Anzeige
Anzeige
Artikel
Artikel merken

Ad-Fraud: Was tun gegen Bot-Traffic und gekaufte Likes?

Bot-Traffic, raubkopierte Influencer-Profile und simulierte Installationen: Die Betrugs­maschen im digitalen Werbegeschäft sind vielfältig. Angesichts der jüngsten Fälle stellt sich die Frage, ob sich sogenannte „Ad-Frauds“ überhaupt mit vertretbaren Kosten verhindern lassen. Und wenn ja, wie und von wem?

Von Frank Puscher
8 Min. Lesezeit
Anzeige
Anzeige

(Abbildung: Shutterstock)

Die digitale Werbebranche hat es jetzt schwarz auf weiß: Die Ad-Fraud-Rate von Premium Publishern liegt insgesamt deutlich unter einem Prozent. In Europa liegt der Durchschnitt bei etwa zehn Prozent. Zu diesem Ergebnis ist eine Benchmark-­Studie der Trustworthy Accountability Group (TAG) – eine Initiative ­dreier US-Verbände – gekommen, die im März 2020 veröffentlicht wurde. Untersucht wurden dazu die Display-, Performance- und ­Mobile-Maßnahmen der großen Agenturen Publicis, Groupm und Omnicom aus dem vergangenen Jahr. Diese Zahlen sollten ­eigentlich hoffnungsfroh stimmen. Der Haken an der Sache ist nur: Die TAG legt selbst fest, wer überhaupt als Premium-Publisher gilt, und untersucht nur jene, die ein teures TAG-Zertifikat vorweisen können.

Anzeige
Anzeige

Je mehr Geld in die digitale Werbung fließt, desto mehr Betrüger wollen einen Teil davon abschöpfen. „Wenn man ‚OpenRTB ­crossborder‘ bucht, kann bis zu 20 Prozent Fraud dabei sein“, erklärt Julian Simons, Chef der Mediaagentur Mediascale. Und das funktioniert so: Branding-Kampagnen und solche, die von sehr hoher Reichweite leben, kaufen Werbeplätze nach der Menge der Sichtkontakte. Betrüger bieten dann häufig eigene Werbeflächen an und sammeln die Schaltungskosten dafür ein.

Tatsächlich sind das aber entweder Werbeflächen, die kein Anwender je gesehen hat, und die vor allem von Bot-Traffic leben. Oder es handelt sich um Werbeflächen, die ihnen gar nicht gehören. Zum Beispiel übernehmen einige Betrüger durch Malware einzelne Werbeflächen auf der Website eines Verlegers. Andere kopieren ganze Websites und tauschen die dazugehörigen Werbeflächen aus. Entsprechende Nutzer locken sie dann mit gefälschten URL auf diese Seiten.

Anzeige
Anzeige

Eine Studie der Mobile-Attribution-Plattform Appsflyer zeigt, dass die Betrugsmethoden im mobilen Segment immer subtiler werden: Die Zahl der vorgetäuschten App-Installationen bleibt etwa gleich (Attribution Hijacking). Die von Bots ausgeführten Installationen nehmen jedoch erheblich 
zu (Fake Installs). (Abbildung: Appsflayer / t3n)

Im Mobile-Segment dominiert Werbung, die zur Installation einer App ermuntern soll. Hier vergüten Werbetreibende ent­weder den Klick auf das Werbemittel oder die Installation selbst. Bot-Netzwerke simulieren solche Klicks sowie Installationen und sammeln die Provision ein. Inzwischen „benutzen“ die Bots die Apps sogar kurzfristig, um die Kontrollsysteme auszutricksen. Beim Influencer-Fraud geht es hingegen vor allem um eine gekaufte Fan-Basis, die eine größere Reichweite eines Influencers vorgaukelt. Auch hier gibt es raubkopierte Influencer-Profile, die kaum von den Originalen zu unterscheiden sind.

Anzeige
Anzeige

Wie geschickt die Betrüger inzwischen vorgehen, erstaunt selbst Fachleute. Anfang 2019 kam zum Beispiel heraus, dass Betrüger Internet-­of-Things-Geräte mit Viren infiziert hatten, sodass sie auf Youtube-Videos weitergeleitet wurden –, was entsprechende Plays erzeugte. Der Fraud-Report der Plattform Appsflyer, Marktführer im Bereich Mobile Attribution und ­Marketing Analytics, zeigte im Herbst 2019 auf, wie schnell sich die Betrugsmaschen weiterentwickeln: Während der sogenannte „Attribution-Fraud“ Anfang vergangenen Jahres eine Installa­tion einer App einfach nur vorgaukelte, nahmen zum Sommer hin Installation-Frauds zu. Hier erzeugt eine per Bot installierte App echte Server-Calls und beweist damit scheinbar ihre Echtheit. Eine Betrugsmethode, die deutlich schwerer zu identifizieren ist. Rund 22,6 Prozent der Installationen werden laut Appsflyer nicht von Menschen angestoßen.

Die höchsten finanziellen Einbußen erleiden laut dem Analyse-­Dienstleister die Finanzbranche und Shopping-Apps. Im Finanzwesen gebe es Regionen, die bis zu 70 Prozent gefälschten Traffic aufweisen. Wer solchem Betrug entgehen will, sollte Südamerika, Indien und ­Teile Asiens konsequent meiden.

Anzeige
Anzeige

Ein Bot, der Millionenschaden verursacht

Am besten lässt sich das Rennen zwischen Betrügern und Abwehrmaßnahmen aber am 404Bot ablesen. Der Bot ging Anfang des Jahres 2020 durch die Medien, nachdem Integral Ad Science eine explizite Warnung an die Verleger ausgesprochen hatte. Der Bot selbst wurde schon 2018 entdeckt, aber erst in der zweiten Hälfte des vergangenen Jahres nahm die Zahl der Angriffe massiv zu. Der Bot heißt 404, weil er mit Seiten arbeitet, die es gar nicht gibt. Er infiziert die Browser von Nutzern und lenkt sie auf solche Seiten. In vielen Fällen sind es nachgebaute Domains populärer Websites, sodass der Nutzer nichts davon merkt.

Der Fraud Fizzcore führte Nutzer auf gefälschte Landingpages – etwa im Stil von Spiegel Online – und wollte dort Nutzer zum Kauf von Bitcoin verführen. (Screenshot: Confiant)

Dabei war die Branche der Ansicht, sie habe solchen Betrugsversuchen längst vorgebeugt. Das Script Ads.txt, das auf den Servern der Verleger installiert ist, enthält lange Listen mit zugelassenen Wiederverkäufern von Werbeflächen. Werbetreibende Unternehmen können bei Spiegel.de also nur buchen, wenn sie das über eine Plattform tun, die in der Ads.txt gelistet ist. So sollten Betrüger eigentlich leer ausgehen. Doch diese behalfen sich mit einem Trick: Sie boten die Werbeflächen über zertifizierte Wiederverkäufer an. Und nicht jeder Wiederverkäufer prüft anscheinend akribisch, ob jedes Angebot der Supply-Side stimmt. Daher haben Verleger im Grunde wohl keine andere Wahl, als die Ads.txt permanent zu prüfen und zu aktualisieren. Angesichts der Länge der Listen ist das ein großer Aufwand. Das Wall Street Journal schätzt, dass der 404Bot die Werbeindustrie jetzt schon zwischen 70 und 90 Millionen US-Dollar gekostet hat.

Verhärtete Fronten

Wie man es dreht und wendet, die Werbetreibenden bekommen in so einem Fall nicht, wofür sie bezahlen. Arne Kirchem, Media­chef von Unilever, vergleicht das mit der klassischen Waren­lieferung: „Ich kann einem Supermarkt doch auch nicht eine halbe Palette anliefern, wenn er eine ganze bezahlt hat.“ Er sieht die Verleger und deren technische Dienstleister in der Pflicht. Sie müssten so kontrollieren, dass sie „Sophisticated Invalid Traffic“ – wie Fraud inzwischen auch heißt – minimieren. Bei der Waren­lieferung trage ja auch der Lieferant das Risiko bis zur Türschwelle des Empfängers, meint Kirchem. Und er bezahle auch die Versicherung. Die Verleger führen hingegen an, dass Gegenmaßnahmen teuer sind –, und dass diese letztlich die Werbetreibenden ebenfalls bezahlen müssten, nur eben über den Umweg höherer Preise. Die Real-Time-Bidding-Plattform Openx hat eigenen Angaben zufolge zum Beispiel bereits 25 Millionen US-Dollar in Fraud-Bekämpfung investiert.

Anzeige
Anzeige

Was hilft gegen Ad-Fraud?

  • Nur bei Premiumverlegern schalten (Whitelisting)
  • Auf zertifizierte Verleger setzen (Jicwebs, TAG)
  • Ad-Verification-Anbieter einsetzen, wie IAS oder Meetrics Adjust
  • Manuell aussteuern und dabei Ziel-Verleger prüfen
  • Websites vermeiden, die zusätzlichen Traffic einkaufen
  • performance-basierte KPI verwenden
  • Supply Chain verkürzen (SPO), maximal zwei Vermittler
  • Bei Apps: Besondere Schutzmaßnahmen in Indien, Südostasien und Brasilien ergreifen

Eine Lösung ist der Einsatz eines Ad-Verification-Services. Das ist ein technischer Dienstleister, der die Auslieferung von Werbung zählt, und seine Zahlen mit denen der Verleger abgleicht. Unternehmen wie Confiant, Integral Ad Science oder Meetrics gehören dazu und haben aktuell starken Zulauf. Das liegt vor allem daran, dass sich einige ­große Player nicht gerne in die Karten schauen lassen. Das Google-Universum ist zum Beispiel eine Blackbox. Bei Facebook und Instagram lassen sich die Zahlen nur teilweise nachmessen. „Wir haben mit ­Facebook eine Server-to-Server-Lösung“, erklärt Maren Wulf von ­Meetrics. „Hier stehen die Signale und Daten, die für eine Sichtbarkeitsmessung notwendig sind, zentral bereit. Um Fehler bei der ­Bereitstellung auszuschließen, führen wir zusätzliche Plausi­bilitätschecks durch.“

Der Aufwand, den die Ad-Verification-Anbieter betreiben, ist enorm. Oliver Hülse, Managing Director für Deutschland bei Integral Ad Science, erklärt, sie seien sogar im Darknet unterwegs, um möglichst frühzeitig von neuen Fraud-Methoden zu erfahren. Zum Beispiel von Fizzcore, einem aufsehenerregenden Fall, den der Ad-Verification-Service Confiant Anfang dieses Jahres aufdeckte. Die Betrüger setzten dabei nicht nur subtile Betrugsmechanismen ein, sondern änderten diese auch mit der Zeit. Dabei griff Fizzcore gleichzeitig drei Seiten des Marktes an: Erstens schalteten die Betrüger Werbemittel, die die Nutzer umlenken oder deren Browser mit Trojanern infizieren sollten. Dafür spielten sie zunächst ganz harmlose Banner über gelistete Wiederverkäufer aus. Nach einer gewissen Laufzeit tauschten sie diese dann durch ihre betrügerischen Banner aus. Als Zweites griff Fizzcore den Nutzer an.

Als Zieladresse für die „entführten“ Browser dienten Websites, die gepflastert waren mit Logos populärer Medien und Fotos berühmter Menschen wie Dieter Bohlen oder Lena Meyer-Landrut. Diese dienten als Testimonials und empfahlen, in Bitcoins zu investieren. An einem einzigen Tag, dem 14. Januar 2020, erzielte Fizzcore mit seinen Fakes 14 Millionen Impressions. Wenn man das mit einer durchschnittlichen Conversion hochrechnet, ergibt sich ein potenzieller Ertrag von einer Million US-Dollar.

Anzeige
Anzeige

Erschüttertes Vertrauen ins Werbesystem

Die dritte geschädigte Partei sind die werbetreibenden Unternehmen. Banner von Ryanair, Docsocks oder Breathegreen dienten als Betrugsanzeigen und kosteten diese Unternehmen viel Geld. Dazu kommen die Maßnahmen, die solche Betrugsversuche künftig verhindern sollen. Diese müssen sie letztlich auch finanzieren. Schlimmer aber wiegt noch der Vertrauensverlust in das System „Onlinewerbung“ insgesamt. Jeder neue Betrugsversuch und jedes neue Datenleck tragen dazu bei, dass Nutzer Adblocker ­installieren oder die Voreinstellungen ihrer Browser nicht ändern. Die Blocking-Quote liegt seit Jahren stabil bei 23 Prozent, auch wenn sich die Verlage größte Mühe geben, diese zu drücken.

Dass große Unternehmen mit schnelldrehenden Konsum­gütern Werbung mit sehr hoher Reichweite ausspielen, erschwert den Kampf gegen Ad-Fraud. Denn dann reichen die Inventare der Premium-Verleger nicht aus. Notgedrungen platzieren die Werbetreibenden die Banner in Umfeldern, die schwer zu kon­trollieren sind. „Wir haben getestet, wie Youporn performt. Und das performt bei den Ergebnissen auch nicht schlechter“, spitzte Investor und Online-Marketing-­Experte Florian Heinemann die Lage während der Adtrader-Konferenz zu.

Auch große Medienmarken wie die ARD kopierten die Fizzcore-Betrüger mit berühmten Testimonials, um Klicks auf die Banner und ­Landingpages zu bekommen. (Screenshot: tartlivingbetternow.com)

Sind Ad-Frauds somit ein nicht zu vermeidender Streu­verlust? Ist es eine reine Rechenaufgabe, ob Werbetreibende den ­Betrug in Kauf nehmen oder etwas dagegen unternehmen? „Jeder Euro, der in unsichere Umfelder geht, befeuert das System des Betrugs“, widerspricht Julian Simons. Wenn Betrug nicht scharf verfolgt werde, sinke das Risiko für die Betrüger, und Ad-Fraud werde attraktiver. Und Arne Kirchem von Unilever fordert eine viel schärfere Verfolgung durch die Aufsichtsbehörden. „Sie muss abschreckende Wirkung haben“, so der Mediachef.

Anzeige
Anzeige

Ein Teil des Problems ist jedoch hausgemacht. Seit Jahren tut sich die Online-Werbebranche schwer, ihre Messungen zu standardisieren und zu definieren, was valider Traffic ist. So hält der Streit zum Beispiel an, ob es genügt, wenn ein Nutzer ein Video für zwei Sekunden sieht, damit es als zählbarer View gilt. ­„Tiktok veröffentlicht ja gerade gigantische Zahlen in Sachen Videoreichweite“, erläutert Marketingberater Felix Beilharz. „Das hat aber auch damit zu tun, dass sie schon nach einer Sekunde einen View zählen.“

Viele deutsche Marktteilnehmer äußern die Hoffnung, dass der Druck der Werbetreibenden dazu führt, dass die technischen Dienstleister exakter messen, und sich die großen US-Platt­formen für solche Messungen öffnen. Ob es Facebook interessiert, was sich die deutsche Werbebranche wünscht, lässt sich allerdings bezweifeln. Julian Simons erlebt in der Praxis eher einen pragmatischen Ansatz: „Die Brand-Kunden sagen uns klar: Bucht nichts, was ihr nicht kennt. Und bei den Performance-Kunden gibt es eben viele Werbetreibende, denen das egal ist.“ Dennoch: Je mehr Budget in digitale Werbung fließt, desto größer wird das Thema Ad-Fraud. Oder, um es mit den Worten von Meetrics-Chef Philip Hilgers zu sagen: „Das ist wirklich ein riesiges Problem.“

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige