Spam-Marketing mit Facebook Apps: Wenn der eigene Account wie von Geisterhand kommentiert

Facebook-Accounts, die eigenständig und in hoher Frequenz Likes und Kommentare abgeben, ohne dass die eigentlichen Inhaber dieser Profile etwas davon merken, geschweige denn etwas damit zu tun haben: Von diesem Spam-Phänomen sind und waren in den vergangenen Wochen offenbar Tausende Facebook-Nutzer betroffen. Wir erklären, wer und was dahintersteht, wie das Ganze technisch abläuft – und was der Schwarzmarkt für Facebook Apps damit zu tun hat. Es sind typische Clickbait-Posts minderster Qualität, die in den vergangenen Tagen in die Newsfeeds vieler Nutzer gespült wurden, weil Freunde oder Bekannte von ihnen diese geliket oder kommentiert haben: „Du wirst nie wieder Klopapier auf die Brille legen, nachdem Du das hier gesehen hast.“ „Seine Freundin hat zwei Vaginas – Wie sie Sex haben ist heftig.“ Oder Screenshots von gefakten WhatsApp-Konversationen, die auf ein Foto neugierig machen soll, das aber abgeschnitten ist und erst mit Klick auf den Link zu sehen sein soll.

Tausende Interaktionen auf Seiten mit kaum Fans

So werden die Spam-Posts mobil in den Newsfeed der Freunde der betroffenen Nutzer gespült

Abgesetzt wurden die Posts von Seiten mit Titeln, bei denen man nicht unbedingt erwarten würde, dass deren Beiträge von so vielen deutschen Nutzern geliket werden. Denn häufig sind die Seitennamen entweder in portugiesischer Sprache oder scheinen reine Fantasieworte zu sein („Bahows Ly“). In anderen Fällen stammen die Beiträge von scheinbaren Fanseiten, die im Titel die Namen vielgenutzter Messaging-Apps wie WhatsApp oder Snapchat tragen, meist in falscher Schreibweise („Snapchaat“). Bei fast allen der Seiten, die uns im Laufe der Recherche begegnet sind, rangiert die Fanzahl im ein- bis niedrigen dreistelligen Bereich.

Umso erstaunlicher, dass sich unter den Posts häufig Likes und/oder Kommentare im teilweise vierstelligen Bereich finden lassen. Anscheinend stammen alle diese Interaktionen nicht wirklich von den Inhabern des jeweiligen Accounts. Darauf lassen die Antworten auf mehrere schriftliche Anfragen von Online Marketing Rockstars an entsprechende Nutzer schließen. Auch OMR-Leser Darius Karampoor hat mehrere Fälle dokumentiert, in denen Facebook-Nutzer auf solche Aktivitäten des eigenen Accounts gestoßen sind und bestätigten, dass diese nicht von ihnen durchgeführt wurden. Das österreichische Portal Mimikama schrieb in der vergangenen Woche, es werde von Anfragen zu diesem Thema „zugeschüttet“.

Sind Facebook Apps die Übeltäter?

Ein weiteres Beispiel für einen mittels Facebook-App-Spam beworbenen Post

Häufig merken die betroffenen Account-Inhaber selbst nicht sofort, dass ihr Account ein Eigenleben führt. Denn ihre Interaktionen erscheinen nicht auf dem eigenen Facebook-Profil, sondern werden nur in den Newsfeeds und Tickern ihrer Freunde eingeblendet. Erst, wenn diese sich bei den Betroffenen erkundigen sollten, warum sie plötzlich solche Beiträge liken oder kommentieren, erfahren diese möglicherweise von den Vorgängen. Die einzige Möglichkeit, mit der die betroffenen Nutzer zuvor selbst darauf stoßen könnten, ist durch einen Blick in das Aktivitätenprotokoll des eigenen Accounts (findet sich in dem Menü, das sich mit einem Klick auf das kleine Dreieck oben rechts öffnet).

Doch wie ist es technisch möglich, dass Tausende von Facebook-Accounts ohne das Zutun ihrer Nutzer posten? Recherchen von Online Marketing Rockstars deuten darauf hin, dass es vor allen Dingen so genannte Facebook Apps sind, mit denen die Spammer in diesen Fällen arbeiten. Facebook Apps können eine Vielzahl von Funktionen erfüllen. Häufig wickeln sie den Datenaustausch zwischen Facebook und anderen Anwendungen ab. Wer sich beispielsweise bei Spotify oder Netflix mit seinem Facebook-Account anmelden möchte, muss dafür der Facebook App des jeweiligen Dienstes den Zugriff auf sein Profil erlauben. Facebook Apps können auch Spiele oder Dating-Anwendungen („Zoosk“) innerhalb von Facebook sein, oder Persönlichkeitstests, die nach durchgeführtem Test das Ergebnis des Nutzers am Ende auf dessen Facebook-Profil posten.

50 US-Dollar auf dem Schwarzmarkt

In den von uns untersuchten Fällen haben Spammer offenbar Facebook Apps zweckentfremdet. Möglicherweise haben sie zuvor Apps aufgekauft, die einmal einen ganz anderen Zweck erfüllt haben, und deswegen von den Nutzern die Zugriffsrechte erteilt bekommen hatten. Nun nutzen die neuen Besitzer diese, um darüber Spam-Traffic zu generieren.

In Foren lassen sich Beispiele von Threads finden, in denen mit solchen Apps gehandelt wird. „Ich produziere Apps mit ‚publish_action’ (also der Autorisierung, im Namen des Nutzers zu posten, Anm. d. Verf.)“, schreibt etwa Nutzer „Chris –  FB Apps“ im Forum Blackhatworld.com auf eine entsprechende Anfrage eines Nutzers. Über ein Script lasse sich festlegen, wie schnell die Accounts die jeweiligen Posts liken sollen; der Rest finde automatisch statt. Branchenexperten erklärten auf Anfragen von Online Marketing Rockstars, dass ihnen mehrere Apps im Bündel zu einem Preis von 50 bis 60 US-Dollar angeboten worden seien.

Ein Nutzer bietet auf Blackhatworld.com Facebook-Apps zum Kauf an

Unser Test-Account kommentiert von alleine

Dass solche Apps dann dafür eingesetzt werden, um über die Accounts der Nutzer ohne deren Wissen Spam-Posts zu liken, haben wir mit einem Test-Account in einem Fall sogar rekonstruieren können. Denn die Links in einem Teil der von uns untersuchten Posts führten über mehrere Umleitungen zunächst zu Facebook-Apps, die dann beim Nutzer um die Erlaubnis baten, in seinem Namen zu posten. Einige der Apps muteten wie Spiel- oder Dating-Apps an („Angry Fish“, „Exotic Match“). Nachdem wir mit unserem Test-Account (der zuvor keine Facebook Apps genutzt hatte) mehreren dieser Apps die entsprechende Erlaubnis erteilt hatten, setzte auch dieser bald ohne unser Tun entsprechende Interaktionen ab.

Das Aktivitätenprotokoll unseres Test-Accounts zeigt, dass er automatisiert Beiträge geliket hat

Eine vergleichbare Entwicklung wie bei den Facebook Apps hat zuvor bereits im Bereich der Browser-Erweiterung stattgefunden. Auch dort ist ein Schwarzmarkt entstanden, über den Add-ons den Besitzer wechseln. Nicht selten fügen die neuen Besitzer der Extension dieser dann (möglicherweise sogar durch ein automatisches Update) neue „Funktionen“ hinzu, mit denen sie den Nutzern beispielsweise ohne deren Wissen im Browser zusätzliche oder alternative Werbung einblenden („Ad Injection“ genannt), durch deren Verkauf sie Geld verdienen.

Teilweise mehr als 40.000 Klicks

Was haben die Spammer in den von uns untersuchten Fällen auf Facebook davon, wenn Nutzer dort Posts liken oder kommentieren? – Traffic. Die Spam-Posts über gekaufte Facebook Apps zu promotieren ist eine günstige Art, Reichweite zu generieren. Denn schließlich werden den Freunden der Betroffenen die Interaktionen angezeigt. Fast immer nutzen die Spammer einen URL-Verkürzer wie Bit.ly oder Goo.gl bei ihren Facebook-Posts; fast immer sind bei diesen die Klick-Statistiken einsehbar. Einige der von uns untersuchten Posts wiesen Klickzahlen im vier- bis fünfstelligen Bereich auf.

Die Klickstatistik eines Links, der zuvor auf einer Facebook-Seite mit dem Titel „Whatsaapp“ gepostet und mit Facebook-App-Spam promoted worden war (Quelle: Screenshot)

Wer genau die Beiträge gepostet und mit Spam-Methoden promoted hat, ist nicht verlässlich zu ermitteln. Die Posts, mit denen unser Test-Account interagierte, beinhalteten Links, bei denen die Nutzer über mehrere Seiten weitergeleitet wurden. Die erste URL, auf die der jeweilige Link verwies, führte in der Regel auf eine Domain unter der Top-Level-Domain .site; der Inhaber hatte die Domain stets über das „Whoisguard“-Feature von Namecheap registriert und damit seine Anonymität gesichert.

Stehen Affiliates hinter dem App-Spam?

Viele der von uns untersuchten Posts, die wir gesehen haben (auch die von unserm Test-Account), führten über mehrere Weichen und Umleitungen letztendlich zu Viralseiten, die vom Westerwälder Unternehmen Me 4 U Media betrieben werden: 7ol.tv, Niedlich.tv und Wahnsinn.tv gehören zum Portfolio des Unternehmens. Me 4 U betreibt außerdem den Traffic-Marktplatz cashface.de, der zwischen Inhabern von reichweitenstarken Facebookseiten und Betreibern von Viralseiten vermittelt. Dort erhalten Facebook-Seitenbetreiber zwischen vier und sechs Euro pro Tausend Nutzer, die sie auf Viralsites weiterleiten. Viele der auf Cashface eingestellten Kampagnen führen auf die unternehmenseigenen Seiten.

Ein Blick ins Kampagnen-Backend von Cashface

Ob hinter den von uns untersuchten Spam-Posts möglicherweise weniger seriöse Vertreter der Affiliate-Marketing-Branche stehen, die über Cashface Traffic verkaufen und so Geld verdienen, ist – auch wegen der mehrfachen Weiterleitungen – nicht sicher zu sagen. Andere von uns untersuchte Posts führten zu Websites von Funcloud; ebenfalls Betreiber diverser Viralseiten sowie eines mit Cashface annähernd vergleichbaren Partnerprogramms.

Facebook löscht Spam-Apps offenbar schnell

Falls die Geister-Likes und -Kommentare von Affiliate-Spammern stammen, macht Facebook diesen offenbar das Leben schwer: Die von uns untersuchten (und auch von unserem Test-Account geliketen) Postings waren in der Regel nach 48 bis 72 Stunden wieder gelöscht, ebenso wie die Apps, die dafür genutzt worden waren. Vermutlich ist Facebook dafür verantwortlich – über die Löschungen informiert worden sind wir vom Netzwerk jedoch nicht. „Facebook ist da sehr schnell und sehr rigoros“, sagt Patrick Konrad von Brand Audience, Betreiber u.a. von der Viralseite Mein-wahres-Ich.de. Mittlerweile sei es zudem sehr schwer, von Facebook eine App freigegeben zu bekommen, die von den Nutzern eine Freigabe zum Posten in ihrem Namen (‚publish_action’) einfordern will. „Man muss das gegenüber Facebook sehr genau begründen – und selbst dann sind die Chancen noch gering.“ – Vielleicht mit ein Grund dafür, dass Spammer versuchen, ältere Facebook Apps zu erwerben.

Wie kann man sich schützen, wenn man sich nicht alleine darauf verlassen möchte, dass Facebook die eigenen Nutzer schützt? Wer schon lange bei Facebook ist, sollte überprüfen, welche Apps noch auf sein Profil zugreifen können (das ist hier möglich) und entsprechend ungenutzte Apps löschen – und in Zukunft sehr vorsichtig damit sein, Apps entsprechende Erlaubnisse zu erteilen.