So werden Fake-News-Bots entlarvt

16 Mai 2019

Zur richtigen Zeit über die richtigen Informationen zu verfügen, kann Sie von jetzt auf gleich reich machen oder sogar Ihr Leben retten; doch leider sind in der heutigen Realität jegliche Informationsquellen mit Fake News übersät und viele Leute machen mit der Produktion und Verbreitung dieser Falschinformationen Karriere. Doch neben echten Personen aus Fleisch und Blut setzt die Branche darüber hinaus auch Tausende von Social Media Bots ein, um den Effekt zusätzlich zu maximieren. Auf dem diesjährigen Security Analyst Summit haben Forscher von Recorded Future einen Vortrag darüber gehalten, wie diese Bots aufgedeckt werden können.

Bots sind noch immer aktuell

Niemand hat ein besonderes Faible für Bots, aber gerade für Social-Media-Unternehmen sind sie ein wahrhaftiger Albtraum, da sie soziale Netzwerke für reale Nutzer weniger attraktiv machen. Aus diesem Grund identifiziert Twitter beispielsweise in regelmäßigen Abständen eine große Anzahl von Bots und verbannt sie von der Plattform (woraufhin sich viele Nutzer meist über eine niedrigere Follower-Zahl beschweren). Das heißt, soziale Netzwerke haben ihre eigenen Möglichkeiten, Bots zu erkennen. Dennoch reichen ihre Bemühungen oftmals nicht aus, um diese vollständig von der Bildfläche verschwinden zu lassen.

Selbstverständlich geben soziale Netzwerke ihre Algorithmen nicht ohne Weiteres preis, allerdings kann man mit absoluter Sicherheit sagen, dass ihre Bemühungen auf der Erkennung abnormaler Verhaltensweisen beruhen. Eines der offensichtlichsten Beispiele dafür: Wenn ein Konto versucht, hundert Posts pro Minute zu veröffentlichen, handelt es sich mit Sicherheit um einen Bot. Auch wenn ein Account lediglich die Beiträge anderer Nutzer retweetet, aber nie selbst etwas veröffentlicht, steckt höchstwahrscheinlich auch hier ein Bot dahinter.

Allerdings passen Bot-Entwickler ihre Kreationen kontinuierlich so an, dass sie die Erkennungstechniken der Social-Media-Dienste umgehen können. Diese wiederum können bzw. dürfen sich bei der Bot-Identifizierung nicht zu viele Fehlalarme erlauben, da das Blockieren zu vieler, authentischer Personen für Empörung unter den Nutzern sorgen würde. Das bedeutet allerdings auch, dass immer eine bestimmte Anzahl von Bots unentdeckt bleibt.

Um mehr über die Verhaltensweisen von Bots zu erfahren, wählte Recorded Future eine Eigenschaft, um eine bestimmte Bot-Gruppe hervorzuheben – in diesem Fall ging es um lediglich auf Twitter veröffentliche Nachrichten über Terroranschläge. Bei derartigen Accounts handelt es sich meist um Bots (oder den Retweet eines Bots). Im Anschluss möchten wir einen Blick darauf werfen, welche Gemeinsamkeiten diese Konten noch aufweisen.

So verhalten sich Fake-News-Bots

Zunächst einmal sollten wir klarstellen, dass die Terroranschläge, von denen in den Tweets dieser Accounts die Rede war, tatsächlich stattgefunden haben, und auch die Artikel über diese Ereignisse auf mehr oder weniger seriösen Websites gehostet wurden (Websites, die nachweislich keine Fake-News verbreiten). Ein kleines aber wichtiges Detail: All diese Vorfälle ereigneten sich bereits vor einigen Jahren, was die jeweiligen Konten in ihren Tweets nicht erwähnten. Durch das Verlinken auf seriöse Medien, werden auch die Bot-Erkennungsalgorithmen von Twitter besänftigt; Einer der Hauptgründe, weshalb sich der Drahtzieher hinter den Bots für eben diese Strategie entschieden hat.

Darüber hinaus gaben die Kontoinhaber im Falle dieses speziellen Bot-Netzwerks vor, in den USA ansässig zu sein, während sie hauptsächlich über europäische Länder twitterten. Mithilfe dieser Informationen konnte Recorded Future mehr als 200 Konten mit einer ähnlichen Vorgehensweise identifizieren, und darüber hinaus andere Gemeinsamkeiten und Zusammenhänge zwischen ihnen ausfindig machen und genauer untersuchen.

So erstellten die Forscher beispielsweise ein Aktivitätsmuster, mit dessen Hilfe sie herausfinden konnten, dass viele dieser Bots nur in bestimmten Zeitspannen aktiv waren. Einige der Konten wurden bereits im Mai dieses Jahres gesperrt, woraufhin neue Konten mit den gleichen Verhaltensmustern erstellt wurden – die übrigens auch aktuell noch immer in Betrieb sind.

Darüber hinaus nutzten alle Konten eine bestimmte Reihe von Kurz-URL-Diensten zur Veröffentlichung ihrer Fake News, die die Hintermänner dann mit analytischen Daten versorgten (Informationen darüber, wie oft ein spezifischer Link geklickt wurde usw.). Hierbei handelte es sich nicht um gebräuchliche URL-Shortener wie z. B. t.co oder goo.gl, sondern um solche, die ausschließlich und einzigartig zum Sammeln von Analytiken erstellt wurden. Übrigens weisen all diese Kurz-URL-Dienste ein überraschend ähnliches minimalistisches orange-weißes Design auf.

WHOIS-Daten für die Websites dieser Kurz-URL-Dienste zeigen, dass alle von ihnen auf der Cloud-Plattform Microsoft Azure gehostet und anonym registriert sind. Zufall? Wahrscheinlich nicht. Obwohl sich ihre Kampagnen unterscheiden, lassen sich dennoch zahlreiche Gemeinsamkeiten zwischen den unterschiedlichen Konten finden. Allgemein betrachtet ist die Suche nach Besonderheiten und Eigenarten eines Kontos, die dann auch auf andere Accounts angewandt werden können, eine effektive Möglichkeit, Bot-Netzwerke zu entlarven.

So machen Sie Fake-News-Bots ausfindig

Wir haben eine kleine Liste mit typischen Bot-Features für Sie erstellt – in einem Netzwerk oder einer Kampagne verwendete Konten haben in der Regel mehrere dieser Features gemeinsam. Bei Accounts auf ein und demselben Social-Media-Kanal handelt es sich also sehr wahrscheinlich um Bots, wenn sie:

  • Ähnliche Namen aufweisen;
  • Am selben Tag erstellt wurden;
  • Links veröffentlichen, die auf ein und dieselbe Seite verweisen;
  • Denselben Satzbau verwenden;
  • Dieselben Grammatikfehler machen;
  • Einander oder ähnlichen Konten folgen;
  • Dieselben Tools (beispielsweise Kurz-URL-Dienste) verwenden;
  • Ausschließlich innerhalb bestimmter Zeitspannen aktiv sind;
  • Ähnlichkeiten in ihren Bio’s aufweisen;
  • Generische Bilder oder Fotos anderer Nutzer als Profilbild verwenden.

Nur weil mehrere Konten eine Ähnlichkeit oder Gemeinsamkeit aufweisen, bedeutet das allerdings nicht, dass sie sofort auch als Bots identifiziert werden sollten. Wenn es jedoch mehr als eine (oder, um Fehlalarme zu vermeiden, mehr als vier oder fünf) Ähnlichkeiten gibt, besteht eine hohe Wahrscheinlichkeit, dass Sie gerade auf eines der zahlreichen Social-Media-Bot-Netzwerke gestoßen sind.

Dame, König, As, Bot

Die Untersuchung des Recorded-Future-Teams zeigt, dass die Verwendung von Verhaltensanalysen noch immer zur Identifizierung von Bots geeignet ist. Forscher machen neue Bots mit besonderen Vehaltensmustern ausfindig und suchen dann nach anderen Konten, die ähnliche Muster aufweisen.

Natürlich handelt es sich hierbei um eine fortlaufende (und wahrscheinlich nie endende) Aufgabe, da täglich neue Bots mit eigenen Verhaltensmustern auftauchen und es unmöglich ist, alle Bots mit lediglich einer Reihe von Verhaltensregeln zu identifizieren. Doch durch die Verwendung von Verhaltensanalysen können zumindest alle Teile bestimmter Bot-Netzwerke identifiziert werden. Darüber hinaus können Social-Medial-Kanäle Bots auf diese Weise blockieren und ihre Plattformen so zu einem angenehmeren Ort für ihre Nutzer machen.

Dennoch sollte sich jeder, der auf sozialen Netzwerken unterwegs ist, der Existenz dieser Bots bewusst sein und ihnen unter keinen Umständen über den Weg trauen.