Display Advertising

Gigantisches Botnetzwerk enttarnt: Russische Hacker machten 5 Millionen Dollar täglich mit Fake Video Ad Views

Ad Fraud im großen Stil – Methbot zielt auf teure Video Anzeigen und betrifft tausende Publisher. Advertiser bezahlten jeden Tag für Millionen falsche Views.

© Flickr - Pictures of Money, CC BY 2.0

WhiteOps entdeckte das bislang größte Botnetzwerk, das die digitale Werbebranche je gesehen hat. Das Netzwerk, das unter dem Namen “Methbot” bekannt geworden ist, generierte innerhalb von 24 Stunden 300 Millionen Video Ad Views bei angeblichen Premium Publishern und spülte somit jeden Tag bis zu fünf Millionen US-Dollar in die Kassen der russischen Hacker.

Video Ad Views von Premium Publishern im Fokus der Betrüger

Der US-amerikanischen Cyber Security Firma White Ops gelang es, ein Botnetzwerk von bisher unbekanntem Ausmaß zu enthüllen. Eine russische Hacker-Crew, genannt AFT13, war seit Oktober täglich für 300 Millionen Video Ad Views im Premium Segment verantwortlich, die teuer verkauft, aber nur von Maschinen gesehen wurden. Mike Tiffany, CEO und Co-Founder von White Ops, wies gegenüber eMarketer und Advertising Age auf die Schwere des Betrugs hin:

This has a real economic impact. Publishers were getting robbed because it was their inventory that was getting counterfeited, and advertisers were spending millions of dollars, thinking that money was going to real publishers, but it wasn’t. […]  Methbot elevates ad fraud to a whole new level of sophistication and scale.

Betroffen von dem Scam sind unter anderem Publisher wie the Huffington Post, The Economist, ESPN oder Fox News.

Funktionsweise von "Methbot", Auszug aus dem Whitepaper von White Ops

Funktionsweise von “Methbot”, Auszug aus dem Whitepaper von White Ops

Das Vorgehen der Hacker ist höchst professionell

Die Crew operierte von Russland aus, griff aber auf Datencenter aus Dallas und Amsterdam zurück. Für den Fraud machten sich die Hacker das Programmatic Advertising Modell zunutze. Sie registrierten und verschleierten über 6.000 Domains und schufen 250.000 URLs, die die Websites großer Publisher simulierten.

Werbetreibenden wurden so beispielsweise Video Ad Views auf der Online-Präsenz der New York Times verkauft, die Impressions erfolgten jedoch tatsächlich auf den dafür eingerichteten Websites der Hacker.

Für die Impressions sorgte ein riesiges Botnetzwerk mit über einer halben Million User. Hinter den Bots standen IPs von namhaften Providern mit manipulierter Geolocation, was die Aufdeckung des Frauds erschwerte. Zusätzlich ahmten die Programme Engagement wie Mausbewegungen oder Klicks echter User nach und täuschten vor, in Social Media Accounts wie Facebook eingeloggt zu sein. Damit machten sie sich zur wertvollen Zielgruppe für Advertiser.

Der CPM dieser Impressions variierte zwischen 3,27 und 36,72 US-Dollar mit einem Schnitt von 13,04 Dollar. Das Botnetzwerk generiert Schätzungen von White Ops zufolge zwischen drei bis fünf Millionen US-Dollar täglich. Der damit angerichtete Schaden betrifft jedoch nicht nur die Advertiser-Seite, die für wertlose Impressions zahlte, sondern auch die Publisher, die auf eben jene verzichten mussten.

Statistiken zum Botnetzwerk "Methbot", Auszug aus dem Whitepaper von White Ops

Statistiken zum Botnetzwerk “Methbot”, Auszug aus dem Whitepaper von White Ops

Das Problem des Ad Fraud ist in der Branche allgemein bekannt. Studien sprechen von einem Schaden in Milliardenhöhe jährlich. Längst haben sich in dem RTA-Ökosystem Anti-Fraud Spezialisten etabliert. Allerdings ist dieser Fall insofern einzigartig, als dass die Hacker hochgradig professionalisiert vorgingen und technisch für die bestmögliche Verschleierung ihrer Aktivitäten sorgten, sodass die Security-Firmen erst spät darauf aufmerksam wurden. Zum ersten Mal fiel Methbot im September 2015 auf, im Oktober 2016 wurden dann die Dimensionen bekannt. White Ops arbeitet nun mit dem FBI zusammen, um dem Betrug weiter nachzugehen.

Quellen: AdvertisingAge, The Hacker News, eMarketerWhite Ops

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.