Das IAS (Integral Ad Science), das als Technologieunternehmen die Ad Verification anbietet, warnt aktuell eindringlich vor dem sogenannten 404 Bot, der eine zunehmende Bedrohung für Werbetreibende darstellt. Bei der Betrugsmethode erstellen Kriminelle Fake URLs und generieren gefälschte Browserdaten. Damit steigen für die Werbetreibenden ihre Ad-Ausgaben ohne jeglichen Gegenwert. Speziell eine Videoanzeige kann auf diese Weise gefälscht werden. Mit Stand Anfang 2020 soll es diesen Fall schon 1,5 Milliarden Mal geben.
Wie funktioniert der 404 Bot bei einer Videoanzeige?
Der 404 Bot benutzt umfangreiches Domain-Spoofing, bei dem die URLs auf der Browserebene gefälscht werden. Dazu eignet sich eine Videoanzeige besonders gut, weil der 404 Bot im Gegensatz zu den Ad-Fraud-Netzwerken 3Eve und Hyphbot sicherstellt, dass die gefälschte URL für einen Menschen praktisch nicht zu erkennen ist. Das IAS Threat Lab hatte schon Anfang 2019 ein flächendeckend angelegtes Werbebetrugsprogramm entlarvt, das vermutlich seit 2018 existiert. Sein signifikantester Mechanismus ist das Domain-Spoofing. Bei diesem Vorgang werden nicht existierende URLs verwendet. Daher erhielt der Bot seinen Spitznamen „404 Bot“, weil die Meldung „Error 404“ auf eine nicht existierende URL verweist. Die entsprechenden Betrugstechniken entwickelten sich seither rasant weiter. Als besonders trügerisch gilt, dass der Bot ungeprüfte Ads.txt-Dateien nutzt. Solche Textdateien hosten Firmen auf ihren Webservern: Sie zeigen ihnen, welche Partnerunternehmen über eine Berechtigung zum Verkauf der eigenen Produkte oder Dienstleistungen verfügen. Die Ads.txt-Dateien hat das IAB Technology Laboratory entwickelt – eigentlich, um Advertiser genau vor denjenigen Betrügereien zu schützen, für die nun der 404 Bot verwendet wird. Das Tool der Ads.txt-Dateien sollte nämlich den Werbetreibenden dabei helfen, kriminelle Ad-Seller zu umgehen sowie unautorisierte Verkäufe ihres Werbeinventars zu verhindern. Dass genau dieses Tool nun beim Ad-Fraud zum Einsatz kommt, zeigt auf erschreckende Weise, wie schnell sich neueste Betrugstechniken weiterentwickeln. Sie können Sicherheitsmaßnahmen sogar komplett aushebeln.
Konkrete Gefahr durch den 404 Bot
Der 404 Bot ist nach derzeitigem Erkenntnisstand in der Lage, die meisten der heute angewendeten präventiven Techniken auszuhebeln. Er könnte unter Umständen dafür sorgen, dass Fake-URLs nicht mehr zu identifizieren sind. Der Managing Director CEE Oliver Hülse von IAS merkt dazu an, dass es immer ausgeklügeltere betrügerische Methoden gebe. Fast täglich seien neue Bot-Netzwerke zu beobachten, mit denen die Kriminellen die Werbebudgets von Advertisern abgreifen würden. Der 404 Bot gelte dabei als besonders raffinierter Kandidat, weil er ungeprüfte Ads.txt-Dateien ausnutzt. Die IAS schätzt den Schaden durch diesen Betrug auf aktuell auf 15 Millionen US-Dollar. Dem liegt die Zahl von 1,5 Milliarden betroffenen Videoanzeigen zugrunde.
Vorrangiges Ziel des 404 Bots: Publisher-Domains mit langen Ads.txt-Listen
Es ist beim 404 Bot ein bestimmtes Muster festzustellen: Viele der durch ihn angegriffenen Domains verwenden lange Ads.txt-Listen. Möglicherweise ist das darauf zurückzuführen, dass er ja gerade die ungeprüften Ads.txt-Dateien ausnutzt und den Verwendern die Prüfung umso schwerer fällt, je länger ihre Listen sind. Die Advertiser wiederum setzten nach der Einführung der Ads.txt-Dateien durch das IAB Technology Laboratory schnell auf längere Listen, weil diese Initiative anfangs durchaus bemerkenswerte Erfolge verzeichnete. Nach den ersten Implementierungen von Ads.txt schrumpfte das Betrugsaufkommen zunächst merklich – bis die Betrüger feststellten, dass sie nur die ungeprüften Ads.txt-Dateien verwenden mussten, um ihre Fraud-Methode zu platzieren. Also suchten sie gezielt nach langen Ads.txt-Listen, weil sie vollkommen zu Recht davon ausgehen, dass die Advertiser es nicht mehr schaffen würden, diese gründlich zu prüfen. Die Werbetreibenden haben daher nur eine Chance: Sie müssen ihre Listen kontinuierlich pflegen und sie immer wieder auf den jeweils neuesten Stand bringen.
Schärferes Problembewusstsein in der Branche
Der Werbebranche ist die Gefahr durchaus bewusst, auch Mainstream-Medien wie die Financial Times berichteten davon. Schon vor einem Jahr gab es Schlagzeilen wie „Umsatzeinbußen von über einer Million US-Doller pro Monat durch Domain-Spoofing“ und „Financial Times warnt vor Domain-Spoofing“. Dabei wurde stets der massive finanzielle Schaden durch den Betrug erwähnt, ohne auf die konkrete technische Funktionsweise näher einzugehen. Eine verkürzte Erklärung lautet, dass Domain-Spoofing ein Verfahren in Real-Time-Bidding-Prozessen ist, bei dem Kriminelle qualitativ minderwertiges Inventar in der Darstellung als qualitativ hochwertig (Premium-Site) darstellen. Das wäre das grundlegende Konzept. Im Detail besteht Domain-Spoofing aus mehreren Teilen, die zu insgesamt vier Hauptkategorien – zwei einfachen und zwei komplexen – führen. Beim einfachen Domain-Spoofing erfolgt ein URL-Austausch, eine Form, die sich relativ leicht erkennen lässt. Die Betrüger stellen ins Ad Network eine gefälschte URL ein, welche die Auktion hostet. Die Werbeanzeige wird allerdings auf einer anderen Website ausgespielt als auf derjenigen, die eigentlich für das Gebot gedacht war. Das funktioniert generell gut, wenn die Advertiser ihre Ads.txt-Dateien nicht überprüfen. Wer sich aber die Mühe macht, die angezeigten Impressions mit den Geboten abzugleichen, wird die Unstimmigkeiten schnell entdecken. Bei höheren Volumina lassen sich hierfür durchaus automatische Tools verwenden! Bei der Fraud-Methode Cross-Domain Einbettung verbinden die Cyberkriminellen hingegen zwei Websites miteinander: Die eine weist viel Traffic, aber qualitativ minderwertigen Inhalt auf, bei der anderen ist es umgekehrt. Ihr Trafficaufkommen ist niedrig, der Inhalt ist hingegen absolut sicher und hochwertig. Die Betrüger verwenden nun einen benutzerdefinierten IFrame, mit dem sie eine Version der hochwertigen, sicheren Seite in der unsicheren Seite öffnen und sie dabei auf die Anzeigengröße minimieren. Dadurch wird die Anzeige mit deutlich höherem Traffic-Volumen ausgespielt. Diese Taktik wenden bevorzugt Publisher an, denen Websites mit anstößigem Material gehören (Pornografie, Hate-Speech-Community, Fake News). Solche Seiten ziehen sehr viel Traffic an, doch dieser lässt sich kaum monetarisieren. Für einen Profit kooperieren nun die Betreiber mit Publishern, die seriöse Sites mit wenig Traffic aufgesetzt haben und unter ihren geringen Umsätzen gelegentlich sehr leiden. Sie lassen sich daher bisweilen auf solche Geschäfte ein und werden am Gewinn beteiligt. Wenn das nicht gelingt, setzen die Publisher der Porno- oder Fake-News-Seiten einfach selbst eine hochseriöse Seite auf und betreiben diese als Fassade. Fatal daran ist die Schwierigkeit, dieses Spoofing durch einen manuellen Abgleich aufzudecken. Die Werbeanzeige wird schließlich wirklich auf einer sicheren Webseite bereitgestellt, die sich dann in einer unsicheren Umgebung öffnet. Es gibt allerdings die Option, einen externen Verifizierungspartner mit der Identifikation zu beauftragen. Er wird den Standort des Nutzerbrowsers ermitteln und dann die betreffende URL und die URL der Impression miteinander abgleichen. Die beiden komplexen Domain-Spoofing-Methoden funktionieren mit benutzerdefinierten Browsern, welche URLs manipulieren, sowie mit Adware (werbliche Schadsoftware).
Fazit zur 404 Bot-Abzocke
Wer von Domain-Spoofing betroffen ist, sollte sich fachliche Hilfe holen. Viele der Methoden lassen sich wirklich mit automatisierten Programmen erkennen und auch bekämpfen.
