Burn Facebook für Anfänger - Fabrikation einer Person

Burn Facebook für Anfänger

Fabrikation einer Person

Dominik Bärlocher
von Dominik Bärlocher
Lesezeit: 14 Minuten

Im Rahmen unserer Arbeit tun wir manchmal Dinge, die andere Leute etwas verwerflich finden. Eine der grössten Sünden in jeder sozialen Situation ist das Einrichten und Pflegen eines oder mehrerer gefälschter Facebook-Profile. Weil sicherlich ist irgendetwas im Busch wenn jemand ein solches Profil oder gar Profile benötigt. Zudem: Facebook ist eine ganz ernste Sache, nicht? Also, weg mit den sozialen Normen für einen Moment. Schauen wir uns an, wie eine Identität auf Facebook fabriziert werden kann.

Im Laufe dieses Artikels werden wir sehen, wie ein überzeugendes falsches Profil erstellt werden kann und wie diese fingierte Person Freunde findet. Zudem werden wir einen Effekt anschauen, der etwa zwei Wochen nach der Anmeldung bei Facebook eintritt und doch recht seltsam ist. Im Zuge dieses Artikels werde ich Ihnen Wissen vermitteln, das wir im Laufe unserer Social Engineering Projekte für unsere Kunden gesammelt haben. Ich hoffe mit diesem Artikel dabei zu helfen, fingierte Facebook-Accounts zu erkennen und so vielleicht Schaden an der eigenen oder einer anderen Person zu verhindern.

Eine kleine Randnotiz: Twitter scheint kein soziales Stigma mit dem Führen mehrerer Accounts zu verbinden. Da gibt es Riker Googling Drunk Hulk InfoSec Taylor Swift und viele weitere, die alles andere als die Echten Namenspaten sind. Aber trotzdem erfreuen sie sich grösster Beliebtheit. Aber das nur nebenbei. Heute behandeln wir Facebook.

Natürlich ist es einfach, ein Profil auf Facebook zu erstellen. Facebook will, dass es neuen Nutzern so leicht wie möglich fällt, ein neues Profil anzulegen, damit sie dann freiwillig ihre Daten zu Marketingzwecken preisgeben. Aber wir sind Profis in der Information Security Branche, weswegen wir ein Ziel haben. Wir wollen als alltägliche Person durchgehen können. Wir sind hinter einer Information her, die manchmal recht spezifisch sein kann. Da die scip AG als Firma sich aber Verschwiegenheit aufs Banner geschrieben haben, werden keine Kundennamen sondern nur unsere Methoden genannt. Eines aber: Wir stürzen uns nicht in ein solches Projekt ohne einen guten Grund zu haben und ohne die legale Situation abzuklären.

Daher ist es wichtig, dass wir als echte Person durchgehen und nicht als betrunkener Hulk. Keiner glaubt das im Ernst und keiner würde dem besoffenen Marvel-Comics-Charakter irgendwelche vertraulichen Daten geben.

Der Beginn zuerst

Bevor Sie Facebook auch nur anfassen, müssen Sie wissen, wer ihre fabrizierte Person ist. Weil einer der wichtigsten Lektion wenn es um sogenannte Burn Facebook Accounts geht, ist die folgende Lektion: Facebook gibt Ihnen keine Identität, Sie geben sie Facebook. Auch wenn das jetzt überaus philosophisch klingt, es bedeutet nichts anderes, als dass Sie wissen müssen wer Ihre Kunstfigur ist.

Beginnen wir also am Anfang. Keiner ist je auf Facebook geboren worden. Wir werden in der echten Welt geboren, weswegen hier unser Anfang liegt. Zuerst einmal: Wo? Suchen Sie sich eine grössere Stadt aus, die Sie etwas besser kennen. Oder einen Ort, über den es extrem viel lokales Wissen online gibt. In diesem Beispiel werde ich Zürich nehmen.

Warum Zürich?

Es ist von grösster Wichtigkeit, dass unsere Persona – wie fabrizierte Personen im Fachjargon genannt werden – anonym bleiben kann und trotzdem an grossen Events auftaucht. Grosse Events wie das jährlich stattfindende Musikfestival Street Parade sind Anlässe, an denen mehr oder weniger die ganze Stadt auftaucht. Der perfekte Ort, an dem eine fiktive Person echten Menschen begegnen könnte. Es ist also durchaus möglich, dass unsere Persona da mit echten Menschen gefeiert hat. Was natürlich nicht der Fall ist. Weil unsere Persona gar nicht existiert.

Daher: Unsere Persona lebt in Zürich. Ob die Persona nun in Zürich aufgewachsen ist oder Zuzügler ist, wird sich noch herausstellen, kann aber im Rahmen eines oberflächlich glaubwürdigen Facebookprofils ignoriert werden.

Wählen Sie Ihr Geschlecht

Männer und Frauen nutzen das Internet unterschiedlich. Wo genau diese Unterschiede liegen und wie gross sie sind, ist nach wie vor diskutabel. Aber die Unterschiede werden vor allem dann bemerkbar, wenn es um Social Media geht. Ein kurzer Blick auf einige der Studien zu diesem Thema zeigt Folgendes. Aber Achtung: Die Studien sind seit 2007 im Umlauf, daher allenfalls etwas in die Jahre gekommen und können sich gegenseitig widersprechen:

Das sind natürlich nicht alle Erkenntnisse der Forscher über die geschlechtsspezifischen Verhaltensmuster wenn es um die Nutzung des Internets geht. Die Beispiele bieten aber einen guten Überblick über den Fokus und die Art der Forschungen und untermauern Folgendes: Es ist sehr schwierig, das andere Geschlecht glaubwürdig zu imitieren. Unmöglich ist es nicht, aber es ist alles andere als einfach, da die geschlechtsspezifischen Verhaltensmuster nicht einzelne definierende Faktoren der Geschlechtsidentität sind, sondern immer nur ein Teil eines Ganzen darstellen. Darunter sind auch die Verwendung von Smileys und das Posten von Bildern.

Darum: Unsere Persona ist männlich.

Ein Mann ohne Identität. Das muss geändert werden.

Wann zahlt es sich aus, das Geschlecht zu wechseln? Selten. Weil der Geschlechterwechsel online ist doch überaus anstrengend. Es lohnt sich aber dann, wenn die Zielperson ein Hobby hat, das eine genderspezifische Zielgruppe hat, sprich: Wenn es zumindest teilweise darum geht, das andere Geschlecht zu beeindrucken. Auto-Tuning zum Beispiel.

Die Wahl des Namens

Ein Name sagt eine Menge aus. Und er wird unser grösstes Identifikationsmerkmal sein. Ein Name gibt schon viel Auskunft über die Person, ihre Herkunft und impliziert – wenn auch nicht vollständig wissenschaftlich belegt – soziale Herkunft in den Köpfen derer, die den Namen hören. Dies nennt sich Kevinismus, basierend darauf, dass unterbewusst davon ausgegangen wird, dass ein Bub mit Namen Kevin aus der Unterschicht stammt und verhaltensauffällig ist. Das weibliche Pendant dazu ist der Chantalismus, basierend auf dem Vornamen Chantal. Andere Namen implizieren ethnische Herkunft. DeShawn ist ein typischer Afro-Amerikanischer Vorname. Kaum ein kaukasisches Kind wird je auf diesen Namen getauft werden. Kim ist ein sehr geläufiger koreanischer Nachname. Und auch wenn der Ökonom Steven Levitt und der Journalist Stephen J. Dubner, Autoren der Freakonomics, bewiesen haben, dass der Name JaMarcus «nicht zwingend zu einem Leben in Armut und Kriminalität führt, so bleibt der Stereotyp in den Köpfen der Menschen verankert. Dasselbe gilt auch für Herrn Kim. Er muss nicht zwingend ein Diktator Nordkoreas sein und Justin ist nicht zwingend der wandelnde Alptraum, der er zu sein scheint.

In Zürich würde JaMarcus auffallen. Mehr als das Justin würde. Aber Justin impliziert dass der Mann, der den Namen trägt, ein Idiot ist, weil Stereotyp. Herr Kim ist auch nicht so subtil wie wir das gerne hätten, weil das Ziel ist ja, unauffällig aber glaubwürdig zu sein. Es gibt in Zürich nicht viele, die JaMarcus Kim heissen oder sonstige ethnische Namen tragen.

Die Wahl eines Namens fällt schwer. Glücklicherweise haben die Schweizer aber ein durchsuchbares öffentliches Telefonbuch in dem angezeigt wird, wie viele Einträge unter dem Namen eingetragen sind. Daher lohnt es sich, die gängigsten Namen aus einer Umgebung durchzuprobieren. In Zürich, oder in der Schweiz, ist der Nachname Müller recht weit verbreitet. Jeder in der Schweiz kennt wohl jemanden mit diesem Namen.

Um den Vornamen zu finden kann die selbe Methodik angewendet werden. Welchen Vornamen hören Sie oft? Es muss nicht zwingend statistisch belegt sein, aber emotional. Daher fällt unsere Wahl auf Thomas Müller. Das hat folgende Vorteile:

Aber Achtung! Ein zu unauffälliger Name kann ebenfalls verdacht erwähnen. Es ist äusserst unwahrscheinlich, dass einem Hans Müller einfach so sensitive Daten ausgehändigt werden.

Leben Sie

Also, Thomas Müller lebt in Zürich. So weit, so gut, aber jetzt ist die Zeit für Details gekommen. Ein Mann braucht eine Arbeit, da die meisten Internet-Nutzer im arbeitsfähigen Alter sind. Natürlich muss der Job auch unauffällig sein. Daher bestehen folgende Anforderungen:

Wenn Thomas Müller nicht in seinem anonymen arbeitet, hat er Hobbies. Hier wird es schwierig. Weil hier kann die Mission des Information Gathering scheitern. In unserem Job erfinde ich oft Personae, die vor allem einer Person gefallen müssen. Also müssen die Hobbies das ausdrücken. Auch wenn wir die Hobbies unserer Zielperson kennen, dann kann es auffällig sein, die exakt selben zu wählen.

Kann kontrovers sein

Das perfekte Profil

Nach der Wahl von Geschlecht, Namen und Persönlichkeit kommt der Moment der Anmeldung bei Facebook. Was hier helfen kann, ist das Wissen um die Herkunft der Persona. Warum ist Thomas Müller, wie er ist? Wo kommt er her? Ist er in Zürich aufgewachsen? Wenn nicht, wo kommt er her? Warum mag er die Dinge, die er mag? Hat er eine Freundin? Eine Ehefrau? Kinder? Generell sind Frau und Kinder eine schlechte Idee, weil ein Verheirateter wäre wohl mit seiner Frau auf Facebook befreundet. Das würde ein weiteres fabriziertes Profil erfordern.

Bei der Erstellung des Profils gilt es noch einige letzte Dinge zu beachten:

Es wird merkwürdig

Nachdem die Persona nun in der Öffentlichkeit ist, ist es an der Zeit, sozial zu werden. Denn dafür ist Facebook gemacht. Einige dutzend Freundschaftsanfragen später passiert aber etwas Seltsames. Wildfremde Leute werden der Persona Freundschaftsanfragen senden. Zudem kommen dann die merkwürdigen Messages, die von «Hi, wie geht’s?» bis «Ich will dich gerne vernaschen, Fremder im Internet» reichen. Letztere werden überwiegen, wenn Sie eine weibliche Persona gewählt haben.

Oftmals sind diese Mitteilungen aber so dermassen blöde, dass ich überrascht wäre, wenn überhaupt jemand auf die Maschen der Internet-Fremden hereinfallen würde. Sogar Facebook ist schon recht gut darin geworden, diese Betrüger aufzuspüren. Und erfahrungsgemäss braucht es nicht besonders viel Cleverness um Facebook auszutricksen.

Erwarten die wirklich, dass da jemand drauf reinfällt?

Das Seltsame daran ist, dass diese Leute alle mit einer Person befreundet sein wollen (oder auch mit ihr schlafen), die es gar nicht gibt. Die Persona hat nie existiert und wird auch nie existieren. Weil Sie sie frei erfunden haben.

Mit grosser Macht…

In diesem Artikel habe ich Ihnen wohl Wissen vermittelt, mit dem Sie anderen Schaden zufügen können. Sie können dieses Wissen zu Zwecken nutzen, die nicht direkt mit Information Security zu tun haben. Die Sache ist die: Ich habe keinen Weg, herauszufinden, wofür Sie dieses Wissen nutzen werden und können. Daher werde ich hier einfach eine Bitte anbringen. Erinnern Sie sich bitte an die Worte von Comicautor Stan Lee, der Spider-Mans Onkel Folgendes in den Mund gelegt hat: Mit grosser Macht kommt grosse Verantwortung.

Über den Autor

Dominik Bärlocher

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

Sie suchen Interviewpartner?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv