Bei vielen Cyberattacken spielen Hacker eine große Rolle: Viren werden programmiert, technische Sicherheitslücken ausgenutzt und softwarebasierte Angriffe gefahren. Die Kriminellen sind in solchen Fälle Spezialisten mit IT- und Programmierkenntnissen auf höchstem Niveau. Angreifer, die doxxen, brauchen allerdings in den meisten Fällen gar kein solches Expertenwissen. Hier zählen nur Ausdauer, Motivation und eine große Menge kriminelle Energie.
Doxing-Attacken laufen immer in zwei Stufen ab: Sammlung und Veröffentlichung. Im ersten Schritt sammeln Angreifer alle verfügbaren Informationen des Opfers. Hierzu zählen private Adressen, auch E-Mail-Adressen, Telefonnummern, die Namen von Familienangehörigen, Social-Media-Konten, private Fotos, teilweise auch Bankdaten. So vielfältig die Daten sind, so umfangreich sind auch die Quellen.
- Social Media: Menschen veröffentlichen zahlreiche Fotos und auch persönlichste Informationen in frei zugänglichen Social-Media-Auftritten.
- Webseiten: Im Impressum einer Website oder eines Blogs stehen konkrete Adressdaten von Personen und Unternehmen.
- Adress- und Telefonbücher: Datenbanken mit Adressen und Telefonnummern sind auch online durchsuchbar.
- Gehackte Datenbanken: Angreifer hacken Cloud-Speicher oder eigentlich gesicherte Datenbanken und beziehen aus diesen sensible Informationen. Daten, die auf diesem Weg gekapert wurden, können Doxing-Angreifer auch im Darknet erwerben.
- Social Engineering: Angreifer treten als vertrauenswürdige Personen im Internet auf und manipulieren Opfer und Angehörige so, dass diese freiwillig Informationen herausgeben.
Viele Doxing-Angriffe finden ausschließlich mit frei verfügbaren Informationen statt. Durch die Bündelung der Daten und den Kontext, in den die Veröffentlichung gesetzt wird, entsteht der Schaden für das Opfer.
Im zweiten Schritt werden die gesammelten Informationen möglichst breit gestreut veröffentlicht. Dafür legen Angreifer gefälschte Konten in den sozialen Medien an und hinterlegen die Dokumente auf anonymen Plattformen. Ziel ist es, dass möglichst viele weitere Personen die Informationen aufgreifen und verbreiten, damit der Schaden maximale Ausmaße annimmt. Oftmals ist schon die Veröffentlichung mit Drohungen verbunden, die ebenfalls von anderen Nutzern aufgegriffen werden und dabei auch die Sphäre des Internets verlassen können.