Eine kürzlich aufgedeckte Ad-Fraud-Kampagne namens Scallywag hat mit speziell entwickelten WordPress-Plugins täglich bis zu 1,4 Milliarden betrügerische Ad-Requests generiert. Die Sicherheitsfirma HUMAN identifizierte ein Netzwerk von 407 Domains, die diese Operation unterstützten, wobei der Fokus auf Piraterie- und URL-Shortening-Seiten lag.

Wie funktioniert Scallywag?

Scallywag basiert auf vier manipulierten WordPress-Plugins: Soralink (2016), Yu Idea (2017), WPSafeLink (2020) und Droplink (2022). Diese Plugins wurden von verschiedenen Bedrohungsakteuren erworben und eingesetzt, um betrügerische Werbeanfragen zu generieren. Einige dieser Akteure veröffentlichten sogar Tutorials auf Plattformen wie YouTube, um anderen zu zeigen, wie man solche Betrugsoperationen aufsetzt.

Die Plugins ermöglichen es, Anzeigen auf Webseiten zu platzieren, die von legitimen Werbeanbietern normalerweise gemieden werden, wie z. B. Piraterie- oder URL-Shortening-Seiten. Dadurch wird eine große Anzahl von betrügerischen Ad-Requests generiert, die den Werbemarkt erheblich beeinträchtigen.

Die Gefahr ist nich gebannt, denn die Betreiber der Scallywag-Operation beweisen weiterhin Anpassungsfähigkeit, indem sie Domains rotieren und andere Monetarisierungsmodelle nutzen.

Die Scallywag-Ad-Fraud-Operation wird weiterhin spürbare Auswirkungen auf die Werbebranche haben

Die Scallywag-Ad-Fraud-Operation hat auch im Jahr 2025 spürbare Auswirkungen auf die Werbebranche – sowohl finanziell als auch technologisch und strategisch:

1. Finanzielle Verluste in Milliardenhöhe

Scallywag generierte täglich bis zu 1,4 Milliarden betrügerische Ad-Requests, was bedeutet, dass enorme Summen an Werbebudget verschwendet wurden. Unternehmen zahlen für Anzeigen, die nie echte Nutzer erreichen – das führt zu:

• Geringerer Return on Ad Spend (ROAS)
• Budgetverschiebung weg von offenen Werbenetzwerken hin zu geschlossenen Ökosystemen
• Verstärktem Druck auf Marketing- und Performance-Teams, ihre Ausgaben zu rechtfertigen

2. Vertrauensverlust in programmatische Werbung

Scallywag untergräbt das Vertrauen in automatisierte Werbesysteme, da selbst etablierte Plattformen (wie Google Ads) Ziel solcher Betrugsversuche sein können. Das führt zu:

• Mehr Kontrolle durch Werbekunden über Kampagnenplatzierungen
• Steigende Nachfrage nach Transparenz und Verifizierung
• Boom von „Clean Rooms“ und First-Party-Datenstrategien

3. Technologische Aufrüstung gegen Ad-Fraud

2025 investieren Unternehmen verstärkt in:

• KI-basierte Fraud Detection Tools
• Echtzeit-Monitoring von Traffic-Quellen
• Einsatz von Blockchain zur Verifizierung von Werbeanfragen

Dadurch entsteht ein „Tech-Arms-Race“ zwischen Fraud-Betreibern und AdTech-Firmen.

4. Veränderte Publisher-Landschaft

Die Tatsache, dass Scallywag auf WordPress-Plugins basierte, zeigt eine Schwachstelle im CMS-Ökosystem. 2025 reagieren viele Publisher mit:

• Strikteren Plugin-Audits
• Migration zu sicheren Plattformen
• Integration von Ad-Fraud-Prevention in CMS-Backends

5. Regulatorische und rechtliche Konsequenzen

Mit dem wachsenden Druck durch Ad-Fraud wird 2025 auch die Politik aktiver:

• Nationale und internationale Regulierungsbehörden prüfen Werbenetzwerke strenger
• Mögliche rechtliche Schritte gegen Seitenbetreiber, die betrügerische Plugins verwenden
• Selbstregulierung der Branche durch Initiativen wie TAG oder IAB

Scallywag ist ein Weckruf für die gesamte Werbebranche

Scallywag ist mehr als nur ein einzelner Fall von Ad-Fraud – es ist ein Weckruf für die gesamte Werbebranche. Im Jahr 2025, aber auch im Jahr 2026 werden höhere Sicherheitsstandards, technologische Innovationen und eine Rückbesinnung auf vertrauensvolle Partnerschaften im Kampf gegen Ad Fraud von Bedeutung sein.

Maßnahmen zur Prävention von Ad-Fraud

Um sich vor ähnlichen Betrugsoperationen zu schützen, solltest du als Unternehmen oder Website-Betreiber folgende Maßnahmen ergreifen:

• Verwendung von Ad-Fraud-Präventionssoftware: Einsatz von Softwarelösungen, die maschinelles Lernen nutzen, um betrügerische Aktivitäten zu erkennen und zu blockieren.
• Regelmäßige Überwachung der Kampagnenleistung: Analyse von Metriken wie Klickrate, Absprungrate und Conversion-Rate, um ungewöhnliche Muster zu identifizieren.
• Blacklisting verdächtiger Domains und IP-Adressen: Erstellung und Pflege von Listen, um den Zugriff von bekannten betrügerischen Quellen zu blockieren.
• Zusammenarbeit mit vertrauenswürdigen Partnern: Auswahl von Werbenetzwerken und Partnern, die zertifiziert sind und Branchenstandards wie die der Trustworthy Accountability Group (TAG) einhalten.
• Implementierung von Bot-Schutzmaßnahmen: Einsatz von Lösungen, die zwischen menschlichen Nutzern und Bots unterscheiden können, um automatisierten Traffic zu minimieren.
• Einsatz von Blockchain-Technologie: Nutzung von Blockchain zur transparenten und unveränderlichen Aufzeichnung von Werbetrans

In meinem Blog-Artikel „Ad Fraud: Wie du Werbe- und Anzeigenbetrug verhinderst“ erhältst du eine Fülle von zusätzlichen Informationen zum Thema Anzeigenbetrug und Tipps, wie du Ad Fraud verhindern kannst.