Das IAS (Integral Ad Science) – ein Technologieunternehmen für Ad Verification – warnt vor dem sogenannten 404 Bot. Der Bot ist eine wachsende Bedrohung für Werbetreibende: Kriminelle erstellen Fake-URLs und generieren gefälschte Browserdaten. Die Ad-Ausgaben steigen, der Gegenwert bleibt aus. Besonders betroffen sind Videoanzeigen. Stand Anfang 2020: 1,5 Milliarden betroffene Fälle.
Wie funktioniert der 404 Bot bei einer Videoanzeige?
Der 404 Bot arbeitet mit umfangreichem Domain-Spoofing – URLs werden auf Browserebene gefälscht. Videoanzeigen sind besonders anfällig, weil der Bot die gefälschte URL für menschliche Beobachter praktisch unsichtbar macht. Das unterscheidet ihn von älteren Ad-Fraud-Netzwerken wie 3Eve und Hyphbot.
Das IAS Threat Lab hatte das Werbebetrugsprogramm Anfang 2019 aufgedeckt – es existiert vermutlich seit 2018. Kern des Schemas ist Domain-Spoofing mit nicht existierenden URLs. Daher der Name: «Error 404» ist die Meldung, die eine nicht existierende URL zurückgibt. Seither haben sich die Betrugstechniken rasant weiterentwickelt.
Besonders tückisch: Der Bot nutzt ungeprüfte Ads.txt-Dateien. Diese Textdateien hosten Firmen auf ihren Webservern – sie zeigen, welche Partner berechtigt sind, die eigenen Produkte oder Dienstleistungen zu verkaufen. Entwickelt hat die Ads.txt-Dateien das IAB Technology Laboratory – ursprünglich, um Advertiser genau vor solchen Betrügereien zu schützen. Das Tool sollte kriminelle Ad-Seller ausschliessen und unautorisierte Verkäufe des Werbeinventars verhindern. Dass genau dieses Instrument jetzt beim Ad-Fraud eingesetzt wird, zeigt, wie schnell sich Betrugstechniken anpassen – und Sicherheitsmassnahmen komplett aushebeln.
Konkrete Gefahr durch den 404 Bot
Nach aktuellem Erkenntnisstand kann der 404 Bot die meisten heute eingesetzten Präventivtechniken umgehen. Fake-URLs werden damit zunehmend unidentifizierbar.
Oliver Hülse, Managing Director CEE bei IAS, beschreibt es so: Betrügerische Methoden werden immer ausgeklügelter, fast täglich tauchen neue Bot-Netzwerke auf, mit denen Kriminelle Werbebudgets abgreifen. Der 404 Bot gilt als besonders raffiniert, weil er gezielt ungeprüfte Ads.txt-Dateien ausnutzt. IAS schätzt den Gesamtschaden aktuell auf 15 Millionen US-Dollar – verursacht durch 1,5 Milliarden betroffene Videoanzeigen.
Vorrangiges Ziel des 404 Bots: Publisher-Domains mit langen Ads.txt-Listen
Ein Muster ist erkennbar: Viele der angegriffenen Domains verwenden lange Ads.txt-Listen. Das ist kein Zufall. Je länger die Liste, desto schwerer fällt die Prüfung – und genau das nutzt der Bot aus.
Die Vorgeschichte erklärt, warum so viele Advertiser mit langen Listen arbeiten. Nach der Einführung von Ads.txt durch das IAB Technology Laboratory schrumpfte das Betrugsaufkommen zunächst merklich. Die Initiative zeigte Wirkung – bis die Betrüger feststellten, dass ungeprüfte Ads.txt-Dateien ausreichen, um ihre Fraud-Methode zu platzieren. Sie suchten daraufhin gezielt nach langen Listen, weil deren gründliche Prüfung für Advertiser schlicht nicht mehr leistbar ist.
Der einzige Ausweg: Die Listen kontinuierlich pflegen und regelmässig aktualisieren.
Schärferes Problembewusstsein in der Branche
Die Werbebranche kennt das Problem – auch Mainstream-Medien wie die Financial Times haben darüber berichtet. Schon vor einem Jahr kursierten Schlagzeilen wie «Umsatzeinbussen von über einer Million US-Dollar pro Monat durch Domain-Spoofing» und «Financial Times warnt vor Domain-Spoofing». Finanzieller Schaden wurde benannt, die technische Funktionsweise blieb meist aussen vor.
Kurz erklärt: Domain-Spoofing ist ein Verfahren in Real-Time-Bidding-Prozessen, bei dem Kriminelle qualitativ minderwertiges Inventar als Premium-Inventar tarnen. Das ist das Grundprinzip. Im Detail gibt es vier Hauptkategorien – zwei einfache, zwei komplexe.
Beim einfachen Domain-Spoofing via URL-Austausch stellen Betrüger eine gefälschte URL ins Ad Network ein, die die Auktion hostet. Die Anzeige wird auf einer anderen Website ausgespielt als die, für die geboten wurde. Wer die Ads.txt-Dateien nicht prüft, merkt das oft gar nicht. Wer hingegen Impressions mit Geboten abgleicht, findet die Unstimmigkeiten schnell – bei höheren Volumina lassen sich dafür automatische Tools einsetzen.
Bei der Cross-Domain-Einbettung verbinden Cyberkriminelle zwei Websites: eine mit viel Traffic und schwachem Inhalt, eine mit wenig Traffic und hochwertigem Inhalt. Ein benutzerdefinierter IFrame öffnet eine verkleinerte Version der seriösen Seite innerhalb der unsicheren – die Anzeige wird mit deutlich mehr Traffic ausgespielt. Diese Taktik nutzen bevorzugt Publisher mit anstössigem Material (Pornografie, Hate-Speech-Communities, Fake News). Solche Seiten ziehen viel Traffic, monetarisieren ihn aber kaum. Die Lösung: Kooperation mit Betreibern seriöser Sites mit wenig Traffic, die am Gewinn beteiligt werden. Wenn das nicht klappt, bauen die Betreiber selbst eine seriöse Fassade auf. Das Spoofing manuell aufzudecken ist schwierig – die Anzeige wird tatsächlich auf einer seriösen Webseite bereitgestellt, die sich dann in einer unsicheren Umgebung öffnet. Ein externer Verifizierungspartner kann helfen: Er ermittelt den Standort des Nutzerbrowsers und gleicht die URL mit der Impression-URL ab.
Die beiden komplexen Domain-Spoofing-Methoden arbeiten mit manipulierten Browsern, die URLs verändern, sowie mit Adware.
Was bei 404-Bot-Betrug zu tun ist
Wer von Domain-Spoofing betroffen ist, holt sich am besten fachliche Hilfe. Viele der Methoden lassen sich mit automatisierten Programmen erkennen und bekämpfen.