media is doxing effectiever en schadelijker. Eén van de eerste social media doxing gevallen vond plaats via YouTube in 2006. Het kanaal ‘Vigilantes’ maakte in video’s gegevens bekend van vloggers die werden gezien als racistisch of haatdragend.

Sinds het ontstaan van de term wordt doxing gebruikt door rivaliserende online hackers. Via doxing proberen ze een online conflict te laten escaleren naar de echte wereld. Eind 2011 werd doxing algemeen bekend, toen de hacktivistische groep Anonymous persoonlijke gegevens van 7000 wetshandhavers publiceerde. Dit was een reactie op een onderzoek naar hackingactiviteiten. Anonymous heeft het daar niet bij gelaten en publiceert nog steeds gedetailleerde informatie van bijvoorbeeld vermeende KKK-leden en aanhangers van Q-Anon.

Is doxen legaal?

Doxing kan grote gevolgen hebben voor de slachtoffers, maar is niet per definitie illegaal. Het is een relatief nieuw fenomeen, waardoor de wetten eromheen steeds veranderen en nog onduidelijk zijn. De legaliteit van doxing is met name afhankelijk van de manier waarop gegevens worden verzameld en het doel dat de doxer ermee wil bereiken.

AVG

Het verzamelen en publiceren van privégegevens is niet zo maar toegestaan, zelfs als deze online te vinden zijn. Persoonsgegevens worden namelijk beschermd door de Algemene Verordening Gegevensbescherming (AVG). Volgens deze wet mag het verzamelen en verwerken van persoonsgegevens alleen op basis van zes legitieme grondslagen:

  • De betrokkene heeft toestemming gegeven;
  • Het is noodzakelijk om een overeenkomst met de betrokkene uit te voeren;
  • Het is wettelijk verplicht;
  • Het is nodig om vitale belangen te beschermen;
  • Er is een algemeen belang om de gegevens te verwerken;
  • Er is een gerechtvaardigd belang om de gegevens te verwerken.

hoe voorkom je doxing

Wanneer bewezen kan worden dat wordt gewerkt vanuit een journalistieke basis is de AVG slechts gedeeltelijk van toepassing. Of een publicatie onder deze uitzondering valt wordt afgewogen aan de hand van vier criteria:

  • Is de activiteit gericht op het objectief verzamelen en verstrekken van informatie?
  • Publiceert de betreffende journalist regelmatig?
  • Is de publicatie nodig om iets van maatschappelijke strekking aan de orde te stellen?
  • Mogen lezers reageren op het artikel?

Wanneer is doxen (il)legaal?

Hoewel de uitzonderingen op de AVG wettelijk zijn vastgelegd, wordt het overtreden van deze regels niet direct door de politie bestraft. Wanneer jouw gegevens online worden gedeeld zul je dit eerst zelf moeten melden bij de civiele rechter of Autoriteit Persoonsgegevens. Vervolgens wordt beoordeeld wiens rechten zwaarder wegen. Dit geldt ook in het geval van de journalistieke uitzondering.

In een democratische samenleving heeft iedereen namelijk rechten. Eén hiervan is het recht om informatie en ideeën te ontvangen, op te zoeken en te uiten, oftewel de vrijheid van meningsuiting. Een andere is het recht op privacy. Soms is het – ook in het geval van journalisten – lastig te bepalen welk recht zwaarder weegt. Om dit te bepalen kan worden beoordeeld:

  • Of de informatie binnen het publieke domein valt, zoals arrestatiegegevens, huwelijkscertificaten, verkeersovertredingen, en of deze is verkregen via legale methoden. Zelfs zonder toestemming van de betrokkene is het namelijk niet illegaal om deze informatie te publiceren.
  • Of het publiceren van de informatie maatschappelijke nieuwswaarde
  • Of de gepubliceerde informatie mogelijk nadelige gevolgen voor de betrokkene heeft en of het in strijd is met wetten tegen stalken, pesten en/of bedreigen.

De illegaliteit van doxen wordt daarnaast gemeten door verschillende aspecten van ieder individueel geval te beoordelen:

  • Doel: wat wil de doxer bereiken? Iemand intimideren, beschadigen of chanteren is illegaal.
  • Informatie: welke gegevens zijn gepubliceerd? Het delen van een woonadres of een telefoonnummer ergere gevolgen hebben dan het delen van iemands echte naam.
  • Manier: hoe is de informatie verkregen? Het betreden van privégegevens of bedreigen van het slachtoffer zijn geen legale manieren.
  • Wetten: in welk land vindt het plaats? Het doxen van een ambtenaar is bijvoorbeeld illegaal in de Verenigde Staten, omdat dit valt onder de federale samenzweringswetten.
  • Gevolgen: ontstaan door het doxen andere illegale activiteiten? Voorbeelden hiervan zijn stalken, identiteitsdiefstal, intimidatie en wraakpornografie.

Hoewel doxing dus niet altijd illegaal is, wordt het meestal wel gezien als onethisch. Het slachtoffer wordt immers blootgesteld aan intimidatie, vernedering, verlies van baan en afwijzing door familie en vrienden. Daarom is het vaak in strijd met de servicevoorwaarden van veel websites. Wanneer de website ontdekt dat doxing heeft plaatsgevonden kan het leiden tot verbanning van de doxer. Via Twitter mag je bijvoorbeeld publieke informatie delen, maar geen adressen, contactinformatie, bankinformatie en identiteitspapieren.

Soorten doxing: van packet sniffing tot social media stalkers

Van iedereen staat persoonlijke informatie online. Dit kan variëren van openbare posts op social media en online shopping accounts tot officiële documenten bij overheidsinstellingen. Als je al deze online broodkruimels verzamelt, heb je al snel een compleet beeld van iemand. Het is dan ook niet al te moeilijk om iemands privégegevens te verzamelen. Dit kan op verschillende manieren.

Packet sniffing

Deze vorm van doxing wordt met name ingezet door ervaren hackers. Packet sniffing houdt in dat doxers je internetgegevens onderscheppen door verbinding te maken met je online netwerk, de beveiligingsmaatregelen te kraken en alle gegevens die vrijkomen te onderscheppen. Deze gegevens zijn bijvoorbeeld e-mails, wachtwoorden, creditcardgegevens en bankgegevens.

IP loggen

Je IP-adres is gekoppeld aan je fysieke locatie, waardoor doxers veel informatie over je te weten kunnen komen. Dit doen ze door een code aan een e-mail vast te maken. Deze code kun je niet zien, maar zodra je de e-mail opent wordt je IP-adres naar de doxer teruggestuurd. Met je IP-adres kunnen ze informatie over je achterhalen, klachten over je indienen of proberen je netwerk te hacken.

Omgekeerd telefoonnummer zoeken

Wanneer een doxer eenmaal je telefoonnummer heeft, kan hij meer informatie over je vinden. Er bestaan namelijk website waar je een telefoonnummer invoert en als resultaat een naam en adres krijgt. Maar je telefoonnummer kan zelfs gebruikt worden om te ontdekken of je een strafblad hebt, hoe je financiën eruitzien en van welke gebouwen je eigenaar bent (geweest).

wat zijn doxers

Social media stalking

Social media is een dankbare bron van informatie voor veel doxers. Mensen zijn namelijk sneller geneigd hier persoonlijke informatie te delen, zoals werk, school, leeftijd, woonplaats, sociale kringen en meer. Zelfs met maar weinig informatie kan de doxer een gedetailleerd profiel samenstellen door de juiste connecties te maken. De doxer kan zelfs de antwoorden op je beveiligingsvragen achterhalen en inbreken op je social media accounts.

Phishing

Phishing betekent het vissen naar persoonlijke informatie. Phishers doen zich voor als een voor jou bekende instantie en contacteren je via e-mail, telefoon of social media. Door je op een link te laten klikken, een bestand te laten downloaden of je vertrouwen te winnen wordt vervolgens toegang verkregen tot jouw privéinformatie.

wat moet je doen bij phishing

Gebruikersnaam volgen

Hoe completer het profiel is dat een doxer van je kan samenstellen, hoe meer hij eraan heeft. De inhoud van dit profiel varieert van je posts op Facebook tot discussies op online fora, je interesses en de tijd die je spendeert op bepaalde websites. Wanneer je op verschillende websites dezelfde gebruikersnaam hebt, kan op eenvoudig een gedetailleerd profiel worden samengesteld.

Overheidsgegevens

Veel informatie op overheidswebsites wordt goed beveiligd, maar een hoop informatie is ook openbaar beschikbaar. Het is niet illegaal om deze informatie te verzamelen. Zo wordt veel informatie opgeslagen in databases met burgerlijke stand en huwelijksaktes, kentekenregistraties, bedrijfslicenties, geboortecertificaten en gemeentelijke archieven.

WHOIS

Wanneer je eigenaar bent van een domeinnaam, wordt je privéinformatie opgeslagen in een register dat iedereen met een WHOIS-zoekopdracht kan vinden. Dit gaat om informatie zoals je naam, adres, telefoonnummer, bedrijfsnaam en e-mailadres.

WHOIS

Metadata van bestanden

Microsoft Office bestanden zoals documenten in Word of Excel slaan metadata op. Dit is informatie over wie het bestand heeft gemaakt, waar deze gemaakt is en namens welk bedrijf. Deze informatie kun je terugvinden door met je rechtermuisknop op het bestand te klikken en in het menu van Eigenschappen te kiezen voor Details.

Via de metadata kan een doxer veel over je te weten komen. Ook andere bestanden slaan metadata op. Via de EXIF data van foto’s kun je zelfs vinden waar en wanneer een foto is genomen.

Gebruik van datahandelaren

Degenen die liever niet zelf aan de slag willen gaan en er geld voor over hebben om privégegevens te verkrijgen kunnen gebruikmaken van datahandelaren. Deze zoeken via bovenstaande mogelijkheden naar persoonlijke informatie en verkopen deze door. Door via alle manieren kleine stukjes informatie te verzamelen kunnen ze een compleet profiel van iemand samenstellen.

Doxing voorbeelden

Doxen kan – afhankelijk van het beoogde doel – verschillende gevolgen hebben. Om dit te illustreren noemen we hier verschillende voorbeelden. Deze vallen in drie verschillende categorieën: foutief, swatting en crimineel doxing.

Foutief doxing

Het kan voorkomen dat doxers onjuiste informatie delen, bijvoorbeeld omdat de verkeerde persoon als dader van een gebeurtenis wordt aangewezen. Voor een voorbeeld hiervan gaan we terug naar 2013, toen tijdens de Boston Marathon een bomaanslag plaatsvond.

Duizenden doxers sloegen via het online platform Reddit de handen ineen om te ontdekken wie dit had gedaan. Onder andere student Sunil Tripathi werd foutief aangewezen als één van de verdachten. Dit resulteerde in een heksenjacht en publieke vernedering van Tripathi, terwijl hij niet betrokken was bij de aanslag.

Swatting doxing

Het SWAT team in de VS kan worden vergeleken met de arrestatieteams die we in Nederland hebben. Swatting houdt in dat een persoon iemand anders beschuldigt van een misdaad en het SWAT team op diegene afstuurt. Dit gebeurde onder andere in 2017, als gevolg van een conflict tussen twee online gamers.

Een derde gamer, Tyler Barris, werd uitgedaagd om een van de twee te swatten, maar ontving een vals adres. Barris belde de politie, deed zich voor als de gamer en zei dat hij zijn vader had vermoord en de rest van zijn familie gijzelde. Andrew Finch, die op het adres woonde en niets met de ruzie te maken had, werd slachtoffer van de toegesnelde politieagenten.

Crimineel doxing

Sommige doxers zijn uit op erge misdrijven. Een voorbeeld hiervan is Neal Horsley, een doxer en anti-abortus activist die rond het jaar 2000 gegevens verzamelde van dokters die abortussen uitvoeren. De lijst bestond uit foto’s, namen en adressen en werd gepubliceerd op de website Nuremberg Files. Het vermoorden van de personen op deze lijst wordt op deze website aangespoord en toegejuicht.

Hoe bescherm je jezelf tegen doxing?

Zoals zoveel online gevaren kun je ook bij doxing niet garanderen dat je er nooit slachtoffer van wordt. Toch zijn er enkele manieren om de kans te verkleinen. We noemen hier negen tips.

1: Deel niet te veel

In het digitale tijdperk zet je eenvoudig persoonlijke informatie online. Let erop dat je niet te veel informatie deelt. Dit kan op verschillende manieren:

  • Post geen privéinformatie in posts op fora en social media.
  • Deel geen persoonlijke gegevens in je profiel op social media, zoals je geboortedatum, woonplaats, school of werk.
  • Vermijd zo mogelijk het openbaar maken van informatie zoals je BSN, adres en bankgegevens. Dit geldt ook voor e-mails, want die kunnen onderschept worden.
  • Controleer bij het delen van foto’s en bestanden of er geen metadata aan vastzit. Via je PC kun je dit verwijderen via Details in de Eigenschappen. Voor je smartphone is het verstandig een EXIF-editor te downloaden.
  • Kies er nooit voor om in te loggen via Facebook of Google wanneer je gebruikmaakt van een app of website. Hierdoor worden namelijk verschillende accounts aan elkaar gekoppeld.
  • Weest kritisch wanneer een mobiele app je vraagt toegang te geven tot je apparaat of gegevens. Soms is dit niet nodig voor de functie van de app.

2: Wijzig je privacy-instellingen

Zorg ervoor dat je posts en profiel op social media alleen door specifieke personen te zien zijn, bijvoorbeeld alleen door vrienden op Facebook en volgers op Instagram. Afhankelijk van het doel waar je het platform voor gebruikt kun je dit apart instellen. Zorg er ook voor dat je op een platform zoals Instagram of TikTok toestemming moet geven voordat iemand je kan volgen.

3: Gebruik een VPN

Met een VPN kun je privéinformatie afschermen. Een VPN (kort voor Virtueel Privé Netwerk) verbindt jouw apparaat met VPN-servers over de hele wereld. Zodra je bent verbonden, krijgt jouw apparaat het IP-adres van die server. Daardoor kunnen doxers je echte IP-adres niet inzien en gebruiken om jouw locatie te vinden. Bovendien versleutelt een VPN al je internetverkeer, zodat anderen dit niet in kunnen zien.

VPN voorkomt doxing

4: Verschillende gebruikersnamen en e-mailadressen

Eén van de manieren waarop doxers een compleet en uitgebreid profiel van je maken, is door dezelfde gebruikersnaam op te zoeken op verschillende platformen. Door verschillende namen te gebruiken, maak je het lastiger om je activiteiten op meerdere websites te volgen. Aanvullend hierop kun je gebruikmaken van verschillende e-mailadressen, bijvoorbeeld één voor professionele zaken, één voor correspondentie met vrienden en familie en één voor online abonnementen.

5: Kijk uit voor phishing

Doxers gebruiken mogelijk phishing tactieken om toegang te krijgen tot je gegevens of apparaat. Dit doen ze door bijvoorbeeld een e-mail te sturen namens een bedrijf of instantie. Let daarom altijd op bij het openen van zulke berichten en klik nooit zonder na te denken op een link of bijlage.

6: Gebruik sterke wachtwoorden

Gebruik je makkelijke wachtwoorden of dezelfde wachtwoorden voor verschillende websites? Doxers kunnen dan makkelijk overal inloggen, zeker als ze één van je wachtwoorden te pakken hebben. Let daarom op het volgende:

  • Gebruik unieke wachtwoorden voor iedere website. Door deze op te slaan in een wachtwoordmanager hoef je ze niet zelf te onthouden.
  • Gebruik wachtwoorden die bestaan uit een combinatie van kleine letters, hoofdletters, cijfers en symbolen. De meeste wachtwoordmanagers kunnen deze voor je genereren zodat je ze niet zelf hoeft te bedenken.
  • Gebruik multi-factor authenticatie. Dit houdt in dat je minstens twee soorten identificatie nodig hebt om in te loggen, zoals het wachtwoord en een code in een app, e-mail of SMS.

7: Ken je rechten

Via de AVG heb je als inwoner van de EU het recht om vergeten te worden. Dit houdt in dat je websites (schriftelijk) kunt verzoeken om je gegevens te verwijderen. Voor Google kan dit ook middels een formulier op de website. Sommige websites zijn uitgezonderd van deze wet omdat ze wettelijk verplicht zijn je gegevens te bewaren.

8: Zoek en verwijder je data

Ook via andere manieren kun je je persoonlijke data van websites laten verwijderen. Zoek regelmatig op je naam in verschillende zoekmachines in incognito-modus en stel Google Alerts in voor je privégegevens zodat je weet wanneer deze online verschijnen.

Verberg je informatie op WHOIS via de privacy-instellingen van je domeinregistratiebedrijf en verwijder je persoonlijke data op websites van datahandelaren. Dit laatste is het meest lastige en arbeidsintensieve. Je kunt daarom ook gebruikmaken van betaalde diensten zoals DeleteMe, PrivacyDuck of Reputation Defender.

9: Gebruik goede cybersecurity

Sterke anti-virus– en malwaredetectieprogramma’s kan het doxers moeilijk maken om privégegevens te stelen. Door je apparaten regelmatig te laten scannen ontstaan er geen gaten in de beveiliging en is het een stuk lastiger om je te hacken of doxen.

Slachtoffer van doxing, wat nu?

Wanneer je toch het slachtoffer bent geworden van doxing, zijn er verschillende stappen die je kunt ondernemen om de schade in te perken.

Rapporteren

Rapporteer de aanval aan de platformen waarop je privéinformatie is gepubliceerd. In de voorwaarden van de platformen staat vaak een rapportageproces dat je kunt volgen. Volgens veel social media platformen is doxing niet toegestaan, waardoor je kunt eisen dat een post met jouw gegevens wordt verwijderd.

Documenteren

Documenteer wat is gebeurd door screenshots te maken of pagina’s te downloaden. Zorg ervoor dat de datum en URL zichtbaar zijn. Dit kan betrokken instanties helpen met het onderzoek.

Financiën beschermen

Wanneer doxers je bank- of creditcardgegevens hebben gepubliceerd moet je dit onmiddellijk aan de betrokken financiële instellingen melden. Je bankpassen zullen dan waarschijnlijk geblokkeerd en vernieuwd worden. Wijzig ook de wachtwoorden van je online bank- en creditcardrekeningen.

Instellingen wijzigen

Verhoog je privacy op social media door de privacy-instellingen te wijzigen naar de hoogste privacy. Zo kunnen ongewenste personen geen toegang krijgen tot je profiel. Wijzig daarnaast al je wachtwoorden en schakel waar mogelijk multi-factor authenticatie in.

Veiligheid waarborgen

Afhankelijk van welke informatie online is gezet, is het belangrijk dat je kiest voor je eigen veiligheid. Ga bijvoorbeeld naar een andere locatie wanneer je adres is gedeeld, of vraag een nieuw telefoonnummer aan wanneer deze niet langer privé is.

Aangifte doen van doxing

Eerder in dit artikel blijkt dat het (nog) niet duidelijk is wanneer doxing al dan niet illegaal is. Wanneer een doxing aanval illegale activiteit bevat is het verstandig altijd aangifte te doen bij de politie. Deze activiteit kan bestaan uit:

  • Het online publiceren van je bank- en creditcardgegevens;
  • Het uiten van persoonlijke bedreigingen;
  • Het aansporen van geweld tegen jou, je sociale kring en/of je bezittingen.

Ook wanneer je niet onder bovenstaande gevallen valt, is het goed aangifte te doen. Bijvoorbeeld om de aanval te documenteren voor je verzekering, bank of gemeente. Aangifte doen van cybercrime bij de politie kan telefonisch, op het politiebureau en via Politie.nl. Een anonieme melding kun je maken via Meld Misdaad Anoniem. Voor advies en juridische bijstand neem je contact op met Slachtofferhulp Nederland.

cybercrime aangeven bij politie

Categorieën: Security

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *