Technischer Wettlauf gegen Klickbetrug: Wie „Methbots“ die Online-Vermarktung manipulieren

Die digitale Werbevermarktung verspricht Anzeigenkunden die direkte Erfolgskontrolle. Keine geschätzten Reichweiten, keine Streuverluste. Bezahlt wird bei Klick. Soweit lautet zumindest die Theorie. In der Praxis erweist sich die moderne Methodik als fehleranfällig – und die Zahl der Manipulationen ist hoch. Der Klickbetrug boomt und noch gibt es keine vielversprechenden Mittel zur Gegenwehr.
Netzwerke aus Methbots manipulieren die Online-Vermarktung und schaden Medien wie Werbekunden massiv

Von Joachim Jakobs

Der Internetzugangsanbieter 1&1 versteht unter „Klickbetrug“ „die gezielte Manipulation von Werbeabrechnungssystemen durch künstlich erzeugte Klicks auf Bannerwerbung, Textanzeigen oder Affiliate-Links“. 2013 berichtete businessinsider.com von bengalischen „Klickfarmen“, die 1000 „Likes“ für 15 US-Dollar anbieten sollen. Die in den Klickfarmen Beschäftigten sollen im Drei-Schicht-System 120 Dollar erhalten – pro Jahr. Doch es geht noch besser: Da das Klicken und Mögen intellektuell nicht sonderlich herausfordert, lässt sich die Betrugsmasche besonders gut automatisieren: Dabei klicken keine Menschen, sondern lediglich deren Computer(-programme) auf rechtmäßige Anzeigen, die auf betrügerischen Internetseiten geschaltet wurden. Und solche bösen Maschinen lassen sich dann noch in „Botnetzen“ zusammenschließen.

Da kommt was zusammen: Im Februar 2017 verurteilte ein Gericht in Texas eine Medienagentur zu einer Geldstrafe in Höhe von 2,3 Millionen US-Dollar, weil die Beklagte versucht haben soll, einen Wettbewerber auf diese Weise zu schädigen. Zuvor soll der Wettbewerber der Beklagten einen Kunden abgeluchst haben.

Werbekunden und Medienwirtschaft geschädigt

Bei dieser Masche werden aber nicht nur die Werbekunden und seriöse Medienagenturen, sondern auch die Medienwirtschaft geschädigt, der lukrative Werbebudgets entgehen. Insgesamt fürchten Anbieter wie 1&1 um das Vertrauen der Werbekunden in das Onlinegeschäft. Über das Internet können beliebig viele dieser Geräte von solchen Botnetzen von Dritten gesteuert werden, ohne dass die rechtmäßigen Eigentümer der „Dinge“ das überhaupt bemerken. Die Angreifer müssen die Werkzeuge ihrer Opfer lediglich einmal mit entsprechender Schadsoftware – etwa über reguläre Internetseiten – infizieren. Die damit verursachten Zombie-Klicks sind nicht nur günstig zu  haben – sie stammen noch dazu von unterschiedlichen Internetadressen, sind somit vom Werbekunden kaum als Täuschung zu erkennen. Bei dieser Masche werden nicht nur die Werbekunden, sondern auch die Medienwirtschaft geschädigt, der lukrative Werbebudgets entgehen. Insgesamt fürchtet 1&1 um das Vertrauen der Werbekunden in das Onlinegeschäft.

Technischer Wettlauf

Neu ist das Problem nicht – bereits vor zehn Jahren kooperierten Google, Microsoft und Yahoo, um der Seuche Herr zu werden. Tatsächlich breitet sich das Phänomen immer weiter aus: Im September 2016 sorgte sich die Organisation Werbungtreibende im Markenverband (OWM) wegen der „Zunahme betrügerischer Ausspielung“ der Kampagnen ihrer Mitglieder. Es sei „Aufgabe der Vermarkter, für rechtssichere Umfelder zu sorgen“.

Rasmus Giese vom Bundesverband digitale Wirtschaft (BVDW) lässt wissen: „Die bisherigen Maßnahmen greifen zumindest in Deutschland sehr gut, weshalb das Problem bei Weitem nicht so groß ist wie in anderen Märkten. Aber zwischen den Anbietern von Programmatic Advertising-Plattformen und den Betrügern herrscht ein technischer Wettlauf. Betrügerische Bots tarnen sich, um nicht erkannt zu werden. Die Dienstleister entwickeln immer bessere Software zum Aufspüren dieser Bots, sogenannte Detection-Verfahren. Doch auch die Gegenseite ändert ihre Strategien ständig. Es wird immer Wege geben, automatisierte Detection Tools auszutricksen, die die Ausspielungsregeln überwachen. In der globalen Programmatic-Welt bleibt immer ein Restrisiko.“ Gieses Einschätzung lässt sich mit Zahlen untermauern. Im vergangenen Jahr wies die Sicherheitsfirma White Ops in einer Studie darauf hin, dass Russische Kriminelle mit einer Infrastruktur namens „Methbot“ und „hunderttausenden“ Bots bis zu fünf Millionen US-Dollar umsetzen sollen – am Tag! Jährlich sollen so „Milliarden von Dollar“ zusammenkommen, behauptete fortune.com. Nicht einmal  die Hälfte aller Anzeigen sollen tatsächlich von Menschen, also der eigentlichen Zielgruppe, angesehen werden.

Handelt es sich bei den Klickenden tatsächlich um Menschen?

Die Sicherheitsforscher spielen mit der Bezeichnung des Methbots auf die Designerdroge Crystal Meth an: Ähnlich wie das Amphetamin dem Konsumenten ein Gefühl der Stärke und dem Leben eine ungewohnte Geschwindigkeit verschafft, soll Methbot in der Lage sein, mit einer halben Million Bots täglich 300 Millionen Klicks zu erzeugen. Zur Tarnung fälschen die Bots Bildschirminformationen, Plugins und weitere Daten. So soll der Eindruck erweckt werden, es handele sich bei den Klickenden tatsächlich um einzelne Menschen. Das Wallstreet Journal zitiert den Studienautor Michael Tiffany: „Wir haben so etwas noch nicht gesehen. Methbot hebt den Anzeigenbetrug bezüglich Perfektion und Ausmaß auf ein völlig neues Niveau.“ Eine halbe Million Zombierechner? Lächerlich! Bis zu acht Millionen verseuchte Maschinen sollen sich in einem Netz befinden. Und es nimmt kein Ende: 70 Prozent der vernetzten Geräte im „Internet der Dinge“ sollen Schwachstellen enthalten – behauptet der IT Konzern HP. Demnächst klicken also „intelligente“ Schrauben und Büroklammern fröhlich bei Methbot mit.

Neben Kriminellen mit kurzfristigen finanziellen Absichten könnten auch böswillige Wettbewerber zu solchen Methoden greifen. Auch die Werbepreise für bestimmte Themengebiete ließen sich so in die Höhe treiben.