Riesiges Netzwerk mit 350.000 Twitter-Bots entdeckt

Forscher des Londoner University College haben ein riesiges Bot-Netzwerk auf Twitter entdeckt, das dort seit mehreren Jahren unbemerkt auf seine Reaktivierung wartet. Der Fall macht deutlich, dass nicht die Bots, sondern die Erkennungsalgorithmen der Plattformen und die mögliche Weiterverbreitung durch ganz normale Benutzer das Problem sind.

Sogenannte Social Bots sind bereits seit geraumer Zeit in den Fokus verschiedener Wissenschaftler geraten. Die teilweise schlummernden, teilweise sehr aktiven Accounts auf den Sozialen Plattformen Twitter, Facebook & Co. sollen in der Vergangenheit bei Wahl- und Börsenmanipulationen, massenhaft versendetem Porno- und Artikel-Spam, der Rekrutierung von Terror-Nachwuchs und der gezielten Verbreitung von Falschmeldungen zum Einsatz gekommen sein.

Die tatsächlichen Betreiber der Profile bleiben in der Regel unerkannt und nutzen je nach eigenem Kenntnisstand und Ziel eine mehr oder weniger trickreiche Kette zur Verbergung ihrer Identität. Vermutet wird, dass man eine Reihe von “kleineren” Bot-Netzwerken mittlerweile mieten und ganz gezielt für bestimmte Aktionen einsetzen könnte.

Nach eigener Aussage gehen die Plattformen aktiv gegen solche Accounts vor und nutzen dabei eine Reihe von Algorithmen und Erkennungsmechanismen. Die Filter sollen auffällige Regelmäßigkeiten erkennen und verhindern, dass mehr oder weniger gleichlautende Meldungen – ähnlich wie Spam-Mails – die jeweilige Plattform in kürzester Zeit fluten. Zugleich setzen die Netzwerke auf die Mithilfe der Benutzer, die besonders penetrante und eindeutig als Bots erkennbare Accounts melden und blockieren können. Mit mäßigem Erfolg, wie ein aktuelles Beispiel zeigt.

Manipulation durch Social Bots nimmt bedenkliche Ausmaße an

Forscher des Londoner University College haben nun ein riesiges Twitter Bot-Netzwerk entdeckt, das bereits seit mehreren Jahren auf der Plattform existiert. Insgesamt wurden 356.957 Accounts entdeckt, die allesamt dem gleichen Netzwerk zuzurechnen sind und dementsprechend zentral kontrolliert und gesteuert werden. Die Forscher wandten zur Aufdeckung des Bot-Netzwerks einen relativ simplen Ansatz: Sie suchten nach den oben bereits erwähnten Regelmäßigkeiten und entdeckten auf den Accounts ungewöhnliche und nicht durch einen Zufall begründbare Ortsangaben.

“Gut” gemachte Bot-Netzwerke werden von ihren Betreibern auf den späteren Einsatz vorbereitet. Sie enthalten ein Profilbild, das meist aus einer Bilddatenbank stammt oder von anderen, tatsächlich existierenden Accounts gegrabbt wurde. Die Profilangaben wie die “Biographie” des Benutzers werden aus einer Wortdatenbank mit nichtssagenden Angaben gefüllt, zudem werden beliebige Ortsangaben hinterlegt. Gelegentlich fallen die Accounts nur auf, weil sie in einer zu schnellen Abfolge einer ganzen Reihe von anderen Accounts “folgen” oder plötzlich auffällig “präsent” und aktiv werden.

Weiterlesen:

Die Experten tauften die riesige Infrastruktur “Star Wars”, weil ein erheblicher Teil der über dreihunderttausend Accounts eine Affinität zu Star Wars Büchern aufwies. Auf den Profilen befanden sich mehrere Zitate aus insgesamt 11 Büchern der Science Fiction Reihe, die von den Betreibern des Netzwerks eingelesen wurden. Zudem zeigten sich auffällige Parallelen bei gelegentlich geposteten Bildern, diese zeigten in der Regel keine Menschen.

PropertiesRandom usersStarWars bots
Number of users6,063,970356,957
Location-tagged users208,612349,045
% of location-tagged users3.4%97.7%
Number of tweets842,670,2812,422,013
Location-tagged tweets19,777,0031,209,597
% of location-tagged tweets2.3%49.9%
Tweets in Europe3,486,239604,647
% of tweets in Europe17.6%50.0%
Tweets in N. America8,950,941604,912
% of tweets in N. America45.2%50.0%
Tweets elsewhere7,339,82338
% of tweets elsewhere37.1%0.0%
Tweet source
Twitter for iPhone31.1%0%
Twitter Web client17.2%0%
Twitter for Android14.9%0%
Twitter for Blackberry6.8%0%
Mobile Web0.99%0%
Twitter for Windows Phone0.02%100%

Mit den ersten entdeckten Auffälligkeiten auf rund 3.000 Profilen programmierten die Wissenschaftler einen sogenannten Klassifikator, der heutzutage bereits im Bereich Machine Learning und Data Mining zum Einsatz kommt. Mit diesem speziell konfigurierten Algorithmus konnten die Forscher 350.000 weitere Accounts entdecken, auf welche die einmal erfassten Kriterien zutrafen.

Die Wissenschaftler konnten bei ihren nachfolgenden Recherchen das bisherige Verhalten des mittlerweile verstummten Bot Netzwerkes analysieren. Alle Meldungen wurden im Sommer 2013 abgesetzt, in Spitzenzeiten flutete die Armada die Plattform mit über 150.000 Tweets pro Tag.

Der Fall wirft gerade wegen der zwischenzeitlich verstrichenen Zeit Fragen auf. Offenbar war Twitter in den vergangenen dreieinhalb Jahren nicht in der Lage (oder nicht gewillt?), die riesige Bot Struktur zu erkennen und zu deaktivieren. Dabei nutzten die Betreiber – gemessen an den Erkennungsmöglichkeiten heutiger AI-Systeme – nur recht simple Tarnmethoden, die man mehr oder weniger leicht durchschauen könnte. Die Masse der Bots und die daraus resultierende (weil multiplizierte) Häufigkeit der Regelmäßigkeiten und Abweichungen von einem “normalen” Verhalten hätte längst zu einer internen Aufdeckung führen müssen.

Die Nutzer, nicht die Bots sind das Problem

Angesichts der Missbrauchsmöglichkeiten solcher Bot-Netzwerke verheisst der Untersuchungsbericht der Wissenschaftler (PDF) nichts Gutes. Bei der Betrachtung der Schwachstellen, die letztendlich doch zur Aufdeckung geführt haben, lässt sich ein relativ simpel umzusetzendes Optimierungspotential erkennen. Man kann getrost davon ausgehen, dass es längst eine ganze Reihe von kleineren, wesentlich unauffälligeren Netzwerken gibt, die höchst aktiv sind.

Donald Trump und seine Bot-Armee bei Twitter

Das tatsächliche Potential entfalten diese Bots erst auf einer anderen Ebene. Sobald die von einem Bot-Netzwerk verbreiteten Meldungen von ganz normalen, “echten” Benutzern weiterverbreitet werden, ist eine automatisierte Erkennung fast unmöglich. Die Betreiber müssten dann ähnlich wie in einer Blockchain in der Lage sein, eine Meldung inhaltlich und/oder semantisch bis zu ihrem Ursprung zurückzuverfolgen, was offenbar in den existierenden Sicherheitsmechanismen nicht vorgesehen ist.

Insofern sind solche Entdeckungen immer auch ein Appell an die Nutzer: Lasst euch nicht instrumentalisieren, teilt nicht jeden Scheiß, “You Are The Company You Keep” und hinterfragt Meldungen.