Millionenschweres Netzwerk 3ve enttarnt: Die größte Ad Fraud-Untersuchung des FBI

In den USA ist den Behörden, allen voran dem FBI, ein großer Coup im Kampf gegen Ad Fraud gelungen. Nach langwieriger Beobachtung wurden zwei internationale cyberkriminelle Ringe zerschlagen, die für mehrere zehn Millionen US-Dollar Verluste im digitalen Werbeökosystem gesorgt hatten. Das ausgeklügelte System, genannt 3ve, ist aufgelöst – nun stehen acht Männern harte Strafen bevor.

Anklage in den USA: Acht Verantwortliche sollen betrügerisches Netzwerk betrieben haben

Die offizielle Anwaltskanzlei des Eastern District von New York hat jüngst eine Anklage in 13 Punkten gegen acht Männer erstattet. Dabei handelt es sich um Aleksandr Zhukov, Boris Timokhin, Mikhail Andreev, Denis Avdeev, Dmitry Novikov, Sergey Ovsyannikov, Aleksandr Isaev und Yevgeniy Timchenko. Sie werden unter anderem des Wire Fraud, des Eindringens in Computer, der Geldwäsche und des Identitätsdiebstahls bezichtigt.

Außerdem wurde dem FBI gewährt 31 Domains zu übernehmen und Informationen von 89 Computer Servern einzusehen. Diese waren Teil eines Bot-Netzwerks, das zum Zweck des Ad Fraud eingesetzt und von FBI und digitalen Unternehmen wie Google oder White Ops monatelang beobachtet worden war. Traffic auf diese Seiten wurde bereits umgeleitet. Richard P. Donoghue, United States Attorney für den Eastern District von New York, erklärt:

As alleged in court filings, the defendants in this case used sophisticated computer programming and infrastructure around the world to exploit the digital advertising industry through fraud.

William F. Sweeney, Jr., Assistant Director-in-Charge des Federal Bureau of Investigation, betont die außerordentlich schädliche Natur dieser Art des Betrugs:

As alleged, these individuals built complex, fraudulent digital advertising infrastructure for the express purpose of misleading and defrauding companies who believed they were acting in good faith, and costing them millions of dollars. This kind of exploitation undermines confidence in the system, on the part of both companies and their customers.

Das besagte komplexe und vielschichtige System wurde letztlich 3ve („eve“) getauft. Doch was genau haben die Kriminellen eigentlich veranlasst, um Millionen US-Dollar zu ergaunern?

Das System von 3ve: Vielseitige Fakes

Das System von 3ve basiert insbesondere darauf, dass Invalid Traffic generiert wird, der für unautorisierte Zahlungen sorgt. Im vorliegenden Fall haben die Angeklagten sowohl die User als auch die Websites gefakt. So konnten sie eine reale Userinteraktion und ein Ausspielen von Ad Impressions simulieren. Dabei programmierten sie Computer, die von ihnen kontrolliert wurden, derart, dass sie Werbung auf eigens erstellten Websites hochladen, um darüber die Einkünfte aus dieser Werbung zu generieren.

So haben Zhukov, Timokhin, Andreev, Avdeev und Novikov zwischen 2014 und 2016 ein nur vorgegebenes Ad-Netzwerk instrumentalisiert, um Zahlungen für das Platzieren von Ad Tags auf Websites zu erhalten. Allerdings wurden dann mehr als 1.900 Server gemietet, über welche die Daten auf die gefälschten Websites geladen wurden. Über 5.000 Domains wurden so hintergangen. Weiterhin programmierten die Kriminellen auch einen irrealen, aber authentisch wirkenden Traffic. Dabei kamen Fake Browser, Fake Mausbewegungen angeblicher Nutzer, angebliches Eingeloggt-Sein bei Facebook und Co. zum Einsatz. Das Mieten von 650.000 IP-Adressen sorgte in Kombination mit den anderen gefälschten Einzelheiten dafür, dass Datencenter und Computer wie jene von richtigen Nutzern und Betreibern wirkten.

Insgesamt hat dieser Teil des Systems zu Zahlungen in Höhe von sieben Millionen US-Dollar geführt.

Ein anderes Fake Netzwerk war beteiligt

Zwischen Dezember 2015 and Oktober 2018 haben Ovsyannikov, Timchenko und Isaev ein anderes Ad-Netzwerk aufgebaut, das betrügerische Praktiken betrieb. Dabei wurden ein Netzwerk von Bots sowie mit Malware infizierte PCs eingesetzt.

Die Kriminellen konnten auf über 1,7 Millionen PCs von realen Nutzern und Unternehmen zugreifen und diese mit Malware infizieren. Auf diesen PCs wurden dann über versteckte Browser die gefakten Websites geladen und in der Folge die Ads auf den Seiten platziert.

Die Besitzer der Computer haben die Aktivitäten im Hintergrund nicht bemerkt. Mit diesem weiteren Teil des groß angelegten Ad Fraud-Systems konnten Milliarden falscher Ad Views generiert werden. Die werbetreibenden Unternehmen wurden auf diese Weise zu Zahlungen oder besser Verlusten in Höhe von 29 Millionen US-Dollar gebracht.

Nun hat das FBI, das schon 2017 mit Experten der Cybersecurity und aus dem Digital Advertising zusammengesessen hatte, wie Buzzfeed darstellt, die Beschlagnahmung von Domains und Servern durchgeführt, nachdem Ovsyannikov in Malaysia festgenommen und das ganze Netzwerk Stück für Stück vollends aufgedeckt worden war. Bei der Analyse wurde eine weitere Struktur entdeckt, bei der Server in Deutschland und PCs in den USA für ein vergleichbares System angewandt wurden. Auch hier hat das FBI ein Botnet inzwischen zerschlagen können. Bankkonten in der Schweiz wurden beschlagnahmt.

Kooperation und lange Planung geben der Gerechtigkeit Erfolg

Der Takedown von 3ve involvierte aber auch Tech-Unternehmen wie Google, White Ops usw.

What stands out about 3ve is how ambitious and global and complex and multilayered it was,

erklärt Sandeep Swadia, CEO von White Ops, bei Buzzfeed. Swadia ist vom Engagement des FBI beeindruckt:

Prosecutors and agents across one of the best cybercrime units in the bureau spent two years unraveling the mechanics of programmatic advertising,“ he said. „This signals a new area in investigation.

Nun hofft die Branche, dass künftig aus dem Prozess Schlüsse gezogen werden können, um das noch immer lukrative Geschäft mit Invalid Traffic einzudämmen. Dieses spezifische Ad Fraud-Netzwerk war außerordentlich umfassend organisiert. Und den Ermittlern gebührt Respekt für die detailreiche Untersuchung und das Aufdecken der verzweigten Teile des Systems. Werden alle Angeklagten ausgeliefert, drohen ihnen in den USA jetzt empfindliche Strafen. Umso mehr, da die Behörden womöglich ein Exempel statuieren wollen. Immerhin wird die Digital Advertising-Szene auch von gesellschaftlich mächtigen Playern beherrscht.

Betont wird, dass die Angeklagten im Namen des Gesetzes als unschuldig gelten, ehe ihre Schuld nicht eindeutig bewiesen wurde.