Cybersecurity

"Miau, ich will Sex": 90.000 Twitter-Bots lockten mit Porno-Spam

"Siren"-Botnet führte User mit "Anmachsprüchen" auf kostenpflichtige Seiten und generierte 30 Millionen Klicks

23. Juli 2017, 11:56

Mit jungen Frauen als Profilfoto und "Anmachsprüchen" generierten die Twitter-Bots massenhaft Klicks.

Sicherheitsforscher von Zerofox haben nach eigenen Angaben eine der "größten, bösartigen Kampagnen auf einem Social Network" aufgedeckt. Ein "Siren" genanntes Botnet hat Twitter-Nutzer mit "Anmachsprüchen" und der Verheißung auf Nacktfotos bombardiert, um sie auf kostenpflichtige Pornoseiten und Webcamportale zu lotsen.

Ursprünglich seien einige hundert der gefälschten Twitterkonten durch einen selbstlernenden Algorithmus entdeckt worden. Mittlerweile konnten rund 90.000 Accounts gefunden werden, die man dem Netzwerk zuordnet. Sie haben über 8,5 Millionen Tweets verschickt.

"Komm zu mir und klicke hier"

"Hey, ich suche nach einem Sexchat, komm zu mir und klicke hier", "Willst du mich treffen?", "Miau, ich will Sex haben" und andere Phrasen wurden dabei oft in fehlerhaftem Englisch gepostet. Dabei war stets ein mittels Google-URL-Shortener gekürzter Link, der Nutzer über Weiterleitungen zur Anmeldung auf einer expliziten Plattform geführt hat. Die gefälschten Konten nutzten durchgehend Fotos junger Frauen als Profilbild.

Da sich die Google-Links tracken lassen, konnten die Forscher auch den Erfolg von "Siren" messen. Laut den Ergebnissen war die Spam-Kampagne durchaus erfolgreich. Über 30 Millionen mal sollen die Links angeklickt worden sein. Gleichzeitig wurde vom Security-Experten Brian Krebs auch eine weitere Kampagne aufgedeckt, bei versucht wurde, Nutzer mittels Spam-E-Mails zum selben Netzwerk an Bezahlseiten zu locken. Auch hier war ein Botnetz im Hintergrund tätig.

Kalifornische Agentur als Drahtzieher im Verdacht

Während die Betreiber von "Siren" von Osteuropa aus operieren dürften, steht eine kalifornische Agentur namens Deniro Marketing im Verdacht, Urheber der Kampagnen zu sein. Zwei der fünf Domains, zu denen die Links letztendlich führten, werden auf den Servern des Unternehmens gehostet. Zudem stand die Firma schon in der Vergangenheit in Verbindung mit einer per Botnet unterstützten E-Mail-Spamkampagne.

Am 10. Juli übermittelte Zerofox eine Liste aller erfassten Botaccounts an Twitter sowie alle Links an Google. Die Konten wurden umgehend stillgelegt, Google deaktivierte die Kurz-Links und setzte die Zieladressen auf seine Blacklist. (gpi, 23.07.2017')

Forum:

Ihre Meinung zählt.