只要你追求正义,就肯定会遭受邪恶力量的攻击,而每一种邪恶力量都很强大,如果处理不好后果往往非常严重。我们不希望匿名性与组织动员能力和公信力相冲突,所以,异议人士和活动家包括记者,都应该掌握一些应对攻击的技巧 —— 合作和联盟非常重要!
我曾经提出过一个问题:如何向活动家普及匿名安全知识。但这是有难度的,活动家往往需要通过实名的知名度来获得更广泛的动员能力,另外塑造一个虚拟身份期望它拥有同样的号召能力是不现实的。
但是,实名有着明显的危险,不只有众所周知的 trolling,还有 Doxing 这类从在线追踪到线下迫害的严重人身威胁。目前正在大多数国家泛滥。
Doxing 是一种基于互联网的暴力行为,用于挖掘和广播关于个人或组织的私人或可识别信息,以便骚扰和伤害活动家及其组织活动。此外,这种攻击还可能伴随着现实世界的暴力,并传播关于个人和/或社会运动的虚假信息,搅乱联合、抹黑名誉。
不要以为中国不存在这类现象,我们四年前就有相关记录《网络“水军”的布局》
敌对方的水军可以通过搜索公共数据、和社交媒体网站(如 Facebook)以及使用黑客工具、和社交工程攻击,来获取关于活动家的私密信息。也就是说,活动家的曝光程度越高,越危险。
尤其是是社交工程学,它正越来越多地被全球政权和他们雇佣的水军利用来攻击异议人士和活动家,这就是为什么社交工程攻击演示成为了 IYP 专注的主题之一。在下面回顾部分内容:
完整的社交媒体生态系统是攻击者最主要的依赖,并传播抹黑性质的虚假信息,其目的就是令活动家沉默。于是我们希望能介绍一些方法,阻止攻击者的目的达成。
以下是一个能保护您的清单:
✔ 创建自助计划,并呼吁您的家人和朋友来帮助您。让他们知道最新的情况,因为 trolling 和 doxing 很可能是创伤性的,你必须优先考虑自己的身心健康,以便继续战斗。
同时,我们依旧要强调合作和联盟。当你孤军奋战的时候就很容易被有组织的攻击压垮,当你知道有很多志同道合的人和你站在一起的时候,就能感受到更多的力量和勇气。
如果可以通过评分来说明的话,中国社会将被列入“协作和联盟能力较差”的行列。如今的联盟仅仅限于本地是不够的,更多的需要全球联盟,很多互联网权利组织都提供跨国协助,不论是快速响应、互联网审查和阻塞、还是在线攻击。比如 Stop LAPD Spying Coalition,Equality labs,都是协作被在线攻击迫害的活动家的组织。
关联:关于快速相应,您应该求助于哪些国际组织《我的设备好像被黑了怎么办? — — 给敏感人士和小白朋友的数字急救包》
✔ 创建一个事故日志。这对于建立攻击模式至关重要,并且可以与其他受害者进行比较,以以识别攻击中的更常见模式、识别对手及其组织的背景。也就是为追责提供证据。
日志的格式比如这样:
请随意创建一个对您有意义的,并且可以适应您的情况的日志。最重要的是,您可以在整个攻击过程中记录笔记,并在可能的情况下与安全专业人员分享。如果您喜欢这里的示例(请点击链接),可以使用此文档作为示例。可以随意复制。
⚠️ 但请注意:我们建议您不要将事件日志保留在谷歌文档中!它不安全!而应保存在加密的文字处理平台上,例如 Ripup 上的 Etherpad 或https://cryptpad.fr上的加密文件。
✔ 立即更改您现有的一切密码。 Trolls 肯定会尽力入侵您的所有帐户。您可以在 www.haveibeenpwned 检验您的电子邮件是否是最近任何黑客攻击的一部分。这可以让您了解您的帐户面临被渗透风险的程度。
在进行快速评估后,列出所有关键帐户并立即更改密码。
此外,如果您有时间,我们建议您使用密码管理器生成并存储所有新密码。这将使您能够更好地为所有帐户创建复杂密码,同时您只需要记住一个主密码即可。
✔ 为您的所有帐户开启 2FA。这意味着您在登录帐户时添加了其他验证方法。当有 Trolls 试图侵入你的帐户时,就能阻止他们。
还是那句话,您需要像骇客那样思考。如果受到损害,您有哪些帐户会造成损失最严重?通过接管您的电子邮件,攻击者可以释放私密信息并干扰您的沟通,通过接管您的银行帐户,他们会肆无忌惮地处理您的财务状况等等。因此,如果可以的话,锁定所有这些。
我们建议您添加 2FA,⚠️ 但是请尽可能避免使用文本/短信作为验证方法!这是因为文本可能被截获,因此很不安全。❗️我们建议您使用 Authy 等应用,它可以在您的手机上生成代码,并且可以在手机被没收、被盗或丢失的情况下远程撤销。
✔ 找出一切可以识别您身份的信息。在 Duckduckgo 上搜索自己,并尝试在隐身模式下进行此搜索。这将让您了解在线网络中存在的关于您的数据量。
检查您的数据泄漏并在此处选择退出:
BeenVerified: https://www.beenverified.com/faq/opt-out/
CheckPeople: http://www.checkpeople.com/optout
Instant Checkmate: https://www.instantcheckmate.com/optout/
Intelius: https://www.intelius.com/optout.php
PeekYou: http://www.peekyou.com/about/contact/optout/index.php
PeopleFinders: http://www.peoplefinders.com/manage/
PeopleSmart: https://www.peoplesmart.com/optout-signup
Pipl: https://pipl.com/directory/remove/
PrivateEye: http://secure.privateeye.com/help/default.aspx#26
PublicRecords360: http://www.publicrecords360.com/optout.html
Radaris: http://radaris.com/page/how-to-remove
Spokeo: http://www.spokeo.com/opt_out/new
USA People Search: http://www.usa-people-search.com/manage/default.aspx
TruthFinder.com: https://www.truthfinder.com/opt-out/
Nuwber: https://nuwber.com/removal/link
OneRep: https://onerep.com/optout
FamilyTreeNow: http://www.familytreenow.com/contact
虽然很难将所有内容都删除,但每一点都会有帮助。这是一场艰苦的战斗,因为有数百个这样的网站,大多数组织者都没有多少时间来做这项工作。那么怎么办?
在一个紧急的 doxing 攻击案例中,如果你只是在快速反应方面吃不消了,那么请考虑使用像 Privacy Duck 这样的服务。这就是联盟的力量,他们可以与在各地的活动家合作,帮助清理他们的数据。Equality Labs 也可以帮忙,因此,如果您认为自己需要这样的帮助并且符合条件,请发送电子邮件至 equalitylabs@protonmail.com。
你可以获得的关于 Privacy Duck 的好处是,他们在 YouTube 上分享所有免费的教程视频,并提供了详细的分步说明:https://www.youtube.com/privacyduckcom
✔ 打电话给你的信用卡,手机提供商,公用事业服务部门和银行,让他们知道你被攻击者瞄准了。很多时候,Trolls 会通过试图追踪您的信用卡、银行账户等,将在线攻击带入现实世界。这些服务部门通常可以添加额外的安全层,以帮助保护您的账户,尤其是在威胁期间。
✔ 坚持使用加密良好的 VPN 保护您的网络访问。这有助于将您的网络流量私有化,并绕过您的互联网服务提供商的过滤。它还确保 Trolls 无法使用您的 IP 地址找到您。无论您使用何种 VPN,请务必阅读隐私政策,以确保您的服务不会出售、存储或共享您的数据。在这里找到安全的 VPN 《工具箱》,并且,在这里《验证您正在使用的 VPN 是否安全》。
✔ 使用 TOR 浏览器。 VPN 可以提供隐私,但只有 TOR 浏览器才能提供真正的匿名性。在这里看到我们对 Tor 的介绍:1、《Tor 的来历:当搬石头砸脚遇到“运动死亡”》2、《反侦查技巧》3、《当局如何诱捕 Tor 的使用者》4、《创新考虑互联网》5、《使用 Tor 保护自己时千万不要做这九件事!》
✔ 安装 Signal。安装在手机和计算机上,此安全消息传递和语音应用程序可以取代短信、电话和电子邮件。重要的是您必须先在手机上安装它,并确保验证所有用户。Signal 最大的问题在于使用手机号注册,您可以避免使用自己真正的手机号,方法:《🔐 如何在不必暴露真实电话号码的情况下使用 Signal》
✔ 使用加密的电子邮件,⚠️ 切勿使用谷歌的 Gmail !!! GMail 与政府就许多监控计划(包括 PRISM 项目)上进行合作。因此,尽管谷歌的广泛保护可以帮助您解决个别黑客的问题,但仍然存在这样的威胁:您的帐户中的所有数据都可以被搜索并存储到 NSA 的服务器上,而无需您的知情。
如果您必需使用 Gmail,请安装额外的加密,MAC 的 GPG 加密或 PC 的https://gnupg.org。这些是安全的,但你自己的 GPG 的设置可能对非专业人士来说有点麻烦。在这种情况下,使用 Tuanota 或 ProtonMail 等加密电子邮件服务。这两种服务都将您的加密密钥作为服务的一部分嵌入,其界面类似于 g-mail。
✔ 安全的团队通话使用 TALKY.IO或 ZOOM。⚠️ 包括免费电话会议在内的所有其他协议都不安全!包括 Skype,谷歌环聊和 facetime。 Talky.io是免费的,但其免费版本的时间有限。如果您使用 Zoom,请确保转到设置并启用加密。
✔ 在您的所有社交网络上更改您的隐私设置。访问您的 Facebook,Twitter,Snapchat 和 Instagram 的隐私设置到 PRIVATE,并阻止所有已关注您的 Trolls。
对于许多人来说,如果被发现从事政治活动,那么他们就会面临特别的风险。如今这在任何一个国家都一样。
要禁用公开可见的个人资料,请访问 https://www.linkedin.com/public-profile/settings ,在右侧,您会看到“您的个人资料的公开可见度”。将其切换为“关闭”。
对于您的所有 Facebook 隐私设置,可以在这里找到它们:https://www.facebook.com/help/325807937506242/
关键是以下这些:
更改您的设置,以便只有您的朋友才能看到您当前的帖子。当您想要发布与公共相关的工作内容时,请将这些单独的帖子设置为公开。观看此视频,保护过去的时间线帖子:How To Video
请查看您的朋友列表。如果有人关注了你或者你的朋友,但你不记得他们是谁,或者模糊地记得与他们进行过一些尴尬的互动,那么立刻拉黑他们。仔细检查您的每个朋友是否都是唯一的,查看是否有人伪造了和您的朋友相似的名字和照片的帐户,如果有,立即拉黑。
同时浏览您的个人资料信息,确保您的电话号码和电子邮件设置为“仅限您自己可见”。删除您在个人资料网站上不希望被任何人看到的信息,包括精选照片什么的。这是因为常见的战术 Trolls 将会搜集你的专辑照片并将其传播到互联网上。他们会这样做,要么是为你创建一个虚假的个人资料,用于抹黑,要么就是骚扰 memes 等。
删除您的 Facebook 所有公开照片,并将其替换为没有您在内的通用照片,并删除您的完整生日信息(或用不准确的信息替换它)。
在您的帐户设置中,请确保您已验证所有登录请求,以便标记任何试图进入您帐户的人。
在您的隐私和安全设置中,请确保禁用位置信息。这可以防止通过推文泄露您的位置。
调整照片标记,以便随机的攻击帐户无法把您标记在骚扰内容或状态中。
关闭“通过电子邮件/电话找到我”选项。
如果您担心被假冒 Antifa 帐户关注,请考虑安装像 block together 这样的应用程序。 block together 可确保您可以更安心地操作,因为他们的目标是阻止再次骚扰和传播虚假信息。您还可以使用 Troll Busters 等服务反击大规模的 trolls,其中包含可以帮助淹没滥用行为的正面消息。有关详情,请访问 http://www.troll-busters.com。
✔ 取消所有ORPHAN帐户。请记住,trolls 将使用他们在网上获得的任何信息来攻击您,他们会搜罗尽可能多的您拥有的账户。您长时间未使用的帐户可能会使您容易受到攻击,所以要保持安全并关闭它们。您可以访问 https://namechk.com 获取您可能忘记注册过的帐户列表。
✔ 最后,确保备份您的硬件。
很好就这样!也许你会觉得这很难记住,数字安全是一个系统,您正在创建并实施作为组织者必备的核心技能的一部分。数字安全没有灵丹妙药,它是一种意识和实践,通过不断重复及社区共同致力于保持安全而不断变得更好。
现在最好的防守是集体防守,我们要联合起来。◾️
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport