[English]Sicherheitsforscher von vpnMentor haben eine umfangreiche Klick-Farm aufgedeckt, die für Betrügereien auf Instagram genutzt wurde, aufgedeckt. Die Klick-Form agiert mittels mehrerer 10.000 Fake Accounts auf Instagram. Der Betrug betrifft Nutzer weltweit, wobei auch deutsche User darunter sind.
Anzeige
Die Sicherheitsforscher haben mir vorab die Information zukommen lassen. Sicherheitsforscher von vpnMentor haben unter der Leitung von Noam Rotem und Ran Locar kürzlich eine riesige illegale Instagram-Klickfarm aufgedeckt, die irgendwo in Zentralasien angesiedelt ist und weltweit operiert.
Zum Hintergrund: Klickfarmen
Über die Welt der Klickfarmen und ihre Funktionsweise ist sehr wenig bekannt. Clickfarmen werden oft von Einzelpersonen oder Unternehmen bezahlt, um deren Follower auf Social Media-Plattformen und deren Engagement aufzublähen. Die Leute, die Klickfarmen beauftragen, nutzen dies dann, um Sponsorenbeiträge und andere Formen des Einkommens aus der App zu nutzen.
Click-Farmen sind in der Regel in Entwicklungsländern angesiedelt, in denen es wenig bis gar keine Datenvorschriften, Aufsicht oder Durchsetzung von Ansprüchen gegen Betrug gibt. Es geht dabei darum, automatisiert auf Werbeeinblendungen zu klicken, um damit Einnahmen zu generieren – was natürlich Betrug ist. Beim aktuellen Fall erstellten die Hintermänner 1.000 gefälschte Konten, um Instagram zu durchforsten.
Die Betrüger beschäftigen sich im konkreten Fall mit Posts und Profilen auf Instagram und klicken dort auf bezahlte Werbung von Konten ihrer Kunden. Auf diese Weise können sie die Follower einer Person, der Kunde bei der Klickfarm ist, aufblähen und ihr helfen, durch Werbung oder gesponserte Beiträge in der Instagram-App Einkommen zu erzielen.
Anzeige
Auf diese Weise betrügen sie jedes Unternehmen oder jede Drittpartei, die sie Werbung oder Sponsoring auf der Grundlage von Followern oder Engagement auf einer Plattform bezahlen. Klickfarmen werden auch benutzt, um gefälschte Nachrichten und Fehlinformationen zu verbreiten. Es gibt zahlreiche Beweise dafür, dass dies bereits eine weit verbreitete Praxis und eine beliebte Form der Wahlbeeinflussung, Manipulation und des indirekten Angriffs auf Rivalen durch Regierungen wie Russland, China, Iran und ihre Verbündeten ist.
Automatisierte Prozesse
Die Sicherheitsforscher gehen davon aus, dass die Personen, die hinter dieser Klick-Farm stehen, einen hoch automatisierten Prozess zur Verwaltung von 10.000 Proxy-Profilen von Instagram in Ländern auf der ganzen Welt geschaffen haben, ohne dass viel individueller menschlicher Input erforderlich ist. Obwohl vieles an dieser Entdeckung ein Rätsel bleibt, war die Klickfarm eindeutig sehr erfolgreich.
Wie der Betrug funktionierte
Die Klickfarm scheint durch eine ausgeklügelte Operation betrieben zu werden, die einen hochautomatisierten Prozess zur Erstellung von 10.000 gefälschten Proxy-Konten auf Instagram aufgebaut hat. Jedes Konto hatte seinen eigenen Avatar, seine eigene Biographie und "Persona", die aus der ganzen Welt zu Instagram zu kommen schienen.
Jedes gefälschte Konto konnte dann Beiträge posten, die Beiträge anderer ansehen, verfolgen, reagieren und sich mit Instagram-Profilen beschäftigen. Die Klickfarm verwendete auch Proxy-Server und IP-Adressen, um ihre Aktivitäten zu verbergen. Normalerweise fällt so etwas den Plattformen auf. Wenn sich 10.000 neue Benutzer aus einer kleinen Stadt im ländlichen Kasachstan bei Instagram anmelden und sich fast identisch verhalten, würden sie schnell als Spam markiert. Um dies zu umgehen, wurde jedes gefälschte Profil mit einer IP-Adresse in einem Land abgeglichen, das mit seiner "Persona" übereinstimmte.
Was wurde entdeckt?
Die Sicherheitsforscher von vpnMentor verwenden Port-Scanning-Technologie, um bestimmte IP-Blöcke zu untersuchen und verschiedene Systeme auf Schwachstellen oder Verwundbarkeiten zu testen. Sie untersuchen jede Schwachstelle auch auf ungesicherte Daten, die dort abgreifbar sind.
Das Forschungsteam entdeckte so am 21. September 2020 einen Kommando- und Kontrollserver, der die Drehscheibe für die gesamte Operation zu sein schien. Der Server enthielt die Daten von 10.000 Instagram-Profilen und Aktionen für 'Fake-Personen', die auf Instagram aktiv waren. Die Betrüger benutzten eine ungesicherte Elasticsearch-Datenbank zur Speicherung der Daten. Das Sicherheitsteam konnte dann auf die Datenbank der Clickfarm zugreifen, da sie völlig ungesichert und unverschlüsselt war. Es gelang den Sicherheitsforschern die Daten einzusehen. Der Server hatte folgende Daten gespeichert:
● Instagram-Benutzernamen und -Passwörter
● Proxy-IP-Adressen für jedes Konto
● E-Mail-Adresse, die mit Instagram-Konten verbunden ist
● SMS-Verifizierungscodes
● In den Operationen verwendete Telefonnummern
Klickfarm-Daten
Durch die Speicherung all dieser Daten auf einem einzigen Server wurde der Betrieb der Klickfarm vollständig zentralisiert und von einer einzigen Einheit kontrolliert. Dieses zentralisierte Modell ermöglichte es jedem, der für die Farm arbeitete, sich in ein Konto einzuloggen, das scheinbar irgendwo auf der Welt angesiedelt war, und sofort mit verschiedenen Aktionen zu beginnen.
Um die Klickfarm zu betreiben, benötigten die Betrüger außerdem 1.000 lokale SIM-Karten, um Verifizierungscodes für den Beitritt auf Instagram durch ein jeweils neues Konto zu erhalten. Die Sicherheitsforscher glauben, dass diese Operation von Zentralasien aus durchgeführt wurde. Viele der realen IP-Adressen des Servers stammen aus Kasachstan und Armenien, ebenso wie die Mobilfunkbetreiber, die SMS-Verifizierungsnachrichten von Instagram erhielten.
Facebook reagiert
Klickfarmen und andere Formen von Betrug und Fehlinformationen sind auf Instagram, Facebook und anderen beliebten sozialen Netzwerken weit verbreitet. Dies ist ein Problem, mit dem sich die Unternehmen seit Jahren kämpfen.
Facebook und Instagram können die Konten dieser Klickfarm schnell aus der Instagram-App entfernen. Aber das führt dazu, dass die Hintermänner einfach weitere, neue Instagram-Konten aufbauen. Instagram-Benutzer können alle Konten oder Aktivitäten melden, bei denen sie den Verdacht haben, dass sie Spam sind oder unter falschen Vorwänden operieren, damit diese entfernt werden.
Deutsche Instagram-Konten
Das Team von vpnMentor hat sich dann an Facebook gewandt, um sie über den Betrug zu informieren und ihnen mitzuteilen, wie viele Personen davon betroffen waren. Am 22. September 2020 war der Datenbankserver abgesichert, offenbar haben die Hintermänner etwas gemerkt, als massiv Instagram-Konten geschlossen wurden. Der gesamte Bericht sollte bei Veröffentlichung dieses Beitrags bei vpnMentor auf dieser Webseite einsehbar sein.
Das vpnMentor-Forschungslabor ist der weltweit größte Pro-Bono-Service, der das Internet auf Datenschutzverletzungen scannt und sich gegen Cyber-Bedrohungen engagiert. Das Sicherheitsforschungsteam hat einige der folgenschwersten Datenschutzverletzungen der letzten Jahre entdeckt und offengelegt. Dazu gehörte auch ein Betrug, der auf Spotify und seine Benutzer abzielte. Die Forscher haben über ein massives Datenleck auch aufgedeckt, wie eine Gruppe kostenloser VPN-Betreiber die Aktivitäten ihrer Benutzer aufzeichnete.
Anzeige
"ungesicherte Elasticsearch-Datenbank zur Speicherung der Daten"
aaaaaaaaah, der shice wird mich ewig verfolgen ..
So kreativ müsste man sein.