Black Hat USA 2021: Wer verkauft meine Daten an Spammer?

Forscher haben 300 gefakte Identitäten bei 185 Organisationen registriert. Ziel: Herauszufinden, wer welche Daten weiterverkauft. Mit überraschendem Ergebnis.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 186 Beiträge

(Bild: Dezay/Shutterstock.com)

Von
  • Uli Ries

Dr. Alan Michaels und Kiernan George vom Virginia Polytechnic Institute sind gemeinsam mit Studenten der Frage auf den Grund gegangen, ob Organisationen die ihnen anvertrauten Personendaten an Dritte weitergeben. Angesichts ständig neuer Spam-E-Mails und -Anrufe, die Internetnutzer erreichen, ein naheliegender Gedanke.

Zum Versuchsaufbau (PDF-Datei) gehörten 300 Fake-Identitäten, samt individueller E-Mail-Adresse, Postanschrift, Profilfoto (für Social-Media-Konten) und teilweise politischer Ausrichtung. Die Hälfte dieser im Sommer 2020 angelegten Identitäten wurde noch mit einer virtuellen US-Telefonnummer ausgestattet. Die Studenten führten anschließend mit jeder dieser Identitäten eine Aktion – Anlegen eines Nutzerkontos, Abonnieren eines Newsletters, Online-Einkauf und so weiter – bei einer von 185 Organisationen aus.

Unter den Organisationen waren hauptsächlich US-Unternehmen wie Amazon, Apple, Facebook, Netflix oder Pinterest. Aber auch politische Organisationen wie die Republikanische Partei und internationale Unternehmen wie Alibaba oder Xing. Insbesondere Facebook zeigte sich Kiernan George zufolge sehr gut beim Erkennen von Fake-Accounts: Sechs der Fake-Accounts sperrte die Plattform direkt nach dem Anlegen, zwei weitere waren eine Woche später Geschichte.

Nach dem Abwickeln der Transaktion sammelten die Forscher passiv sämtliche eingehende Kommunikation: E-Mails, SMS, Sprachnachrichten. Ergebnis: zirka 16.500 E-Mails fanden sich verteilt über die 300 Postfächer. Der US-Fernsehsender Fox News ist alleine für 2300 dieser Nachrichten verantwortlich. Am Tag der US-Präsidentenwahl verschickte Fox News im Schnitt alle 30 Minuten eine E-Mail. Aufs Konto der Kommunistischen Partei der USA gehen insgesamt 278 Nachrichten, Apple versandte 240 Mails. Den Forschern zufolge nahm die Zahl von Woche zu Woche ab. Wahrscheinlich mangels Interaktion auf Seiten der Empfänger.

Unter den Top-10-E-Mail-Versendern finden sich mit Le Figaro und dem Kaufhof-Eigner Hudson’s Bay auch zwei Nicht-US-Unternehmen.

(Bild: Virginia Polytechnic Institute and State University)

Von zirka 1000 ausgewerteten Nachrichten auf der Sprach-Mailbox versuchten sich 250 mit dem Verkauf von unerwünschten Produkten und gut 150 fielen in die Kategorie Betrugsversuch. Ob einzelne E-Mails ebenfalls bösartig waren und Malware im Gepäck hatten beziehungsweise auf Phishing-Seiten verlinkten, stand zum Zeitpunkt des Vortrags noch nicht fest.

Von den 300 Konten waren lediglich zehn von einer Datenweitergabe betroffen. Das heißt, dass quasi alle Organisationen nach den Regeln spielten und keine persönlichen Daten ohne Nachfrage an Dritte weiterreichten – ein Resultat, das die Forscher nach eigenem Bekunden dann doch überraschte. Ausnahmen waren unter anderem die Kommunistische Partei der USA, die Kontaktdaten ein zwei verbandelte Gruppierungen durchreichte sowie B-Stock, eine Art virtuelle Resterampe, das Daten an Etsy weitergab. Wer sich beim japanischen Kochrezeptedienst Cookpad registriert, bekomme dem Experiment zufolge Werbe-E-Mails der Online-Datingplattform Badoo.

Die Forscher analysierten auch, welche Gefühlslagen die empfangenen E-Mails ansprachen. Während eine Anti-Schusswaffen-Lobby mit Furcht spielte, griffen E-Harmony und IMDB auf positive Formulierungen zurück.

(Bild: Virginia Polytechnic Institute and State University)

Twitter und TikTok wurden politisch aktiv: Den Forschern zufolge werteten die Social-Media-Plattformen Cookies aus und gaben für die beiden großen US-Parteien relevante Nutzerdaten an die Republikaner (Twitter) beziehungsweise die Demokraten (TikTok) weiter.

Lesen Sie auch

Sämtliche Rohdaten wurden von den Forschern auf GitHub veröffentlicht. Um künftig eventuell bessere Ergebnisse zu erzielen, will die Forschergruppe im kommenden Jahr einen noch größer angelegten Versuchsaufbau an den Start rollen: Bis zu 100.000 gefakte Identitäten, die dann auch auf die versandten Nachrichten reagieren können, sollen es werden.

(tiw)