„Socialbots“ stehlen 250 GByte an Nutzerdaten bei Facebook

Kanadische Forscher haben in einer achtwöchigen Studie gezeigt, wie Programme bei Facebook erfolgreich als echte Nutzer auftreten und persönliche Informationen sammeln können. Sie generieren dafür 102 „Socialbots“, die problemlos an insgesamt 250 GByte Daten von Tausenden Nutzern kamen.

Die Forscher der University of British Columbia in Vancouver haben die Ergebnisse ihrer Studie (PDF) unter dem Titel „The Socialbot Network“ veröffentlicht, ergänzt durch einen warnend-ironischen Untertitel: „Wenn Bots für Ruhm und Geld Freunde finden“. Zu jedem „Socialbot“, den sie im Netzwerk einschleusten, generierten sie einen Namen und ein Profilbild eines fiktiven Facebook-Nutzers, der Nachrichten und Freundschaftsanfragen versenden konnte.

Jedes Konto war auf 25 Anfragen täglich beschränkt, um keine Maßnahmen gegen gefälschte Konten auszulösen. In einer ersten Runde gingen Freundschaftsanfragen an 5053 zufällig ausgewählte Facebook-Mitglieder. Innerhalb von zwei Wochen wurden 976 dieser Anfragen und damit rund 19 Prozent zustimmend beantwortet. In den nächsten sechs Wochen schickten die Bots weitere Anfragen an 3517 Facebook-Freunde von Nutzern, die sich in der ersten Phase als Freunde hatten werben lassen. Diesmal wollten 2079 Nutzer gerne Freunde sein – eine Steigerung auf 59 Prozent. Das entsprach den Erwartungen der Forscher, die auf den bekannten „triadischen Effekt“ bauten, dass zwei Nutzer mit einem gemeinsamen Freund dreimal häufiger zu einer Verbindung bereit sind.

Das Urteil der Forscher lautete, dass Soziale Netzwerke „in hohem Maße anfällig sind“ für Infiltration in großem Maßstab mit einer Erfolgsrate von bis zu achtzig Prozent. Ein Socialbot-Network lasse sich vollständig automatisiert betreiben – einschließlich der Konto-Erstellung. Als Beispiel nannten sie die Einbindung von Fotos, die auf Websites wie hotornot.com als besonders attraktiv bewertet wurden. Den Facebook-Nutzern schrieben sie ins Stammbuch, nicht vorsichtig genug zu sein, wenn sie Freundschaftsanfragen von Fremden beantworten.

Abwehrmechanismen wie das Facebook Immune System (FIS) erwiesen sich als weitgehend unfähig, gefälschte Profile zu identifizieren und zu löschen. Nur zwanzig Prozent der Socialbots wurden durch FIS blockiert, und das auch nur, weil Nutzer die Accounts als Spam gekennzeichnet hatten. Die Forscher warnen vor Folgen bis hin zu Identitätsdiebstahl: „Während Socialbots ein Online-Social-Network infiltrieren, können sie private Nutzerdaten sammeln – beispielsweise E-Mail-Adressen, Telefonnummer und andere persönliche Daten mit Geldwert. Für einen Angreifer sind solche Daten wertvoll. Er kann sie für Online-Profiling, massenhaften E-Mail-Spam und Phishing-Feldzüge einsetzen.“

Ein Facebook-Vertreter wollte die Studie nicht kommentieren und verwies auf Maßnahmen, die den Diebstahl von Nutzerdaten verhindern sollen: „Wir haben zahlreiche Systeme entwickelt, um gefälschte Konten zu erkennen und das Sammeln von Informationen zu verhindern. Wir aktualisieren diese Systeme laufend, um ihre Wirksamkeit zu verbessern und auf neue Angriffsmethoden zu reagieren. Wir werden dafür auch die Forschung der University of British Columbia berücksichtigen. Außerdem empfehlen wir den Nutzern wie immer, nur Einladungen von Personen anzunehmen, die sie tatsächlich kennen, und uns jedes verdächtige Verhalten auf der Site zu berichten.“