Einem Forscherteam der Universität von British-Columbia ist es in einem Experiment gelungen, die Sicherheitsmechanismen der populären Social Media Site Facebook auszuhebeln. Den kanadischen Wissenschaftlern gelang es dabei, mit der Hilfe von künstlich erzeugten Identitäten, sogenannten Socialbots, auf die Daten von über einer Million Nutzer zuzugreifen.
Die Roboter sind los, und sie sind hinter Deinen Freunden her. Was zunächst wie der Plot eines schlechten Science-Fiction Films aus den sechziger Jahren klingt, ist vielmehr gewissermaßen die Kernaussage eines wissenschaftlichen Reports aus Kanada. Das Dokument mit dem Titel ‚Das Socialbot-Netzwerk: Wenn Roboter für Ruhm und Geld Kontakte pflegen‘ wird im Dezember auf einer Konferenz für Computersicherheit in Florida von der Universität von British-Columbia (UBC) präsentiert.
Das Forscherteam aus Vancouver hatte es sich zur Aufgabe gemacht, zu überprüfen, wie effektiv Nutzer sozialer Netzwerke, wie vor allem Facebook, sich vor sogenannten Socialbots schützen. Diese Robot-Programme erschaffen automatisch falsche Nutzer-Identitäten, komplett ausgestattet mit Profil-Foto und Aktivitäten wie zum Beispiel Nachrichten und Neuigkeiten. Das Ziel dieser Roboter ist es, Facebook-Freundschaften mit echten Menschen zu schließen, um dann persönliche Daten dieser Freunde wie Anschrift, Geburtsdatum, Telefon-Nummer, aber auch Geschmack, Vorlieben und Interessen einzusammeln. Diese Informationen werden dann bestenfalls für kommerzielle Nutzen und schlimmstenfalls zu kriminellen Zwecken missbraucht, vor allem zum Identitäts-Diebstahl.
Socialbots imitieren echte Menschen
Socialbots sind bereits seit einiger Zeit im Umlauf und erzielen auf dem Internet-Schwarzmarkt Preise von rund 30 US-Dollar pro Bot. Das Problem wurde aber bislang nie offiziell untersucht. Deswegen unternahmen die Wissenschaftler von der UBC den Versuch, selbst ein Netzwerk von Socialbots auf Facebook zu etablieren. Ihr Erfolg unterstreicht das Problem.
In der ersten Phase des Experiments wurden 102 Socialbots im Facebook-Netzwerk etabliert, die von einem Bot-Master kontrolliert wurden. Diese Bots waren mit Profil-Fotos von attraktiven Männern und Frauen ausgestattet, um die Akzeptanz zu erhöhen. Außerdem sind die Programme in der Lage, aus dem Internet Nutzer-Zitate und Neuigkeiten zum Status wahllos herunterzuladen und diese dann auf die eigene Facebook-Pinnwand zu kopieren. Dies gibt den Profilen der Bots den Anschein, die Aktivität eines echten Menschen darzustellen.
Sicherheitsmechanismen umgangen
Um Sicherheitsmechanismen, vor allem das Facebook Immune System (FIS), zu umgehen, agierten die Roboter-Spione dabei relativ verhalten und schickten weniger als 25 Freundschaftsanfragen pro Tag und Bot an zufällig ausgewählte Nutzer. Nach zwei Wochen hatten die Socialbots 5053 Anfragen versandt. 976 von ihnen wurden akzeptiert, was einer Erfolgsquote von 19 Prozent entspricht. Derweil wurden nur 20 Prozent der Bots von Facebook enttarnt – vor allem durch die Meldungen skeptischer Nutzer und weniger durch FIS.
Der vor allem zur Besorgnis Anlass gebende Teil des Experiments war jedoch Phase Zwei. In den folgenden sechs Wochen nahmen die Socialbots nun die Freunde derjenigen ins Visier, welche die Anfragen zuvor akzeptiert hatten. Nun schnellte die Erfolgsrate dramatisch in die Höhe. Von 3517 Freundschafts-Anfragen wurden 2079 angenommen, was 59 Prozent darstellt. Die Computerexperten von der UBC erklären dies damit, dass eine gewisse Zahl gemeinsamer Freunde von vielen Nutzern als ein Kriterium von Legitimität angesehen wird. „Viele Nutzer sind nicht vorsichtig genug, wenn sie Freundschafts-Anfragen von Fremden erhalten und zwar vor allem dann, wenn diese Fremde gemeinsame Freunde mit dem Nutzer haben“, erklären die Forscher in einer Stellungnahme das Phänomen.
Nach acht Wochen eine Million Nutzer betroffen
Nach acht Wochen war das Experiment beendet. Dem Socialbot-Team war es gelungen, 3055 Freundschaften zu schließen. Über diese Kontakte konnten die Forscher dann wiederum auf die Informationen von deren Freunden ersten und zweiten Grades zugreifen. Insgesamt hatten die Robots damit Zugang zu 250 Gigabyte umfassenden Daten von knapp über einer Million Nutzer. „Diese Informationen umfassen E-Mail Adressen, Telefon-Nummer und vieles mehr – alles Daten mit einem hohen kommerziellen Wert“, sagen die Forscher.
In einer Stellungnahme kritisierte Facebook die technischen Methoden der UBC. „Wir werden dies mit ihnen diskutieren. Darüber hinaus raten wir jedem Nutzer, nur Freundschaften zu akzeptieren, wenn sie die Person kennen und uns verdächtige Aktivität sofort zu melden.“
Ratgeber: 5 Tipps zum Schutz gegen Facebook-Socialbots
Frenemies – Wer solche “Freunde” hat, braucht keine Feinde mehr
Neue Studie schlägt Alarm: Führt Facebook zu Essstörungen?
Freundschaftsanfragen nicht blind akzeptieren
Anfragen müssen nicht sofort akzeptiert werden. Am besten ist es, nur Personen zu akzeptieren, die man kennt. Ein kurzer Klick auf die Daten des Anfragenden hilft, diesen einzuordnen. Wenn diese Informationen nur Facebook-Freunden zugänglich ist, kann eine kurze Rückfrage helfen, zum Beispiel „Woher kennen wir uns eigentlich?“ oder „Was oder wen haben wir eigentlich gemeinsam?“ Mehrere gemeinsame Facebook-Freunde zu haben, bedeutet keinerlei Garantie. Der Sociabot könnte bereits diese getäuscht haben.
Facebook-Einstellungen überprüfen
Ein neues Facebook-Konto kommt standardgemäß mit Einstellungen, die zum Schutz der Privatsphäre verschärft werden können und sollten. Facebook sollte es zum Beispiel verneint werden, „soziale Handlungen“ mit Werbeanzeigen verbinden zu dürfen (Unter ‚Einstellungen‘ und ‚Facebook-Werbeanzeigen‘). Außerdem sollte die gesamte Kategorie ‚Privatsphäre-Einstellungen‘ Schritt für Schritt bearbeitet werden, anstatt Facebook diese Einstellungen zu überlassen. Nie einen Informations-Austausch zweiten oder dritten Grades zulassen, nur Freunden und nicht Freunden von Freunden Zugang erlauben.
Profil-Daten beschränken
Wer hauptsächlich mit Freunden chatten und Fotos austauschen will, sollte sich überlegen, ob es wirklich notwendig ist, Telefon-Nummern, Anschrift, Geburtsdatum, aber auch Angaben zum Beispiel zur Ausbildung im Profil anzugeben. Was nicht da ist, kann nicht gestohlen werden. Wer sich gerne zum Geburtstag gratulieren lässt, für den reicht Tag und Monat – das Geburtsjahr sollte man für sich behalten.
Nach dem Freundschaftsschluss weiter forschen
Eine Facebook-Freundschaft ist kein Ehevertrag und kann sofort wieder aufgelöst werden. Sobald der Freund sein Profil und zum Beispiel Fotoalben freigeben hat, lohnt es sich, darauf einen Blick zu werfen. Es ist einfach, eine falsche Facebook-Identität anzulegen – aber diese dann auch mit Leben zu erfüllen, fordert wesentlich mehr Aufwand. Ein guter Test sind Foto-Alben – viele Bilder deuten meistens auf echte Menschen hin. Ansonsten gilt auch für Social-Media das Prinzip des Geben und Nehmens – wer Fotos sehen und über Vorlieben Anderer wissen möchte, sollte auch dies selbst anbieten. Wenn ein neuer Freund keine Fotos hochlädt und nichts über sich sagt, ist der Kontakt sowieso nichts wert. Dann die Freundschaft einfach wieder beenden.
Eine gesunde Portion Misstrauen haben
Es ist hilfreich sich vorzustellen, wie man Facebook-Freunden in Fleisch und Blut begegnen würde. Wenn man einem alten Freund in die Arme läuft ist das schön, aber wer lässt sich im richtigen Leben schon von jedem Fremden auf der Straße ansprechen? Und die Facebook-Betreiber sind nicht die Polizei. Sicher liegt Ihnen daran, Kriminelle von ihrer Site fern zu halten, aber auch Facebook hat kommerzielle Interessen und Verbraucherdaten sind Gold wert.
© Pixel Trader Ltd. 2013 Alle Rechte vorbehalten