hacker, stilometrie
hacker, stilometrie
Bildquelle: cottonbro, Lizenz

Mittels Stilometrie Vendoren von Darknet-Marktplätzen enttarnen

Durch Vergleiche der von Vendoren verwendeten Stilometrie gelang es Wissenschaftlern, Zusammenhänge zwischen vier Marktplätzen herzustellen.

Forscher, die ihre Namen nicht preisgeben wollen, haben eine wissenschaftliche Ausarbeitung zum Thema Stilometrie veröffentlicht. Sie analysierten den Schreibstil von Verkäufern (Vendoren) von vier ehemaligen Darkcommerce-Marktplätzen. Gemeint sind Valhalla, Dream Market, Evolution und Silk Road 2.

Es gelang ihnen ohne weitere Hilfsmittel, Zusammenhänge zwischen mehr als 700 einzelnen Identitäten herzustellen. Die Studie baut auf frühere Arbeiten auf, bei denen nur die von den Verkäufern hochgeladenen Bilder analysiert wurden. Auch damit gelang es, getrennte Identitäten miteinander zu verknüpfen.

Stilometrie
Die Stilometrie der Postings auf vier Marktplätzen führt zu einzelnen Tatverdächtigen.

Stilometrie lässt sich nur schwerlich verändern

Um die Fingerabdrücke eines Verkäufers auf der Grundlage seiner geposteten Texte zu erstellen, berücksichtigen die Wissenschaftler sowohl den Textinhalt als auch den verwendeten Schreibstil. Für den Textinhalt benutzten sie den Algorithmus doc2vec. Der Schreibstil wurde damit in verschiedenen Ebenen analysiert. Man untersuchte beispielsweise, in welcher Form der Verkäufer Wörter klein oder groß schreibt. Wie oft verwendet sie/er Sonderzeichen, Leerzeichen oder Ziffern? Aus wie vielen Wörtern besteht im Durchschnitt ein Satz? Wie umfangreich wird das Vokabular eingesetzt? Ist der Schreibstil eher simpel oder schöpft der Vendor sprachlich aus dem Vollen? Man analysierte auch, wie oft Absätze gemacht und ob sie eingerückt wurden. Dazu kamen weitere Merkmale der Stilometrie, mit denen sich die Verkäufer unabsichtlich selbst verraten haben.

Über 90% der Paare waren die gleichen Verkäufer

Für die entdeckten marktübergreifenden Verkäuferpaare bildete man eine weitere Stichprobe von 798 Paaren, um sie anhand schlüssiger Beweise zu validieren. So gaben manche Verkäufer sogar damit an, in anderen Marketplaces aktiv zu sein. Und manchmal schrieben sie, wo sie ebenfalls ihre Waren verkauft haben. Von diesen 798 entdeckten marktübergreifenden Paaren sind 726 Paare (90,09 %) mit hoher Wahrscheinlichkeit dieselben Personen. Bei 22 Paaren war man sich noch unsicher (2,76 %). Leider geht aus der Studie nicht hervor, wie oft die gleichen bzw. ähnlich klingende Pseudonyme von den Verkäufern benutzt wurden, was die Erkennung deutlich erleichtern würde.

Stilometrie
Die Analyse der Stilometrie im praktischen Einsatz.

Auch die Strafverfolgungsbehörden haben bereits nachweislich Stilometrie zur Aufklärung von Online-Verbrechen eingesetzt. Natürlich ist die Stilometrie nur ein Indiz und noch kein Beweis für eine strafbare Handlung. Da man den Vergleich einem Algorithmus überlassen kann, werden dadurch noch nicht einmal die Arbeitskräfte von Mitarbeitern gebunden. Zwar kann man als Verkäufer versuchen, seinen Stil zu verändern. Doch bei mehreren Tausend Texten ist die Wahrscheinlichkeit noch immer sehr hoch, dass man am Ende ein Muster dahinter erkennt.

Auch Menschen erkennen Autoren anhand der Stilometrie

Doch nicht nur Skripte können Autoren überführen, die unter verschiedenen Pseudonymen aktiv sind. Das gelang im November 2014 auch unseren Kommentatoren, die in den Beiträgen des damals neuen Autors Watchdog die Stilometrie von Spiegelbest erkannt haben. Das Versteckspiel gelang nur für etwa vier Wochen, dann wurden die ersten kritischen Stimmen laut. In der Folge setzte Spiegelbest seine Blogbeiträge dann wieder unter seinem „echten“ Namen fort.

Wer sich für mehr Details interessiert, die Kollegen von Darknetlive bieten die Studie als PDF-Dokument oder wahlweise via HTML an. Die wissenschaftliche Arbeit der anonymen Autoren trägt den endlos langen Titel:

Your Style Your Identity: Leveraging Writing and Photography Styles for Drug Trafficker Identification in Darknet Markets over Attributed Heterogeneous Information Network.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.