SIREN-Botnetz: Twitter löscht 90.000 Sex-Bots

Fake-Accounts und so genannte Bots, die automatisch Nachrichten ver­sen­den, sind ein großes Problem für Twitter. Das soziale Netzwerk un­ter­nimmt daher viele Anstrengungen, um solche Fake-Profile zu finden und zu löschen. In der bisher größten Löschaktion hat Twitter jetzt 90.000 Bots entfernt, die mit automatischen Tweets Fake-Datingseiten bewarben. Hinter den Twitterkonten stand das sogenannte SIREN Spam-Botnetz, welches über die Profile bereits mehr als 8,5 Millionen Tweets abgesetzt hatte. Darin wurden betrügerische Bezahl-Webseiten beworben, auf denen man scheinbar Datingpartner für Sex-Treffs, Sex-Chats oder ähnliches finden konnte. Das Spam-Botnetz war zuvor von dem auf Cy­ber­sich­er­heit spezialisierten Unternehmen ZeroFOX entlarvt worden. Die Si­cher­heits­ex­per­ten kamen dem Bot-Netz auf die Spur, da alle Fake-Profile Googles Link-Kürzer mit ähnlichen URLs nutzten und nach dem immer gleichen Muster funktionierten. Sicherheitsexperte Brian-Krebs hatte zuvor von einem Porno-Botnetz auf Twitter berichtet. Infografik: Bots produzieren mehr Traffic als Menschen

Fake-Profile nackter Frauen

Der Großteil der Accounts nutzte Nacktfotos oder Fotos von leicht-bekleideten Frauen als Profilbilder. Durch automatisch generierte Ant­wor­ten auf Tweets von anderen Twitter-Nutzern oder durch Beiträge in Kommentar-Dis­kus­sio­nen zogen die scheinbaren Frauen die Auf­merk­sam­keit auf sich und verleiteten ihre Opfer zu Klicks auf die Fake-Sexseiten. Die Kurz-URLs nutzten zudem ein Kaskaden-System, bei dem mehrere der weiterleitenden Links in Reihe ge­schal­tet waren. Auch so genannte Afilliate-Links waren darunter, bei denen man auf Pro­dukt­sei­ten landet und der Werbende eine Provision für jeden in der Folge getätigten Einkauf kassiert.

Twitter und Google reagieren

ZeroFOX übergab Twitter am 10. Juli eine kom­plet­te Liste aller Fake-Profile, woraufhin diese dann gelöscht werden konnten. Die vom SIREN-Botznetz genutzten Kurz-URLs gab die Sicherheitsfirma an Google weiter, das diese dann deaktivierte. Die Ziel-Domains wurden von Google in eine Blacklist aufgenommen. Das Treiben des Botnetzes dürfte damit für das Erste beendet sein. Weder von Twitter, noch über Google-Suchen dürften die Betreiber jetzt noch nennenswerten Web-Traffic bekommen.

Wer hinter SIREN steckt ist bislang allerdings noch nicht geklärt. Da 12,5 Prozent der Fake-Profile das kyrillische Alphabet für Namen nutzte, wird vermutet, dass die Betreiber aus Osteuropa oder Russland stammen. Fast die Hälfte aller Tweets hatte zu von der kalifornischen Firma Deniro Marketing betriebenen Webseiten geführt. Welche Rolle der Fake-Datingseitenanbieter spielte, ist aber ebenfalls unklar. Die Sicherheitsprofis gehen davon aus, dass das Unternehmen sich die "Tweet-Werbung" für seine Webseiten von einem Anbieter aus Russland oder Osteuropa eingekauft hatte.