Twitter-Honigtöpfe gegen Spammer

Eine neue Software-Lösung lernt, Werbemüll- und Malware-Verbreiter in sozialen Netzwerken aufzuspüren.

Es ist nicht ungewöhnlich, Nutzerprofile bei verschiedenen sozialen Netzwerken zu unterhalten – und mehrere Accounts beim Kurznachrichtendienst Twitter erst recht nicht. Einer der Zugänge ist dann beispielsweise für die Arbeit gedacht, der andere für das Privatvergnügen. Kyumin Lee, Forscher an der Texas A&M University, hat ganze 60 Twitter-Namen – allerdings nicht deshalb, weil er im Netz besonders populär wäre.

Stattdessen dienen Lees Accounts als sogenannte "Honeypots" – virtuelle Honigtöpfe, die die Aufmerksamkeit von Spammern erregen sollen, die soziale Netzwerke nutzen, um Werbemüll, Datenschädlinge oder Phishing-Websites zu verbreiten. Eine von Lee entwickelte Software überprüft dann alle an die Honeypots geschickten Nachrichten, um die Taktik der Urheber all dieser Online-Plagen besser zu verstehen.

"Das Konzept der Honeypots ist im Internet schon lange etabliert", sagt Lee. Allerdings noch nicht in sozialen Netzwerken: Normalerweise handelt es sich bei den Honigtopf-Ködern um ungeschützte Rechner, die auf Spam-Eingang oder direkte Angriffe aus dem Internet überwacht werden. "Wir haben uns entschieden, dies auf ein höheres Niveau zu übertragen und Spam direkt in sozialen Netzwerken zu untersuchen." Lee führt das Projekt mit seinen beiden A&M-Kollegen James Caverlee und Brian David Eoff durch. Außerdem ist Steve Webb vom Georgia Institute of Technology beteiligt. Geld für das Forschungsvorhaben kommt unter anderem von Google.

Die Honeypot-Accounts agieren dabei automatisch so, als seien sie richtige Nutzer – sie republizieren Nachrichten aus einer Sammlung von 120.000 echten Tweets, die vorher bei Twitter geerntet wurden. Das Team hat zudem auch einige Fallen auf MySpace installiert.

Der von Lee entwickelte Code analysiert automatisch, wie die Spammer vorgehen. "Wir haben einen Software-Roboter, der überwacht, wer unsere Profile kontaktiert. Er schaut sich genau an, was in den Botschaften steht und untersucht dann die Profildaten der Spammer." Daraus werden unter anderem die (zumeist gefälschten) demografischen Informationen und frühere Updates des Spammer-Accounts extrahiert.

Bislang konnten die 61 Honeypots insgesamt 30.867 Spammer bei Twitter anlocken. Die Daten, die von den Bots gesammelt wurden, lassen sich nutzen, um Klassifizierungsalgorithmen zu trainieren, mit denen sich auch Online-Ganoven identifizieren lassen, die noch nicht in die Falle tappten. Ein so programmierter Filter schaffte es anschließend, Spam-Profile mit einer Wahrscheinlichkeit von 80 Prozent zu identifizieren. Derzeit arbeitet Lee an einem öffentlichen Web-Dienst, der auf dem Trainingsmodell aufsetzt. Über diesen Service können die Nutzer dann prüfen, welche Accounts Spammern gehören könnten. Auch Fehltreffer lassen sich melden, damit der Algorithmus besser wird.

Spam und Phishing-Angriffe über soziale Netzwerke sind ein wachsendes Problem. Don DeBolt, Direktor für Risikoforschung beim IT-Anbieter CA Technologies, nennt beispielsweise eine aktuelle Twitter-Spamwelle, bei der die iTunes-Zugänge einiger Nutzer entwendet wurden. "Die Menschen vertrauen diesen Anwendungen sofort, weil sie sie tagtäglich nutzen, um mit ihren Freunden zu kommunizieren." Die Schnelligkeit der Nachrichten und die Tatsache, dass Links gerne mit Hilfe von Abkürzungsdiensten integriert werden, macht es für die Nutzer zunehmend schwer, gefälschte Botschaften zu identifizieren.

DeBolt hat selbst Honeypots bei Twitter laufen, untersucht diese aber nur manuell auf neue Spammer-Strategien. "Man muss dabei aber sehr vorsichtig sein und sie als Forschungsprofile behandeln, und dabei keine echte Person nachahmen."

Die Tatsache, dass Honeypots in sozialen Netzwerken Teil der virtuellen Gemeinschaft sein müssen, sei der große Unterschied zum konventionellen Ansatz in der Sicherheitsforschung, meint auch Azer Bestavros, Netzwerkspezialist an der Boston University, der unter anderem Blog-Spam-Attacken analysiert. Ein Honeypot-Rechner im Internet erhält normalerweise eine sogenannte "dunkle" Netzwerkadresse, so dass die Wahrscheinlichkeit, je von einem legitimen Rechner kontaktiert zu werden, sehr gering ist.

"Andere Nutzer könnten einen Honeypot als echte Person interpretieren", räumt auch Lee ein. "Die Accounts haben aber keine "Freunde" und kontaktieren niemand anderen." Außerdem seien die Botschaften sehr zufällig, so dass niemand auf die Idee käme, ein solches Profil von sich aus zu kontaktieren.

Einige Botschaften und Freundesanfragen an einen "sozialen" Honeypot könnten durchaus von legitimen Nutzern kommen, meint Bestavros. Deshalb müssten deren Daten sehr vorsichtig behandelt werden.

Lee und seine Kollegen experimentieren derzeit mit dem Output und der demografischen Charakteristik ihrer Profile, um herauszufinden, was Spammer besonders anzieht – etwa Alter oder Ort einer Person oder die Häufigkeit ihrer Tweets. "Die meisten Spammer präsentieren sich als Frauen im College-Alter", weiß Lee. Bei MySpace gäben sich die meisten als Menschen aus Kalifornien aus und bevorzugten Männer im College-Alter als Opfer.

Lee und Kollegen sind auch daran interessiert, ihren Ansatz auf das weltgrößte soziale Netzwerk Facebook zu übertragen. Dort sind Fake-Accounts eigentlich nicht erlaubt. "Aber wenn wir die Erlaubnis der Firma erhalten, wäre das höchst interessant", sagt Lee. (bsc)