Ein aus Russland heraus betriebenes Netzwerk aus 250.000 Websites erschleicht sich pro Tag zwischen drei und fünf Millionen US-Dollar mit gefälschten Klicks auf Werbeanzeigen in Videos. Sicherheitsexperten von White Ops deckten das nach entdeckten Codeschnippseln “Methbot” getaufte System auf und legen dar, wie der Betrug funktioniert und angeblich relativ lange unentdeckt bleiben konnte.
Der Betrug soll bereits seit 2015 in kleinerem Umfang im Gange sein und weiterhin in großem Maßstab andauern, das FBI ermittelt. Es dürfte sich, sofern die errechneten Summen stimmen, um einen der größten Fälle von Werbebetrug im Internet handeln und könnte sicherlich in Zukunft einige größere und kleinere Nachahmer finden. Letzendlich bedarf es nur eines mehr oder wenigen großen Verbunds aus Servern, IP-Aressen und möglichst “menschlich” wirkenden Bots, damit die momentan existierenden Sicherheitsmechanismen der Werbenetzwerke ausgehebelt werden.
Zu den von “Methbot” geschädigten Seitenbetreibern gehört das Who’s Who im Netz. Neben viel besuchten Websites wie Fox News, CBS Sports, der New York Times und dem Wall Street Journal zählen auch Facebook oder das ohnehin gebeutelte Yahoo zu den prominenteren Opfern. Daneben existieren auch kleinere Websites, die sich hauptsächlich aber nicht ausschließlich in den USA befinden.
Die Untersuchungen der Sicherheitsexperten zeigen, dass sich die Hintermänner hervorragend mit den Mechanismen in der digitalen Werbeindustrie auskennen. Sie nutzen gezielt die Lücken in den Kontrollmechanismen aus, setzen den Betrug in möglichst großem Maßstab um und scheinen sich u.a. auch darauf zu verlassen, dass ein erheblicher Teil der Geschädigten nur ungern Betrügereien in diesem Umfang öffentlich zugeben möchte.

“Besucher”, die mit “Browsern” stundenlang Videos schauen
Die Betrüger gaben sich in einem ersten Schritt mit gefälschten Dokumenten als Internet Service Provider (hierzulande z.B. T-Online, Telefónica, NetCologne o.ä.) aus und registrierten in dieser Rolle eine halbe Millionen IP-Adressen. Die Vorleistung für eine solche Registrierung hält sich angesichts der zu erzielenden Gewinne in Grenzen, rund 4 Millionen US-Dollar muss man dafür auf den Tisch legen. Überprüft ein eventuell misstrauisch gewordener Beteiligter diese IP-Adressen, findet er in den hinterlegten Registrierungsinformationen die Namen echter ISPs wie Comcast oder AT&T, oder leicht abgeänderte Bezeichnungen wie AmOL. Durch diese Täuschung fällt es nicht auf, wenn aus einem der zugeteilten IP-Adressbereiche tausende, zehntausende oder hunderttausende Zugriffe auf einzelne Websites stattfinden, denn dahinter vermutet man allenfalls eine große Zahl von echten, menschlichen Kunden der jeweiligen Anbieter.
Eben solche menschliche Kunden simulieren die Betrüger nun mit sogenannten Bots. Als Basis dieser tatsächlich rein als Klickbots konzipierten Systeme dienen speziell manipulierte Node.js-Browser auf gemieteten Servern. Die Browser wurden mit zufallsbasierten Angaben zum angeblichen Standort, zu bereits aufgerufenen Seiten (History) oder zu vermeintlich real existierenden Social Logins bei Facebook, Twitter und Co. gefüttert, um sie wie den normalen Browser eines echten Benutzers erscheinen zu lassen. Werbefinanzierte Videos – das häufigste Angriffsziel der Betrüger – kann ein solcher Bot-Browser starten, stoppen und pausieren, wie es ein tatsächlich im Internet surfender Mensch in der Regel ebenfalls tun würde.
Die von den Bots besuchten Websites und Werbenetzwerke können (und sollen) einen erheblichen Teil dieser Browser Informationen auslesen und ziehen die dabei gewonnen Informationen einerseits zur Ausspielung möglichst passender Werbeanzeigen heran (Targeting). Andererseits sind diese Angaben aber auch ein Bestandteil der Prüfmechanismen, die einen sogenannten “Click Fraud” eigentlich vermeiden sollen.

Aushebeln der Sicherheitsmechanismen
Der eigentliche Betrug geschieht in Millisekunden. Der zuvor manipulierte Bot ruft eine der oben erwähnten Websites – also z.B. CNN – auf. Die Seite lädt, inklusive der eingebundenen Videos. Das Werbenetzwerk, das im Auftrag von CNN Werbeanzeigen in bzw. vor dem Video abspielen soll, erhält in diesem Moment ebenfalls eine entsprechende Anfrage und soll nun dem “Benutzer” einen passenden Clip zeigen.
Genau in diesem Moment wechselt der Fake-Browser jedoch auf eine von circa 250.000 speziell zu diesem Zweck angelegten Websites. Die eigentlich “auf” CNN & Co. anzuzeigende Werbung wird nun dort abgespielt, die dafür fällige Provision wird dem Inhaber dieser gefälschten Website gutgeschrieben. Dabei handelt es sich, wenig verwunderlich, um eine von mehreren irgendwo auf der Welt registrierte Briefkastenfirmen, die nur zu diesem Zweck gegründet wurden und ein regelmäßig leergeräumtes Konto unterhalten.
Durch die zwischengeschalteten reputablen Websites erhielten die Klickbetrüger vergleichsweise hohe Beträge für die Werbung auf ihren Trash-Seiten. Der Durchschnittspreis soll bei 13 Dollar pro 1.000 “gesehener” Videos gelegen haben. Besonders lukrative Anzeigen wurden mit bis zu 36,72 US-Dollar vergütet, weniger lukrative mit circa 3,27 US-Dollar (pro 1000). Pro Tag wurden zuletzt zwischen 200 und 300 Millionen (!) Videoanzeigen pro Tag an die gefälschten Besucher ausgeliefert, womit sich die enormen Tageserlöse von 3 bis 5 Millionen Dollar erklären.
Klickbetrug & Co. sind ein Milliardenmarkt: $7 Mrd. pro Jahr
Fertig. Und ja, es klingt tatsächlich komplizierter als es ist, sofern man genügend kriminelle Energie, ein bisschen Hintergrundwissen und ein paar Skillz für die Programmierung der Bots mitbringt.
Nach den bisher vorliegenden Informationen ist der Betrug eigentlich nur aufgefallen, weil die Betreiber des Bot Netzwerks Ende September, Anfang Oktober zu gierig wurden und die Zahl der bezahlten Zugriffe zu massiv anstieg. Das wiederum lässt den Verdacht zu, dass es eine ganze Reihe von ähnlich funktionierenden Systemen gibt, die in etwas kleinerem Umfang operieren und dabei immer noch enormen Reibach machen. Zudem handelt es sich hier um eine Recherche, die sich zum größten Teil auf das Operationsgebiet der Betrüger in den USA erstreckt. Im südamerikanischen, europäischen oder asiatischen Raum wäre ein solches Betrugsschema ebenfalls ohne größere Hindernisse zu realisieren.
Die Experten von White Ops haben die Liste der unter falschem Namen registrierten IP-Adressen und Websites veröffentlicht, so dass theoretisch jedes Werbenetzwerk dieser Welt in der Lage wäre, die Ausspielung von Werbung an diese Bots und Domains zu unterbinden. Praktisch dürfte das trotz aller Beteuerungen der Branche nicht ganz so einfach sein, da häufig viele Instanzen in diesen Prozess involviert sind. Zudem könnte die Nummer in einem Katz-und-Maus-Spiel enden, sofern die momentan existierenden Kontrollmechanismen nicht tatsächlich “in Echtzeit” einen eventuellen Betrug erkennen.
Quelle: nytimes.com