Ad Fraud: Wie du Werbe- und Anzeigenbetrug verhinderst

Stell dir vor, du hast eine Anzeige im Web geschaltet, um den Verkauf eines neuen Produktes anzukurbeln. Alles läuft super! Die statistische Auswertung des von dir genutzten Werbenetzwerkes beweist dir in fetten Lettern und schwarzen Zahlen, dass innerhalb von kürzester Zeit abertausende Benutzer auf deine Anzeige geklickt haben. Die Impressions und Conversions gehen in noch nie dagewesenen Dimensionen durch die Decke und du hast sogar 2.876 neue Follower mit seltsam anmutenden Namen innerhalb eines einzigen Tages gewonnen. Herzlichen Glückwunsch!

Es kommt nichts bei dir an!

Aber, am Ende des Tages kommt nichts bei dir an. Keine neuen Bestelleingänge, keine neuen Abverkäufe, kein zusätzlicher Umsatz, keine neuen Nachrichten im Messenger, keine E-Mails (ausser Spam) und:

Kein Schwein ruft dich an!

Mist! Was ist da schiefgelaufen? Auf der Suche nach einem Schuldigen machst du deine Marketingverantwortlichen um einen Kopf kürzer und kündigst den Vertrag mit deiner Agentur.

Ohne Online-Werbung geht nichts mehr

Wir alle verlassen uns darauf, dass die viel gepriesene und hochgelobte Online-Werbung funktioniert. Wir wollen neue Kunden gewinnen, unser Image verbessern, den Bekanntheitsgrad steigern, die eigene Marke etablieren oder unsere Services und Produkte verkaufen.

Print war gestern, heute sind wir in unseren unternehmerischen, betrieblichen und privaten Lebenswelten nur noch “on”. Die Technik entwickelt sich unaufhaltsam weiter, die Zeiten ändern sich im fliegenden Wechsel und die Menschen auch. Und: Uns ist seit Jahren bewußt, dass wir mit klassischen Marketingmaßnahmen niemanden mehr hinter dem Ofen hervorlocken.

Ausgaben für digitale Werbemaßnahmen steigen

Prognosen gehen derzeit davon aus, dass Werbetreibende bis zum Ende des Jahres 2022 weltweit weit über eine halbe Milliarde US-Dollar für digitale Anzeigen ausgeben werden. Bis 2024 werden die Ausgaben für digitale Werbemaßnahmen auf mehr als 870 Milliarden US-Dollar anwachsen. Bei diesen Summen ist es natürlich nicht verwunderlich, dass auch Betrüger ein möglichst großes Stück vom Kuchen abhaben wollen.

Auf Kosten der Anzeigenkunden werden lukrative Geschäfte gemacht

Mit der zunehmenden Digitalisierung von Geschäftsprozessen und unseren Lebenswelten, die durch die Corona-Pandemie in den vergangenen zwei Jahren deutlich an Fahrt gewonnen haben, hat auch die Anzahl der Cyberattacken, Betrugsversuche und Anzeigenbetrug stark zugenommen.

Online-Betrüger haben heute ein leichtes Spiel. Ohne einen Finger krumm zu machen erreichen sie auf digitale Art und Weise – effektiv und effizient – innerhalb von kurzer Zeit Millionen von Opfern. Der personelle und finanzielle Aufwand ist dabei sehr überschaubar und gering. Unter dem Einsatz von Bots, vorgefertigten Automatisierungstools, düsteren Service-Plattformen und psychologischen Tricks (Social Engineering) werden auf Kosten von Anzeigenkunden lukrative Geschäfte gemacht.

Böswillige Bots müssen draussen bleiben

Werbetreibende, Unternehmen, Vermarkter und Publisher müssen deshalb im Hinblick auf ihre digitalen Werbeaktivitäten und Kampagnen stets auf der Hut sein und sicherstellen, dass sie über ein „normales“ Benutzerverhalten verfügen. Sie müssen Anomalien erkennen und beispielsweise verhindern, dass die Klicks von böswilligen Bots stammen.

In diesem Beitrag erhälst du einen Einblick in das Thema “Ad Fraud: Werbe- und Anzeigenbetrug” sowie Tipps zu Maßnahmen, mit deren Hilfe du Anzeigenbetrug verhindern kannst.

Inhalt:

Was ist Ad Fraud?

Werbebetrug (Anzeigenbetrug) liegt vor, wenn Betrüger Werbeplattformen mit betrügerischem Datenverkehr, Klicks, Impressions, Conversions und anderen Datenereignissen austricksen und sie daran hindern, Inhalte an die echten Benutzer zu liefern. Die Betrüger ergaunern sich einen finanziellen Gewinn, indem die Werbetreibenden brav ihre Anzeigen zahlen, die Anzeigen aber nie die beabsichtigte Zielgruppe erreichen.

Da Werbebetrug Aktivitäten generiert, die nicht von einem echten Benutzer stammen, wird er auch als ungültiger Traffic (IVT) bezeichnet.

Anzeigenbetrug ist schwer zu erkennen, da er möglicherweise keine unmittelbaren und/oder offensichtlichen finanziellen Auswirkungen hat. Du glaubst aufgrund der dir von der Werbeplattform zur Verfügung gestellten Zahlen und Daten, dass deine Werbekampagne erfolgreich ist und gibst weiterhin Geld dafür aus. In Wirklichkeit erhältst du aber gefälschte Leads und erreichst deine potenziellen Kunden nicht.

Wer ist von Ad Fraud bedroht?

Werbe- und Anzeigenbetrug kann jedes Unternehmen treffen, das digitale Anzeigen und Werbung schaltet.

Häufige Arten von Werbebetrug

Du schaltest digitale Anzeigen, um deine Unternehmens- und Marketingziele zu erreichen. Doch der Online-Werbebetrug untergräbt diese Ziele. Deshalb ist es wichtig, dass du dich mit den gängigen Arten des Werbebetruges auseinandersetzt, um Imageschäden und finanzielle Risiken zu minimieren:

1. Cookie Stuffing

Cookies sind kleine Dateien, die das Benutzerverhalten verfolgen und einen Einblick in den Erfolg einer Werbekampagnen geben. Sie geben dir z. B. Auskunft darüber, ob deine Anzeige zu einer Conversion geführt hat, bei der jemand einen Kauf getätigt hat. Sie geben dir aber auch Auskunft darüber, welche Interessen die Benutzer haben oder auf welchen Seiten sie sich im Netz aufhalten.

Betrüger können Cookie Stuffing auf zwei verschiedene Arten verwenden:

  • Einfügen eines Cookies von einer anderen Website als der, die der Benutzer ursprünglich besucht hat, um die Zuordnungs- und Zahlungsmodelle zu ändern.
  • Platzieren von Cookies, damit es so aussieht, als ob das Keyword mehr Impressions erhält. Dadurch kostet dich die Anzeige oder Kampagne mehr und sie bringt den Betrügern natürlich auch mehr Geld ein.

2. Click Fraud / Bot Fraud

Klickbetrug wird normalerweise von Bots ausgeführt und zielt auf Pay-per-Click-Anzeigen (PPC) ab, die dich glauben machen, dass menschliche Benutzer mit dem Inhalt interagieren. Durch solche Täuschungsmanöver werden Beiträge oder Websites populärer. Die werbetreibenden Unternehmen geben dann mehr Geld aus, um Anzeigen auf solchen Websites zu platzieren. In Wirklichkeit bezahlen sie ihr Geld aber an Betrüger.

Für Publisher, die mit Anzeigen Geld verdienen, scheint dies keine Rolle zu spielen, da sie sowieso (von wem auch immer) bezahlt werden. Erfahren die Werbetreibende jedoch vom Betrug, entscheiden sie sich möglicherweise dafür, ihre Anzeigen zurückzuziehen. Aber auch das scheint einen Teil der Publisher nicht zu interessieren. Sie wiegen sich in Sicherheit, da der Betrug nur sehr selten aufgedeckt wird.

3. Click Spamming / Click Flooding

Diese Betrugsmasche zielt speziell auf mobile Apps und Websites ab. Während die Website oder App für den Benutzer normal funktioniert, führt sie Klicks im Hintergrund aus. Viele Benutzer wissen nicht einmal, dass sie mit In-App-Anzeigen interagiert haben, weil sie sie nie zu Gesicht bekommen haben. Solche In-App-Anzeigen sind raffiniert im Hintergrund, hinter Bildern, Anzeigen oder Bannern versteckt.

4. Click Injection

Click Injection ist eine ausgeklügelte Art von Klick-Spamming. Diese zielt vorwiegend auf Android-Apps ab. Betrüger können dabei erkennen, wenn ein Benutzer eine App herunterlädt, um z. B. eine Gutschrift für die Installationzu erhalten. Während die App-Installationen tatsächlich echt sind, bedeutet aber das gefälschte Anzeigenengagement, dass Werbetreibende weiterhin Geld für betrügerische Werbepartner ausgeben.

Ohne ausreichende Tools zur Betrugsprävention können Click-Injection-Betrüger eine Junk-App verwenden, um zur richtigen Zeit mit den richtigen Informationen ein Gerät zu kapern, um einen scheinbar legitimen „Anzeigenklick“ zu erzeugen.

5. Domain-Spoofing

Beim einfachen Domain-Spoofing in der digitalen Werbung unterscheidet sich die in der Anzeigen-Gebotsanfrage angegebene Domain von der Ursprungsdomain – entweder versehentlich (sehr selten) oder absichtlich (Anzeigenbetrug). Gebuchte Anzeige werden nicht auf der gebuchten Domain geschaltet, sondern auf einer gefälschten Domain.

Ad Tech-Unternehmen beteuern seit Jahren, das sie dieses “Problem” im Griff haben. Tatsache ist aber, dass Domain-Spoofing auch heute keine Seltenheit ist, da es in den komplexeren Varianten, wie Cross-Domain Embedding, schwer zu erkennen ist.

Im März diesen Jahres gab es in den USA einen “prominenten Fall” von Domain-Spoofing: Gannett Co., einer der größte Zeitungsverleger in den USA mit einem Jahresumsatz von ca. drei Milliarden Dollar. Gannett Co. bewegt sich in einer ähnlichen Größenordnung wie der Axel Springer Verlag. Als einer der bedeutensten Publikationen gibt Gannet Co. „USAToday“ heraus. „USAToday“ ist weltweit bei Werbebetreibenden sehr beliebt.

Über einen Zeitraum von neun Monaten hinweg hatten die AdServer von Gannett – nach eigenen Angaben nur „versehentlich“- die gebuchte Werbung von großen Marken wie Nike oder Adidas falsch ausgeliefert. Statt auf der international beachteten Website von „USAToday“ erschienen die Banner und Anzeigen auf eher unbedeuteten Webseiten wie „Detroit Free Press“ oder „Delaware Online“. „Detroit Free Press“ und „Delaware Online“ sind ebenfalls im Besitz von Gannett Co. Ein Schelm, wer Böses dabei denkt.

Mehr zu diesem Domain-Spoofing-Fall erfährst du zum Beispiel hier: https://www.stateofdigitalpublishing.com/features/gannett-domain-spoofing/

6. Pixel Stuffing

Pixel Stuffing bedeutet, dass mehr als eine Anzeige auf einer Fläche von 1×1 Pixel platziert wird. Betrüger verdienen bei dieser Art des Betruges Geld mit den dadurch generierten Anzeigenimpressionen. Besucher und Benutzer sehen die Anzeige(n) selbst nicht. Pixelanzeigen können über mehrere Ebenen hinweg unendlich oft auf einer einzelnen Webseite wiederholt werden.

7. Ad Injection

Ad Injection bedeutet, dass eine Anzeige ohne Erlaubnis auf der Website eines Publishers ausgespielt wird. Diese Art von Anzeigenbetrug wirkt sich sehr negativ auf bestehende Werbeflächen aus, da betrügerische Anzeigen anstelle von echten geschaltet werden.

8. Ad Stacking

Bei dieser Ad Fraud-Variante, die dem „Pixel-Stuffing“ sehr ähnelt, verstecken Betrüger Werbung. Es werden mehrere Anzeigen übereinander gelegt, aber, es ist nur eine für die Nutzer sichtbar. Die dabei erzielten Impressions können sogar real und echt sein. Da die Nutzer den Inhalt jedoch nicht sehen können, sind sie für die Werbetreibende nutz- und wertlos.

9. Geo Masking / Location Fraud

Der Sinn von Werbenetzwerken besteht darin, die richtigen Inhalte zum idealen Zeitpunkt am rechten Ort an die richtigen Personen auszuspielen. Vermarkter und Werbeplattformen müssen somit auch einen geografischen Zielort erreichen. Beim Geo Masking wird der Zielort manipuliert.

Geo-Masking ist eine Technik, die Betrüger verwenden, um qualitativ minderwertigen Traffic als qualitativ hochwertig erscheinen zu lassen, damit sie ihn zu Premiumpreisen an Werbetreibende verkaufen können. Werbetreibende zahlen bei dieser Methode zwei- oder dreimal so viel Geld für minderwertigen Traffic.

Natürlich gibt es noch viele weitere Betrugsmaschen und -methoden, wie z. B. Install Farms oder Forced Redirect Ads, auf die Betrüger zurückgreifen. An dieser Stelle möchte ich es aber zunächst bei den wesentlichen, oben genannten Methoden belassen. Auf weitere Anzeigen- und Werbebetrugsmaschen werde ich in Zukunft mit Sicherheit noch sehr viel ausführlicher eingehen.

Wie du Werbebetrug verhindern kannst

1. Werbenetzwerke recherchieren

Der erste Schritt zur Minderung des Risikos von Anzeigenbetrug besteht darin, den Geschäftspartner / das Werbenetzwerk genau unter die Lupe zu nehmen. Entscheide dich für ein Werbenetzwerk, das über eine transparente und strenge Richtlinien verfügt, einschließlich Betrugserkennung und Präventionsfunktionen.

2. Traffic / Datenverkehr überwachen

Durch die Überwachung des Datenverkehrs kannst du anormale Aktivitäten erkennen, wie beispielsweise plötzlich und unerwartet auftretende Verkehrsspitzen, höhere Click-Through-Raten (CTR) als in der Branche üblich oder geografische Ausreißer.

3. Conversion Rate prüfen

Die Überwachung der Conversion Rate (Konversionsraten) kann dir dabei helfen, digitalen Anzeigenbetrug zu erkennen. Eine geringe Conversion Rate während des Spitzenverkehrs kann auf ein Problem hindeuten.

4. Zielgruppe genau ansprechen

Je genauer du dein Zielpublikum ansprichst, desto eher und schneller kannst du abnormale Aktivitäten erkennen. Wenn du mit deinen Werbeaktivitäten beispielsweise nur Kunden in Deutschland ansprichst, kannst du Anzeigenbetrüger leicht identifizieren, die einen anderen als von dir gesetzten geografischen Standort verwenden.

5. Verwende ads.txt-Dateien

Die ads.txt-Datei legt genau fest, welche Werbenetzwerke, Börsen und Sell-Side-Plattformen (SSP) dein digitales Anzeigeninventar verwenden und weiterverkaufen können.

Authorized Digital Sellers oder „ads.txt“ ist eine IAB Tech Lab-Initiative, mit der sichergestellt werden soll, dass dein digitales Anzeigeninventar nur über von dir autorisierte Verkäufer vertrieben wird. Wenn du deine eigene ads.txt-Datei erstellst, hast du eine bessere Kontrolle darüber, wer Anzeigen auf deiner Website verkaufen darf.

Deine Werbepartner sollten auch über gültige sellers.json-Dateien verfügen. Mit sellers.json-Dateien wird überprüft, woher das Inventar stammt.

6. Konkurrenten überwachen

Stelle sicher, dass kopierte Inhalte nicht für den digitalen Anzeigenbetrug verwendet werden können. Oft konkurrieren Affiliates mit denselben Keywords und beteiligen sich an Klickbetrug, um das Geschäft anzukurbeln. In anderen Fällen stehlen Scraper-Bots Inhalte, damit die Betrüger sie auf anderen Websites erneut veröffentlichen können.

7. Überprüfe deine digitalen Infrastrukturkosten und die (Web)Serverleistung

Wenn Betrüger Bots verwenden, können sie deine Website enorm verlangsamen. In der Regel kaufst du dann mehr Bandbreite, damit die erforderliche Geschwindigkeit für dein Webangebot, das Ranking und dein SEO beibehalten werden kann. Die Überwachung der Kosten und der Leistung kann dir dabei helfen, Bot-Traffic zu erkennen.

8. Suche nach gefälschten Domains

Um sich vor Betrügern zu schützen, die versuchen, eine gefälschte Version deiner Website zu erstellen, kannst du gezielt Suchen durchführen. Füge Zeichen zu deiner URL hinzu oder lösche welche.

9. Überprüfe und überwache Signaturen

Durch das Überwachen und Überprüfen von Signaturen kannst du erkennen, ob Interaktionen mit menschlichem Verhalten übereinstimmen.

Zu den zu überprüfenden Signaturen zählen u.a.:

  • HTTP-Fingerprints: HTTP-Header.
  • TLS-Fingerprints (Fingerabdrücke): Metadaten, die während des TLS-Handshakes extrahiert wurden.
  • Browser-Fingerprints: Daten über Browser, Gerät und Betriebssysteme.
  • Mobile Fingerabdrücke: Geräte- und Betriebssysteminformationen.

Anzeigenbetrug ist ein sehr komplexes und wichtiges Thema, das viel zu wenig Beachtung findet. Von den Ad-Tech-Unternehmen, Verlagen, Werbenetzwerken und -plattformen wird der täglich stattfindende Anzeigenbetrug allerdings, im eigenen Interesse der Monetarisierung natürlich, nur allzu gerne heruntergespielt.

Seit Mitte der 1990er habe ich in der Werbe- und Marketingbranche gearbeitet. Ich habe viel gesehen und viel erlebt. So einiges davon ist mir aber mittlerweile zuwider. Denn mit der zunehmenden Digitalisierung hat die Branche auch schnell die unzähligen Möglichkeiten der Monetarisierung auf Kosten der Werbetreibenden erkannt. Werbetreibenden Unternehmen wird mit Hilfe unverständlicher Werbe-, Marketing- und Ad Tech-Worthülsen oft ein X für ein U vorgemacht.

In Sachen digitaler Werbung gibt es nur sehr wenig Gold, was glänzt. Dieses Gold gilt es zu finden. Dazu braucht man allerdings vertrauensvolle und erfahrene Partner, die mit der Wahrheit über Online-Werbung nicht hinter dem Berg halten.

Erhalte exklusive Cybersecurity-Tipps
Erhalte ca. alle 4-6 Wochen meine kostenfreien Cybersecurity-Tipps und Tutorials für deine Cyberabwehr!

Eine Antwort zu „Ad Fraud: Wie du Werbe- und Anzeigenbetrug verhinderst“

  1. Silvio Maas

    Cool, wie ihr hier aufklärt!
    Obwohl ich schon länger im Online-Marketing “zuhause” bin, kannte ich noch nicht alle von den vorgestellten Betrugsmaschen. Dass solche Sicherheitslücken aber bestehen, habe ich im Webinar hier schon gelernt: https://datenkompetent.de/.
    Ich fürchte jedoch auch, dass man nie 100% sicher vor dem Betrug sein kann. Man kann sich aber ein Gefühl geben lassen, z.B. arbeiten wir bei uns regelmäßig mit LinkResearchTool zusammen, wo wir unter anderem Domain Authority checken oder Link-Detox durchführen. Mit einer Seite sind wir bspw. im bekannten Spam-Netzwerk “The Globe” gelandet, mit dem Detox können wir dann aber die schädlichen Links dort direkt deaktivieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert