O que é doxxing e como se proteger contra ele?

Doxxing (ou doxing) é o ato de revelar e/ou vazar informações sigilosas e pessoais na internet.

Os doxxers (pessoas que realizam doxxing) pesquisam, coletam e expõem publicamente (na internet – e em outros meios) dados pessoais sem o consentimento da vítima, o que pode causar assédio, perseguição e uso indevido destes dados pessoais. Golpistas podem usar as informações das vítimas para cometer fraudes.

Para muitas pessoas, privacidade é essencial. E o doxing pode ser considerado como um tipo muito sério e invasivo de ataque cibernético. Ele pode ser feito contra indivíduos ou contra organizações e grupos inteiros.

Atualmente, ele é mais usado por pessoas que podem querer revelar informações pessoais suas e da sua família porque não gostam de você, do que você posta nas mídias sociais e fóruns ou por conta de alguma interação online. Você não precisa ser uma pessoa famosa: qualquer pessoa pode ser vítima de doxxing.

Basicamente, o doxxing é um método de coleta de informações que pode envolver várias técnicas, mas que conta principalmente com o descuido da vítima ou com a exposição de informações pessoais dos alvos.

Há métodos diferentes de realizar o doxxing e as técnicas mais comuns incluem:

• Wi-Fi (pacote) sniffing: redes públicas de Wi-Fi são muito mais vulneráveis às atividades de doxxing e o sniffing é a ação de interceptar sua conexão sem muito esforço, o que permite visualizar suas informações e ações em tempo real, como os websites que você visita. Isto significa que seus dados sensíveis, como informações de login e senhas, correm sério risco de serem comprometidas e vazadas.
• IP logging: Hackers também conseguem usar um registrador de IP (a identificação da sua conexão com a internet), um tipo invisível de código, instalando-o no dispositivo da vítima (por meio de um e-mail ou mensagem) para descobrir seu endereço IP. Endereços de IP podem ser usados para descobrir sua localização geográfica – ao menos em um nível aproximado, o que já é muito invasivo.
• Análise de arquivos de metadados: hackers também podem acessar arquivos de metadados, o que permite acessar uma quantidade muito grande de informações suas. Ao clicar na seção de ‘Detalhes’ em um arquivo do Word, é possível ver quem criou o arquivo, quem editou, quando, e até mesmo em qual empresa o arquivo foi feito. Fotos também possuem estas informações em dados EXIF, exigindo o modelo do smartphone ou da câmera usados para tirar a foto, a resolução, a data e a hora em que ela foi tirada, e até mesmo a sua localização caso o GPS esteja ativo quando a foto é tirada.

Nós podemos dividir o doxxing em algumas categorias principais – afinal, apesar de todos terem o mesmo objetivo, os métodos usados e o funcionamento deles varia de tipo para tipo.

Doxxing de IP

O doxxing de IP acontece quando um doxxer consegue descobrir qual é o seu IP. Com esta informação, o doxxer pode enganar o provedor de internet da vítima para conseguir ainda mais informações, dados e registros pessoais.

Doxxing de swatting

O swatting é uma das formas mais graves e perigosas de doxxing. Nele, o cibercriminoso entra em contato com autoridades policiais para fazer denúncias falsas contra o alvo, o que pode gerar situações extremamente perigosas e gerar um dano imenso à vítima. Apesar de ser mais comum nos EUA (daí o nome swatting, de SWAT), ela também acontece em diversos países, inclusive no Brasil.

Doxxing de redes sociais

Um dos meios mais simples de realizar doxxing é stalkeando as redes sociais da vítima. Instagram, Facebook, Reddit, Pinterest, Twitter, TikTok e várias outras plataformas de mídias sociais são uma verdadeira fonte de informações e dados de uma infinidade de pessoas.

Muitos internautas acabam não tendo cuidado com a exposição de informações pessoais (nome completo, telefone, endereço, e-mail, local de trabalho, entre outros), o que facilita ainda mais a vida dos doxxers.

Doxxing de phishing

Outro tipo de doxxing é o que usa técnicas de phishing para atingir a vítima. Basicamente, a vítima recebe alguma mensagem de e-mail, SMS, chamada telefônica, mensagem em mídia social ou app de mensagens instantâneas (como WhatsApp, por exemplo) com um link ou anexo infectados.

Ao clicar no link, a vítima é direcionada para uma página falsa e fornece informações pessoais (especialmente dados da conta bancária) preenchendo formulários, ou tem o dispositivo infectado por algum tipo de malware que facilita a invasão por parte de quem pratica o doxxing, permitindo a descoberta de mais informações pessoais.

Doxxing de Whois (‘’quem é’’)

O Whois é uma ferramenta gratuita que facilita a identificação de pessoas, principalmente aquelas que são responsáveis por domínios de websites. Apesar de as pessoas terem a opção de privar números de telefone, endereço, nome completo, identidade e outros dados, muitos não fazem esta configuração, o que deixa uma quantidade imensa de dados pessoais no Whois e facilita a vida dos doxxers.

Doxxing de data brokers

Data brokers são empresas, grupos e pessoas que coletam, armazenam e vendem informações pessoais de uma quantidade imensa de pessoas (especialmente em plataformas de mídia social). Data brokers podem simplesmente vender estes dados para quem quiser pagar, e isto inclui os doxxers. Muitos dados são vendidos na dark web sem nenhum consentimento dos usuários, obtidos de forma totalmente ilícita.

Doxxing de rastreio de username

Doxxers também conseguem identificar o username (nome de usuário) da vítima e, caso ela use um nome igual ou parecido em diferentes plataformas, acessam uma quantidade significativa de informações das vítimas em diferentes redes sociais, fóruns, apps e outras plataformas.

Doxxing de pesquisas reversas

Outro método muito eficiente, os doxxers podem descobrir o número de telefone de uma vítima e, assim, descobrir uma grande quantidade de informações e dados pessoais. Vários apps, websites, plataformas e redes acabam fornecendo informações dos usuários quando alguém usa o número de telefone para fazer consultas no campo de pesquisa.

Alguns exemplos bem expressivos de ataques de doxing são os ataques que Cardi B, JK Rowling, Kim Kardashian e Jay Z, só para citar alguns casos. Em grande parte, ataques de doxing geram muitos prejuízos financeiros, além imensos danos psicológicos e emocionais. Afinal, um dos principais objetivos é prejudicar e expor ao máximo a vítima.

Outros casos terminam de forma mais grave, como o de Sunil Tripathi, que foi falsamente acusado de ter responsabilidade no atendado à maratona de Boston em 2013. As informações de Sunil foram expostas online e ele não suportou a exposição, cometendo suicídio.

Em algumas situações, os doxxers são identificados, como no caso com o jogador de Beisebol Curt Schilling, que conseguiu descobrir duas pessoas anônimas do Twitter que enviavam mensagens agressivas, abusivas e intimidadoras para a filha dele. Um dos responsáveis pelo assédio perdeu o emprego como consequência do doxxing.

No Brasil, um dos casos mais famosos aconteceu com a atriz Carolina Dieckmann, quando um hacker conseguiu invadir o computador pessoal dela, acessando informações pessoais e 36 fotos íntimas da atriz. Além disso, o criminoso exigiu o pagamento de R$10 mil reais para não vazar as fotos e dados roubados. Mas, como a vítima não aceitou a chantagem, as fotos foram divulgadas.

O caso deu base para a criação da Lei Carolina Dieckmann (Lei Nº 12.737/12), que tornou crime a invasão de ambientes virtuais, o roubo e a divulgação de dados e informações pessoais, sendo um passo importante na proteção da privacidade online.

Isto depende das leis e regulamentações de cada país e região (nos Estados Unidos, por exemplo, vários estados consideram o doxxing como crime). Em geral, o doxxing é uma atividade ilegal e um crime cibernético.

Muitas legislações proíbem o próprio armazenamento, divulgação e comercialização de dados pessoais sem consentimento dos usuários, outras levam em conta os efeitos causados pelo doxxing, como prejuízos à imagem, danos financeiros, danos morais, entre outros.

Quando o doxxing coloca a integridade, a privacidade e a segurança da vítima em risco (inclusive dados da conta bancária), ele pode ser considerado como crime mesmo que não haja uma legislação específica sobre ele, já que suas ações e efeitos podem recair sobre várias outras leis de um país/região. É muito importante você pesquisar sobre a legislação do seu país em relação ao doxxing.

No Brasil, o doxxing (e o assédio online em geral) pode ser enquadrado como crime de acordo com o artigo 153 do Código Penal (quando a exposição é feita sem uma causa justa e quando causar dano à vítima) e também pela Lei Nº 12.737.

Apesar de ser praticamente impossível se proteger completamente contra doxxing (e contra qualquer outro tipo de ameaça), você pode adotar algumas medidas de segurança que diminuem muito as chances de você sofrer e ser vítima de doxxing (e, mesmo que ele aconteça, os danos podem ser muito menores):

Limite e filtre bem as informações que você expõe online

Uma das dicas mais fundamentais é saber que tipo de informação você deve postar e o que você não deve postar. Pode parecer que o doxxing é feito com técnicas muito complexas, e algumas delas são mais técnicas mesmo, mas em grande parte os doxxers conseguem simplesmente pegar informações disponibilizadas abertamente pela própria vítima.

Uma boa dica é evitar expor informações pessoais, definir boas configurações de privacidade e usar um navegador mais privativo, além de buscadores menos invasivos (buscadores como Google são conhecidos por coletar uma quantidade imensa de informações e registros dos usuários, o que prejudica a privacidade).

Retire suas informações de plataformas de data brokers

Você também pode remover seus dados pessoais de plataformas de data brokers. Elas coletam, armazenam e comercializam informações de uma quantidade imensa de pessoas, o que facilita a vida dos doxxers e aumenta as chances de você ser vítima de doxxing.

Além disso, evite inserir suas informações pessoais (como contas de redes sociais) em plataformas como fóruns e comentários de portais de notícias. Isto pode facilitar o roubo de identidade no doxxing. Se você quiser saber se seus dados são armazenados por data brokers, você pode fazer uma consulta no White Pages ou no People Finder.

Pense bem antes de fazer comentários

Portais de notícias, fóruns, mídias sociais e grupos em geral coletam suas informações pessoais, o que pode ser muito útil em ataques de doxxing, facilitando sua identificação e a descoberta da sua localização.

Então, antes de fazer comentários (onde quer que seja), pense duas vezes. Compartilhar suas opiniões pode ser uma forma de facilitar o doxxing e te deixar mais exposto(a) e vulnerável.

Use uma VPN para alterar seu endereço de IP

Uma outra forma de reduzir os riscos de sofrer com doxxing é esconder seu IP. Para isto, você pode baixar a VPN, configurar sua conta e escolher um servidor entre as várias opções disponibilizadas. A VPN altera seu endereço IP através da conexão com um servidor virtual privado, o que oferece mais privacidade e sigilo para suas informações, atividades e dados online.

Assim, mesmo que algum doxxer descubra seu IP, ele não vai ter acesso ao seu endereço real de IP, mas sim ao endereço do servidor ao qual você se conectar. Isto diminui e muito os danos e riscos do doxxing. A NordVPN oferece uma vasta seleção de servidores seguros divididos em vários países e regiões ao redor do mundo, protegendo seu IP contra a prática de IP spoofing.

Crie senhas fortes e proteja suas credenciais

Um dos maiores objetivos dos doxxers é conseguir, na prática, descobrir suas credenciais, como nome de usuário, e-mail e senhas. Senhas são essenciais para sua proteção porque servem como uma das primeiras barreiras de segurança entre você e os cibercriminosos. É por isto que você deve criar senhas fortes.

Usar um bom gerenciador de senhas também é uma ótima iniciativa de proteção. O NordPass ajuda a gerenciar suas senhas, o que faz com que elas fiquem muito menos vulneráveis a doxxing e outros tipos de crime cibernético, além de deixá-las mais acessíveis a você. Também é recomendável não usar funções de salvar senhas no navegador (como a ferramenta de preenchimento automático).

Ative a autenticação de dois fatores

Ativar a autenticação de dois fatores também ajuda a diminuir a exposição dos seus perfis e contas. Mesmo que um doxxer descubra sua senha, ele vai precisar do código de autenticação (enviado para o seu celular por SMS, seu e-mail, chamada de telefone, app de autenticação ou outro método que você escolher), o que cria uma camada adicional de segurança nas suas contas e dificulta a prática de doxxing e outros cibercrimes.

Use uma ferramenta de segurança

É indispensável usar um bom software para melhorar a proteção do seu dispositivo. A NordVPN oferece a Proteção Contra Ameaças, uma funcionalidade que bloqueia rastreadores (trackers) e evita o download de spyware e programas maliciosos do gênero.

Se você for vítima de doxxing, há alguns passos que são muito úteis de se seguir e que ajudam a diminuir e minimizar os danos do doxxing:

1. Entre em contato com as autoridades: reúna o máximo de provas possíveis e entre em contato com as autoridades locais para relatar o crime. Isto ajuda a dar mais proteção legal e jurídica e a encontrar os responsáveis pelo crime.
2. Altere suas senhas: altere as senhas das suas contas em redes sociais, fóruns, plataformas e aplicativos.
3. Proteja suas contas e acessos: ative a autenticação de dois fatores para evitar vazamentos ainda maiores e se prevenir contra outros ataques de doxxing.
4. Reforce as configurações de privacidade: deixe seus perfis mais privados ou desative temporariamente suas contas até que o problema seja resolvido. Isto serve como medida de contenção emergencial.
5. Mude de telefone: se seu telefone for comprometido, mudar de número é uma ótima forma de evitar maiores danos.

O doxxing é extremamente perigoso e pode causar danos imensos para as vítimas. Toda proteção é mais do que bem-vinda e a prevenção é muito melhor do que remediar este tipo de ataque. Adotar práticas saudáveis de netiqueta para incentivar comportamentos e interações online mais saudáveis e positivas também é uma ótima forma de desestimular as práticas de doxxing.

Invista em mecanismos e ferramentas para melhorar sua privacidade online e se expor o menos possível.