Premium Publisher im Visier von Ad Fraud: Adform deckt bislang mächtigstes Bot-Netzwerk auf

HyphBot heißt das arglistige System, mit dem Publisher und Advertiser seit einiger Zeit im großen Stil betrogen wurden und werden. Adform hat nach der Entdeckung des Botnetzwerks nicht nur dessen Ausmaße dargelegt, sondern auch Erkenntnisse zu Gegenmaßnahmen veröffentlicht.

Adform stößt auf differenziertes Betrugsnetzwerk

Das vom dänischen Unternehmen Adform dargelegte Ad Fraud-Netzwerk HyphBot wurde durch In-House-Algorithmen und schließlich Expertenanalysen aufgedeckt. Dabei stellte sich heraus, dass es eventuell das Ausmaß des vor einiger Zeit entdeckten Betrugsnetzwerks MethBot um das Drei- bis Vierfache übersteigt. Immerhin wurde ermittelt, dass über 34.000 Fake Domains und mehr als eine Million URLs erstellt worden sind. Diese dienen dazu, Advertiser glauben zu machen sie würden bei Premium Publishern Inventar kaufen. Mit dem sogenannten Domain Spoofing wurden Domains in Anlehnung an Größen wie die Financial Times, Forbes, CNN usw. erstellt. Daraufhin wurde Fake Traffic für diese Seiten durch Bots generiert, der besonders durch Video Ads Werbegelder erschlich.

Dieses System operierte – und operiert zum Teil noch immer – über mindestens 14 verschiedene Exchanges und SSPs. Bis zu 1,5 Milliarden Requests wurden laut Analyse pro Tag generiert, und der Fake Traffic war immens.

Obwohl die finanziellen Auswirkungen für Adform-Plattformen recht gering sind, es handelt sich dabei um etwa 1.000 US-Dollar Verlust monatlich, sind sie doch für verschiedene Premium Publisher und getäuschte Advertiser beträchtlich. Zwar kann das Unternehmen sich nur auf Schätzungen stützen, doch ergeben diese, dass Advertiser mehrere Hunderttausend US-Dollar täglich verloren haben könnten.

Die Analyse: Extern geprüft und minutiös dargestellt

Als eine zentrale Aussage des Whitepapers von Adform ist festzuhalten:

Unfortunately, we still do not know how people and their respective computers and browsers are infected.

Allerdings hat man insgesamt einen äußerst detaillierten Bericht zum Botnetzwerk geliefert. Zudem haben Shailin Dhar, Director Research bei Method Media, und Dr. Neal Richter, Co-Chairman des IAB Tech Lab, den Bericht verifiziert. Anspruch des Berichts ist nach eigenen Angaben, SSPs und DSPs Einblicke zu geben, die dabei helfen, sich nicht nur gegen HyphBot, sondern auch ähnliche Netzwerke zu wappnen.

Grundlegend ist für dieses Ad Fraud-Netzwerk, dass es vor allem Premium Websites in den USA (aber nicht ausschließlich) ins Visier genommen hat. Hierbei wurde eine ausgeklügelte Methodik angewandt, die nur durch die Analyse verschiedener Datensätze zu entschlüsseln war. Seit dem 28. September wurden betroffene Ad Exchanges informiert, was zu einer Reduktion der Aktivität geführt hat. Von vornherein hätte man laut Adform durch die Nutzung von Ads.txt einigen Problemen entgegenwirken können.

Denn genau dank dieser Initiative des IAb (International Advertising Bureau) konnte man der Methodik des Betrugsnetzwerks auf den Grund gehen. Damit konnte ermittelt werden, ob Signale, die nicht konform mit üblichen Daten waren, einen illegitimen Traffic darstellten oder nicht. Die Frage war im Besonderen, ob es sich womöglich um Fake Traffic gehandelt hatte, der durch Domain Spoofing hervorgerufen worden war. Bei der Analyse stieß Adform auf Formen wie diese:

• http://economist.com/bacteriostatic_Lema_swanned_nonspirituness/nonteachably_auto-audible/uncanonization/Mendelson
• http://www.economist.com/z556

Bekannte Publisher wurden als Basis für Domains genommen, die dann mit bedeutungslosen Wörtern in der URL in Verbindung gebracht wurden. Oder ein Buchstabe und drei Ziffern tauchten in der URL auf. Diese URLs waren keine Fehlerstellungen der SSPs, sondern existierten schlichtweg nicht.

Wie sich das System ans Geld gemacht hat

Die Requests mit den dubiosen URL-Mustern kamen beinah ausschließlich von Desktop. Meist wurde ein reales Browsen durch IPs und Cookies imitiert, die durch Malware infiltriert waren. Und die Fake Domains boten sich dann bei SSPs und Ad Exchanges für Auktionen an. Dabei wurde vor allem Inventar für Video Ads versteigert. Wenn der Browser bei einer der gefakten Domains glaubt, er besuche Forbes’ tatsächliche Website, wird er doch getäuscht.

Während auf diese Weise reihenweise Ads nicht ihrer eigentlichen Bestimmung nachgehen konnten, sind die Kosten für die Advertiser, aber ebenso die Verluste für die Publisher, denen diese Werbegelder entgehen, immens. Wenn auch keine konkreten Summen genannt werden, weisen die bis zu 1,5 Milliarden Requests pro Tag doch darauf hin, dass es sich um eine Menge Geld handelt. Folgerichtig hat Adform unlängst das FBI sowie die britische Metropolitan Police von dem Betrug informiert, wie Lara O’Reilly vom Wall Street Journal berichtet.

Seit wann läuft der Betrug und wie sieht es nach der Aufdeckung aus?

Der Analyse zufolge gab es für Ende letzten Jahres Anzeichen ähnlicher Fake URLs. Besonders schlimm wurde es jedoch erst im August 2017, wie die Daten zeigen, als der HyphBot aktiv wurde.

Inzwischen sind die Aktivitäten des Netzwerks stark zurückgegangen, hat Adform doch Plattformen von den Erkenntnissen unterrichtet.

Nichtsdestotrotz ist HyphBot noch nicht inaktiv; und sicher nicht das einzige oder letzte Ad Fraud-Netzwerk seiner Art.

Wie kann man sich schützen?

Das ausführliche Whitepaper der Analysten birgt verschiedene Bestrebungen. Zum einen sollen SSPs und Ad Exchanges, vor allem den Partnern Adforms, in Bezug auf die betrügerischen Quellen die Augen geöffnet werden. Zum anderen dient die Analyse als Aufforderung jetzt und künftig Schutzmaßnahmen zu ergreifen und das Marketing sicherer zu machen. Was Adform konkret vorschlägt:

• DSPs und SSPs sollten die Daten auf abweichende Muster bei IPs oder Cookies prüfen
• Infizierte Cookies, IPs oder bestimmte Domains blocken
• Ads.txt implementieren

Erwähnenswert ist, dass es für die Gegenmaßnahmen wohl eines Gutteils manueller Operationen bedarf. Adform plädiert ausgiebig für Ads.txt und glaubt, dass damit das Ausmaß des Hyphbot präventiv minimiert hätte werden können. Verschiedene große Gruppen, wie Time Warner, Dow Jones etc. – und insgesamt gut 36.000 Domains – haben bereits begonnen, Ads.txt zu nutzen, um sich gegen Betrug besser absichern zu können, so das Wall Street Journal. Allerdings bedeutet die Verwendung von Ads.txt nicht, dass man direkt gegen Ad Fraud gefeit ist, meint Dr. Jochen Schlosser, Chief Strategy Officer bei Adform:

Dass Ads.txt als Filtermechanismus gegen unzulässigen Traffic und vor allem Domain Spoofing funktioniert, zeichnet sich klar ab. Dafür muss es aber flächendeckend zum Einsatz kommen. Eine Analyse unseres BI-Teams im Oktober hat ergeben, dass kaum ein Viertel der reichweitenstärksten Webseiten in Deutschland bislang Ads.txt-verifiziert sind. Und selbst in den USA liegt der Wert immer noch unter 50 Prozent. Es wird also noch eine Weile dauern, aber wir sind auf einem sehr guten Weg. Trotz der Vorteile, darf Ads.txt nicht als Allheilmittel gegen Ad-Fraud angesehen werden. Am Ende müssen die Verkaufspartner vertrauenswürdig sein, sonst bring auch Ads.txt nicht das erwünschte Ergebnis.

Die erfolgreiche und vor allem nachhaltige Bekämpfung von Ad-Fraud ist nur dann möglich, wenn menschliche Expertise und Regeln mit künstlicher Intelligenz und Mustererkennung kombiniert werden. Es sind daher auch weiterhin Investitionen in eigene und damit nicht öffentlich verfügbare Systeme auf Seiten der Adtech-Anbieter notwendig. Jetzt sollten jedoch alle Anbieter erstmal ihre eigenen Data-Warehouses nach auffälligen Bid-Request-Mustern durchforsten und entsprechende Netzwerke abklemmen.

Die ausformulierten Vorschläge zum Schutz finden sich ebenso wie die umfassende Analyse des Netzwerks im Whitepaper Adforms, das ihr hier findet. Zudem existiert eine Liste mit bekannten Domainnamen, die Opfer dieser Täuschung und Teil einer Fake Domain geworden sind.

Wer mehr über Ads.txt erfahren möchte, kann Informationen beim Initiator, dem IAB, erhalten.

Die Größe und die gute Organisation des Ad Fraud-Netzwerks weisen darauf hin, dass die Betrüger im Online Advertising sich entwickeln und Advertisern wie Publishern deutlich zusetzen können. Vielleicht werden reihenweise Fälle von Fake Traffic und Fake Domains gar nicht erkannt. Adforms Entdeckung von HyphBot zeigt jedoch, dass es sich lohnt, sich aktiv gegen diese Form der Täuschung zu wappnen und dass Schutzmaßnahmen allgemein Anwendung finden sollten. Die Ads.txt sind bereits ein wichtiger Schritt.