Doxxing nedir ve kendinizi bu tehlikeden nasıl koruyabilirsiniz?

Doxxing, belirli bir kişinin özel bilgilerinin rızası olmadan paylaşılmasını içeren bir çevrimiçi taciz türüdür ve aynı nedenle bir siber güvenlik riskidir. Bu bilgilere kişilerin adları, adresleri veya telefon numaraları dahil olabilir. Doxx tacizini yapan saldırgan, seçtiği hedefin kişisel olarak tanımlanmasını sağlayacak bilgileri arar, toplar ve herkese açık bir şekilde paylaşır. Bunun sonucunda, sızdırılan bilgiler farkı kişiler tarafından da kullanılarak kurbanı hedef alan daha fazla tacize neden olabilir.

Peki, doxxed ne demek? “Doxxing” kelimesi, IRC’nin popüler olduğu zamanlarda eski usul bilgisayar korsanlarının kullandığı bir teknik olan “drop dox” teriminden geliyor. Bu korsanlar, hedef olarak seçtikleri diğer korsanların anonimliğini ortadan kaldırır ve onları korkutur, taciz eder, hatta kolluk kuvvetlerini adreslerine gönderirdi.

Günümüzde de doxxing tüm bunları içeriyor, ancak artık sadece korsanların birbirlerinden intikam almak için kullandığı bir şey değil: Siber zorbalar ve çevrimiçi oyuncular tarafından da kullanılıyor. Sosyal medya veya forumlardaki bir gönderinizi beğenmeyen biri sizin veya aile üyelerinizin kişisel bilgilerini ifşa edebilir. Aynı şekilde, çevrimiçi bir oyunda yendiğiniz kişiler de “intikam almak” için aynını yapabilir. Bunun için tanınan biri olmanıza da gerek yok: Herkes bir doxxing saldırısının hedefi olarak seçilebilir.

Dox ne demek sorusunu cevapladığımıza göre, bu saldırının ne kadar zararlı olabileceğinden bahsedelim. İlk bakışta, bir doxxing saldırısının çok zararlı olmayacağını düşünebilirsiniz. Zira ifşa edilen bilgileriniz internette zaten yer alıyordu: Bunlarla kim ne yapabilir ki? Ev adresiniz, telefon numaranız, e-posta adresiniz ve T.C. kimlik numaranız gibi bilgileriniz birçok platformda dağılmış halde bulunabilir. Peki ya birisi bunları bir araya getirip üzerlerine banka hesabı bilgilerinizi, özel yazışmalarınızı, utanç verici olabilecek fotoğraflarınızı ve imzalı dilekçelerinizi eklerse? Titizlikle seçilmiş küçük bilgi parçaları, herhangi birinin olumsuz bir portresini oluşturmak için kullanılabilir. Böyle bir saldırı, mahremiyetinizin ihlal etmekten daha fazlasına neden olacaktır:

• Kişisel veya profesyonel itibarınıza zarar verebilir,
• Sizi küçük düşürebilir ve utandırabilir,
• Sosyal medya üzerinde linç edilmenize neden olabilir,
• Kimlik hırsızlığıyla sonuçlanabilir,
• Farklı türlerde siber saldırılar düzenlemek için kullanılabilir,
• Kurbanı fiziki zarar görme riskine sokabilir,
• Taciz ve tehditlere neden olabilir,
• Adresinize uydurma ihbarlar ile polisin gönderilmesine (“swatting”) neden olabilir.

Hedef olarak seçilen kişi hakkında bilgi toplamak için basit veya karmaşık teknikler kullanılabilir. Bir saldırgan, sadece kendi rızanızla paylaştığınız verileri kullanarak bile hakkınızda şaşırtıcı miktarda şey öğrenebilir. Bilgi toplamak için kullanılan yaygın teknikler arasında şunlar yer alır:

• Wi-Fi (paket) koklama. Herkese açık Wi-Fi ağları, bilgisayar korsanlığına karşı oldukça savunmasızdır. Saldırgan, çok fazla uğraşmasına bile gerek kalmadan internet bağlantınıza müdahale edebilir ve ziyaret ettiğiniz web sitelerine ilettiğiniz bilgileri gerçek zamanlı görebilir. Yani oturum açma bilgileri ve şifreler gibi hassas verileriniz bile tehlikeye girer.
• Dosya meta verileri analizi. Bir saldırgan, yalnızca dosya meta verilerine bakarak bile hakkınızda çok fazla şey öğrenebilir. Örneğin, bir Word dosyasının “Ayrıntılar” sekmesinde onu kimin oluşturduğu, kimin düzenlediği ve ne zaman erişildiği görülebilir. Benzer şekilde, fotoğraflarda EXIF verileri bulunur. Bu veriler, fotoğrafı çekmek için kullanılan akıllı telefonun veya kameranın modelini, çözünürlüğünü ve fotoğrafın çekildiği zamanı içerir. Hatta fotoğraf çekildiğinde GPS etkinse konumunuzu bile gösterebilir.
• IP kaydedici. Saldırgan, IP kaydedici bir yazılımı cihazınıza e-posta veya mesaj yoluyla bulaştırabilir ve IP adresi bilgilerinizi elde edebilir. Bu bilgi, yaklaşık coğrafi konumunuzu tespit etmek için kullanılabilir.

Doxxing tacizinin yasal olup olmadığı, yaşanılan ülkeye bağlı olarak değişir. Örneğin, Amerika Birleşik Devletleri’nde, birinin itibarına kasıtlı olarak zarar veriyor veya onu tehlikeye atıyorsa, doxxing’i bir suç olarak tanımlayan federal ve eyalet yasaları vardır. Pek çok AB ülkesi de ifşa edilen bilgileri elde etmek zorsa ve ifşa eylemi kurbanın mahremiyeti ile güvenliğini ihlal etmişse, doxxing tacizini yasa dışı olarak kabul eder. Türkiye’de ise doxxing tacizi 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında bir suç veya Türk Ceza Kanunu kapsamında bir taciz olarak değerlendirilebilir.

Evet, bunu yapabilirsiniz ve hatta yapmanız iyi bir fikir olabilir. Kendi kendinizi doxx etmek, kişisel bilgilerinizin ne kadarının internette olduğunu öğrenmenizi sağlar. Bu sayede, çevrimiçi olmasını istemediğiniz bilgileri silmeye başlayabilirsiniz.

Bunu yapmaya bir Google araması ile başlayabilirsiniz. Adınız ve soyadınızı Google ile aratın: Büyük ihtimalle önce sosyal medya hesaplarınız çıkacaktır. Bunu engellemek için yapabileceğiniz çok fazla şey yoktur ancak adınızı takma bir isimle değiştirebilir ve bazı sosyal medya platformlarının profilinizi arama motorlarından gizlemenize izin veren ayarlarını kullanabilirsiniz.

Ardından, daha spesifik bir arama yapın: Adınızı “telefon numarası” veya “adres” gibi anahtar kelimelerle birlikte Google’da arayın. Sadece web sonuçlarını değil, görsel sonuçlarını da kontrol edin. Avrupa Birliği’nde yaşıyorsanız GDPR kuralları gereği kişisel verilerinizin web sitelerinden silinmesini talep edebilirsiniz.

Ne yazık ki, dünyanın başka bir yerinde yaşıyorsanız bu işlem kadar basit olmayacaktır. Yine de, halen bilgilerinizi barındıran web sitesinden onları silmesini isteyebilirsiniz: Pek çok site bunu yapmayı kabul edecektir. Silemediğiniz verileriniz bir sorun oluşturabilir, ancak en azından artık hakkınızda hangi bilgilere ulaşılabildiğini biliyor olacaksınız ve bundan sonra daha dikkatli davranmaya başlayabilirsiniz.

Doxxing tacizinden kaçınmak veya en azından riski en aza indirmek için alabileceğiniz bazı önlemler vardır. Malware korumas için bir yazılım kullanmak her kullanıcının alması gereken bir tedbirdir, ancak bunun dışında şunları da yapabilirsiniz:

#1: Çevrimiçi paylaştığınız bilgileri sınırlayın

Hiç arama motorlarında kendi adınızı arattınız mı? Bir deneyin, zira siber saldırganların da hakkınızda bilgi toplamak için yapacağı ilk şey bu olacaktır. Gizlilik odaklı bir arama motoru kullanmayı deneyin. Google, kullanıcı profilinize ve tercihlerinize göre arama sonuçları sağlar, yani gördüğünüz sonuçlar size özeldir: Bir saldırganın göreceği bilgileri göremeyebilirsiniz.

Hakkınızda hangi bilgilerin çevrimiçi olduğunu öğrendikten sonra, onları mümkün olduğunca silmeye ve/veya kısıtlamaya çalışın. Bilgilerinizin büyük bir kısmı sosyal medya profillerinizden gelecektir, bu nedenle gerçek bilgilerinizi paylaşmaktan kaçının ve fotoğraf paylaşırken iki kere düşünün: Kendi isteğinizle paylaştığınız şeyler, aleyhinize kullanılabilir mi?

#2: Yorum yapmadan önce dikkat edin

Anonim (veya sözde anonim) yorumlar göndermenize izin veren siteler, aslında IP adresiniz gibi konumunuzu ve kimliğinizi ortaya çıkarabilecek verileri toplamaya devam eder. Web sitelerine yorum bırakıyorsanız, kimlik hırsızlığına neden olabilecek kişisel bilgilerinizi asla girmeyin, sosyal medya hesaplarınızla giriş yapmayın ve IP adresi değiştirme için bir VPN kullanın.

#3: Kendinizi veri komisyoncusu sitelerden çıkartın

Veri komisyoncusu (data broker) siteler tüm interneti tarar, verileri tek bir yerde toplar ve işletmelere satar. Çoğu zaman, okumadan kabul ettiğiniz kullanıcı sözleşmeleriyle bunu yapmalarına siz onay vermiş olursunuz. Bu onayı iptal edebilirsiniz, ancak bu süreç uzun ve sinir bozucu olabilir. İsim, adres ve telefon numarası sorgulaması yapılan sitelerde kendi bilgilerinizi kontrol edin ve sonuçlar arasında çıkıyorsanız, o sitelere ulaşıp verilerinizin silinmesini isteyin.

#4: Şifrelerinizi koruyun

Çevrimiçi hesaplarınızın kontrolünü ele geçirmek, her bilgisayar korsanının rüyasıdır zira bu sayede verilerinizi çalabilir, kimlik hırsızlığı yapabilir ve hesaplarınızı başka saldırılar yapmak için kullanabilirler. Şifreler, hesaplarınızı ve sosyal medya profillerimizi koruyan en önemli şeydir, bu nedenle güçlü ve benzersiz olduklarından emin olun. Bu iş için NordPass şifre yöneticisi uygulamasını da kullanabilirsiniz.

#5: Bir sanal özel ağ (VPN) kullanı

VPN kullanmak çevrimiçi verilerinizi şifreler ve gerçek IP adresinizi gizler. Bunlar, alabileceğiniz en etkili güvenlik önlemleri arasındadır. Özel bilgilerinizin “koklanmasını” engelleyebilir ve çevrimiçi oyunların keyfini rahatça çıkarabilirsiniz. VPN ile oyun oynamak mümkündür ve bu deneyimin daha güvenli hale getirir.

NordVPN tercih edin: Bu sayede, Threat Protection gibi ek özelliklere de sahip olur ve kötü amaçlı yazılım barındıran şüpheli web sitelerine karşı korunursunuz. Reklam engelleyicimiz, doxxing saldırganlarının özel verilerinize erişmesini de engelleyebilir.