Online-Reklame: Betrugsroboter attackieren Googles Anzeigensystem (Spiegel Online, 3.7.2008)
Online-Reklame
Betrugsroboter attackieren Googles Anzeigensystem
Textanzeigen bescheren Google den größten Batzen des Milliardenumsatzes. Werbekunden zahlen pro Klick. Einige fürchten aber, dass darunter auch wertlose Klicks von Betrugsrobotern sind. Ein besorgter Kunde hat im Selbstversuch so eine Trickser-Software geschrieben – innerhalb von zwei Tagen.
Spiegel Online, 3.7.2008
Rund 150 Euro bezahlte der Programmierer Karl Schmitt (Name von der
Redaktion geändert) jeden Monat an Google. Er hatte beim
Internet-Riesen Werbung für sein kleines Web-Portal gebucht. Googles
Anzeigensystem Adsense blendete Schmitts Textanzeigen auf inhaltlich
passenden Web-Seiten ein.
Für
jeden Klick auf eine dieser Anzeigen zahlte Schmitt ein paar Cent an
Google. Der Web-Konzern behielt seine Provision und gab den Rest an die
Betreiber der Seiten weiter, auf denen die Anzeige angeklickt wurde.
Bis Schmitt sich fragte, wie sicher er sich sein kann, dass nicht von
Betrügern programmierte Klickroboter anstelle von Menschen seine Seite
aufriefen.
Schmitts Antwort: nicht sicher genug. Der Programmierer hat in 48
Stunden ein Skript programmiert, mit dem er nach eigener Darstellung
Googles Werbesystem austricksen konnte und Klicks auf über das
Google-System geschaltete Anzeigen so simulierte, dass Googles
Sicherheitssystem den Betrug offensichtlich nicht erkannt hätte.
Schmitt: "Ich habe das auf meiner eigenen Seite mit meiner eigenen
Google-Anzeigenkampagne ausprobiert. Es hat funktioniert, der Account
wurde auch im Anschluss nicht gesperrt. Das spricht sehr dafür, dass
Googles System in diesem Fall nicht erkannt hätte, dass ein Bot die
Anzeigen klickte."
In einer SPIEGEL ONLINE in Kopie vorliegenden E-Mail informierte der
Informatiker am 11. Juni einen Ansprechpartner bei Google und schickte
seine neunseitige Dokumentation der Sicherheitslücke und des Exploits
mit. Die Reaktion, so Schmitt: "Mir wurde gesagt, der Hinweis sei an
die richtigen Stellen weitergeleitet worden. Ich habe bei einem Test
meiner Bots vor ein paar Tagen ein paar neue Sicherheitsstufen in dem
Adsense-System bemerkt." Aber, so Schmitt, diese Hürden würden nur
komplett Ahnungslose abschrecken.
Informatiker: "Plausible Betrugsmethode"
Schmitt beschreibt die Sicherheitslücken in dem Papier "Deceiving
the Adsense-System through Advanced Click-Manipulation" – Google äußert
sich dazu nicht. Die Frage, wie riskant man den beschriebenen Exploit
einschätze, ließ Google in einer Stellungnahme unbeantwortet. Die
allgemeine Aussage: "Wir begrüßen, dass Nutzer uns auf mögliche Quellen
unzulässiger Klicks hinweisen. Wir erhalten viele dieser Berichte, ein
Team von Ingenieuren prüft diese Berichte und beseitigt etwaige
Schwachstellen."
Experten schätzen das von Schmitt beschriebene Vorgehen als
plausibel ein. Der Informatiker Joachim Posegga, Professor am Institut
für IT-Sicherheit und Sicherheitsrecht der Universität Passau und
bislang Leiter des Arbeitsbereiches Sicherheit in Verteilten Systemen
an der Universität Hamburg, urteilt nach Durchsicht der Beschreibung,
das Vorgehen sei "machbar, aber nicht besonders aufsehenerregend".
Posegga: "Das ist stimmig und könnte so theoretisch auch gut
funktionieren. Aber das ist ein netter, gut gemachter Schulbubenhack,
das hätten wir am Institut an einem Nachmittag auch ausgetüftelt."
Google: "Zehn Prozent der Werbeklicks unzulässig"
Schmitts Software nutzt Anonymisierungsdienste, um zu verschleiern,
dass die Anzeigenklicks alle von einem einzigen Server kommen. Außerdem
ahmt die Software menschliches Klickverhalten nach, statt stupide in
festgelegten Zeiträumen einen bestimmten Anteil von Anzeigenklicks an
den Seitenaufrufen vorzutäuschen.
Ob Betrüger diese Methode
in der Praxis erfolgreich nutzen können, um Anzeigengelder ohne
Gegenleistung abzugreifen, ist allerdings unklar. Schmitt beschreibt
eine theoretische Angriffsmöglichkeit – Betrug im großen Stil hat er
damit selbstverständlich nicht versucht. Google passt die
Sicherheitsroutinen des Adsense-Werbeprogramms sicher ständig neuen
Angriffsversuchen an.
Schließlich beschert das Werbesystem Google als Zwischenhändler
den allergrößten Anteil der Einnahmen. Google erklärt, dass außer
spezieller Software das sogenannte "Click Quality Team" verdächtige
Zugriffe analysiert. Den Werbetreibenden würden die bereits gezahlten
Gebühren für alle als unzulässig eingestuften Klicks erstattet.
Informatiker: "Klickbetrug ist ein Geschäft"
Wie erfolgreich diese Betrugsprävention ist, kann niemand außer
Google zuverlässig sagen. Google erklärt, dass weniger als zehn Prozent
aller Klicks auf Textanzeigen unzulässig seien. Die meisten davon
würden herausgefiltert, bevor die Werbekunden dafür zahlen. Google:
"Weniger als 0,02 Prozent dieser Klicks werden nachträglich entdeckt."
Die Einschätzung des Informatikers Posegga: "Es gibt Klickbetrug und
Klickbetrug ist ein Geschäft. Wie groß es ist, weiß nur Google. Und
Google allein weiß, welche Maßnahmen das Unternehmen dagegensetzt – da
ist das Unternehmen sehr verschwiegen, das ist für Außenstehende nicht
abzuschätzen."
Außerdem verweist Posegga darauf, dass Betrüger bei weitem
schwieriger zu entdeckende Methoden zum Klickbetrug nutzen können als
die von Programmierer Schmitt beschriebene. Der Informatiker erklärt:
"Ich gehe davon aus, dass Profis das über Netze per Schad-Software
weltweit gekaperter Rechner abwickeln. Da muss man sich gar nicht um
die Tarnung der IP-Adresse kümmern und kann das System zudem viel
geschmeidiger skalieren."
Solche sogenannten Botnetze gekaperter Rechner haben Kriminelle in
der Vergangenheit schon zum Google-Werbebetrug genutzt. Die
Organisation für Informationssicherheit Sans Institute beschrieb
schon 2006 ein solches Betrugssystem, das die Informatiker nach
anonymen Hinweisen analysiert hatten. Ihr Fazit damals: "Der Werbende
bezahlt dafür, dass ein Software-Bot seine Seite besucht." Eine
Sammelklage von Werbekunden wegen Klickbetrugs hatte Google 2006 mit
einer außergerichtlichen Einigung samt Zahlung von insgesamt 90
Millionen Dollar abgewendet.
Programmierer Schmitt jedenfalls nutzt Googles Werbesystem nicht
mehr, um Textanzeigen anderswo zu schalten. Er hat das Vertrauen
verloren: "Wenn ein Seitenbetreiber mit Bots betrügt, die Klicks
hochtreibt, für die ich zahle, kann ich nicht sicher sein, dass Google
davor schützt und warnt." Denn, so Schmitt: "Wie auch – es scheint, als
könne ich nicht mal sicher sein, dass Google das überhaupt merkt."
- Auf Twitter teilen
- Auf Facebook teilen
- Auf LinkedIn teilen
- Auf Pinterest teilen
- Per E-Mail teilen
- Link kopieren
