Ads.txt – Was es ist und warum es Sie nicht vor Invalid Traffic und Klickbetrug schützen kann
09.06.2022
Werbebetrug ist überall. Laut aktueller Berichte gehen allein im Jahr 2022 68 Milliarden Dollar durch digitalen Werbebetrug verloren.
Während einige Unternehmen immer noch nicht überzeugt sind, dass sie große Geldbeträge in die Taschen von Betrügern stecken, arbeiten andere an einer Lösung, um das Betrugsproblem zu begrenzen. Eine dieser Lösungen wurde bereits 2017 vom IAB vorgestellt: die ads.txt-Datei.
In diesem Artikel schauen wir uns an, was ads.txt ist, wie es funktioniert und warum es die größten Probleme des digitalen Werbebetrugs nicht lösen kann.
Was ist ads.txt?
Das Projekt Autorisierte Digitale Verkäufer wurde im Mai 2017 vom IAB Tech Lab ins Leben gerufen und zielt darauf ab, verschiedene Arten von Werbebetrug zu bekämpfen, insbesondere Domain-Spoofing und illegale Inventar-Arbitrage.
Ads.txt ist eine einfache Textdatei, die Informationen darüber enthält, welche Unternehmen berechtigt sind, digitales Inventar auf einer bestimmten Domain zu verkaufen. Da es nur vom Webmaster einer Domain erstellt und bearbeitet werden kann, gelten die Informationen der Datei als gültig und authentisch.
Die Datei soll auch die Transparenz im zunehmend undurchsichtigen Ökosystem der programmatischen Werbung erhöhen. Dies geschieht, indem Verlagen eine flexible Möglichkeit gegeben wird, öffentlich die Unternehmen zu deklarieren, die sie berechtigen, ihr digitales Inventar in ihrem Namen zu verkaufen, was die Inventarlieferkette transparent macht und Käufer davor schützt, dass Betrüger Inventar verkaufen, das nicht ihnen gehört.
Welches Problem löst ads.txt?
Ads.txt bekämpft hauptsächlich zwei Dinge:
Domain-Spoofing, was der Prozess ist, URLs im Werbe-Tag zu fälschen, entweder durch die Verwendung von Malware, die auf dem Gerät eines Opfers installiert wurde, oder durch bösartige On-Site-Skripte. Das Ergebnis: Werbebörsen und andere programmatische Plattformen werden getäuscht und glauben, ein Benutzer habe eine legitime URL aufgerufen, während die Anzeige auf einer anderen, unseriösen Website angezeigt wird und meistens nur von Bots gesehen und angeklickt wird.
Inventar-Arbitrage, was der Prozess des Kaufs von Impressionen bei einem Verlag ist, die von einem Dritten neu verpackt und zu einem höheren Preis weiterverkauft werden.
Betrüger richten gefälschte Websites ein, die entweder überhaupt keinen Inhalt haben oder deren Inhalt von großen, vertrauenswürdigen Verlagen wie der New York Times abgeschöpft wurde, und senden gefälschten Bot-Traffic, um die Anzeigenansichten zu erhöhen und sogar auf die Anzeigen zu klicken. Sie ändern dann die URL im Werbe-Tag, um es so aussehen zu lassen, als wäre die Anzeigenauslieferung tatsächlich auf der Domain der New York Times erfolgt. Die Betrüger werden von der Werbeplattform dafür bezahlt, Anzeigen auf ihrer gefälschten Website zu schalten, und die Werbetreibenden werden glauben gemacht, dass ihre Anzeige auf der New York Times-Website angezeigt wurde.
Um das klarzustellen: ads.txt löst keinen bot-bezogenen Betrug. Es ist in erster Linie darauf ausgerichtet, Domain-Spoofing und gefälschte Werbeanfragen zu reduzieren.
Wie funktioniert ads.txt?
Verleger erstellen eine Datei mit dem Namen „ads.txt“ und hosten sie unter ihrer Hauptdomain. Die Datei selbst enthält Informationen über alle autorisierten digitalen Verkäufer wie Supply-Side-Plattformen (SSPs), Werbebörsen und Werbenetzwerke, mit denen die Verleger arbeiten und die ihr Werbeinvetar verwalten dürfen.
Um genau zu verstehen, was das bedeutet, schauen wir uns das ads.txt von nytimes.com an:
Jede Zeile repräsentiert einen Partner, der berechtigt ist, das Werbe-Inventar auf der Domain nytimes.com zu verwalten, und besteht aus bis zu 4 Feldern. Als Beispiel sagt Zeile 20 Folgendes:
google.com, pub-1793726897772453, DIRECT, f08c47fec0942fa0
google.com → Domainname des Werbesystems (erforderlich)
Dieses Feld gibt die Domain der Plattform an, die der Verleger verwendet, um sein Inventar zu verkaufen. Wir sehen, dass die New York Times nur eine Handvoll Partner verwendet, darunter Google, Amazon, Yahoo und AppNexus.
pub-1793726897772453 → Publisher-Konto-ID (erforderlich)
Die Publisher-Konto-ID ist die Konto-ID des Verlegers für den jeweiligen Partner – in diesem Fall Google – und wird verwendet, um die Authentizität des Inventars während RTB-Geboten zu validieren.
DIRECT / RESELLER → Beziehungstyp (erforderlich)
Dieses Feld kann entweder die Werte „DIRECT“ oder „RESELLER“ haben. Es gibt an, ob ein Verleger direkt mit dem Anbieter zusammenarbeitet, um sein Werbe-Inventar zu verkaufen, oder ob er ein anderes Unternehmen (wie ein Werbenetzwerk oder eine digitale Werbeagentur) beauftragt hat, das Werbe-Inventar in seinem Namen zu verwalten.
f08c47fec0942fa0 → TAG ID (optional)
Dieses optionale Feld listet die TAG ID auf, die den Partner innerhalb der Zertifizierungsbehörde Trustworthy Accountability Group (TAG) identifiziert. Die TAG ID ist eine global eindeutige und von der Groß-/Kleinschreibung unabhängige 16-stellige hexadezimale Zeichenfolge, die Sie bei Ihrem Partner anfordern können.
# Kommentar → Kommentar (optional)
Einige Verleger fügen auch ein Hashtag gefolgt von einem Kommentar hinzu. Die Informationen nach dem Hashtag werden von keinem Crawler verwendet und sind nur für den Verleger und seinen Webmaster bestimmt, um den Überblick zu behalten, wann die Datei zu groß wird. Eine Bsp. können Sie sich businessinsider.com/ads.txt ansehen. Sie haben auf einigen Zeilen die Werbeformate, die Partner verwalten, als Kommentare hinzugefügt.
Nachdem ein Verleger die Liste der Partner veröffentlicht, die berechtigt sind, Werbe-Inventar auf seiner Domain zu verkaufen, durchsuchen Demand-Side-Plattformen (DSPs) die Domain und die ads.txt-Datei. Jedes Mal, wenn eine OpenRTB-Gebotsanfrage von einer Börse an die DSP gestellt wird, überprüft die DSP die Domain und die Publisher-ID mit den Informationen in ads.txt. Wenn die Informationen übereinstimmen, wird das Gebot abgegeben. Wenn die Informationen nicht übereinstimmen, wird kein Gebot abgegeben.
Für weitere Informationen zur technischen Spezifikation oder einige Beispiele und Anwendungsfälle, siehe die offizielle ads.txt-Spezifikation von IAB TechLab oder deren Überblick über alle ads.txt-bezogenen Ressourcen.
Wie erstelle ich eine ads.txt-Datei?
Das Erstellen der ads.txt-Datei ist einfach und unkompliziert. Alles, was du benötigst, ist ein Texteditor, der eine .txt-Datei erstellen kann, und Informationen von deinen Partnern und Netzwerken.
Schritt 1: Sammle alle erforderlichen Informationen
Bevor du die eigentliche Datei erstellst, musst du Informationen von allen deinen Anbietern, Werbebörsen und Werbenetzwerken sammeln. Dazu gehören der Domainname, deine Publisher-ID für diesen Partner und ob es sich um eine direkte oder umfassende Partnerschaft mit diesem Partner handelt.
Wenn du sehr genau sein möchtest, kannst du auch die TAG-ID von jedem Partner anfordern. Um deine Partner zu verifizieren, kannst du das TAG-Register verwenden, um die von ihnen bereitgestellten TAG-IDs nachzuschlagen. Das TAG-Register kann in Echtzeit bestätigen, ob eine bereitgestellte TAG-ID mit einem Firmennamen verknüpft ist oder ob ein Unternehmen im TAG-Register enthalten ist.
Schritt 2: Erstelle eine .txt-Datei und nenne sie ads.txt
Nachdem du alle Informationen gesammelt hast, öffne einfach den Texteditor deiner Wahl und füge die Informationen im gewünschten Format ein. Denke daran: Jedes Feld wird durch ein Komma getrennt und jeder Partner muss in einer separaten Zeile stehen. Achte darauf, die Datei als .txt-Dokument zu speichern und sie „ads.txt“ zu nennen.
Hier ein paar Tipps für kostenlose Texteditoren:
Notepad (vorinstalliert auf Windows)
TextEdit (vorinstalliert auf macOS)
Schritt 3: Verifiziere deine ads.txt
Bevor du deine Datei auf deinen Webserver hochlädst, solltest du zunächst den Inhalt, die Lesbarkeit und die Syntax der Datei überprüfen. Du kannst das manuell tun, aber es ist viel einfacher, wenn du eines der folgenden Tools verwendest:
Beide Tools überprüfen deine Datei auf verschiedene mögliche Fehler wie Rechtschreibfehler, ungültige Domainnamen oder falsche kanonische Domainnamen.
Schritt 4: Lade die ads.txt-Datei auf deine Hauptdomain hoch
Der letzte Schritt umfasst das Hochladen der Datei auf deine Hauptdomain. Bitte beachte: Die ads.txt funktioniert nur auf der Hauptdomain, nicht auf einer Subdomain oder einem Ordner.
Du kannst überprüfen, ob die Datei sich an der richtigen Stelle befindet, indem du einfach /ads.txt an deine Domain anhängst und die korrekten Informationen aus der Datei erscheinen. Also zum Beispiel: yourdomain.com/ads.txt
Vorteile von ads.txt für Verleger und Werbetreibende
Der größte Vorteil für Verleger, die eine ads.txt auf ihrer Domain einfügen, besteht darin, dass illegale und betrügerische Inventarkäufe und gefälschte Werbeanfragen größtenteils vermieden werden.
Aber auch Werbetreibende profitieren von ads.txt, da sie Verkäufer verifizieren können und vermeiden, Budget für gefälschte Werbeanfragen zu verschwenden.
Das gesamte Werbeökosystem profitiert auch von der erhöhten Transparenz. Ads.txt macht öffentlich zugängliche Informationen darüber, welche Unternehmen berechtigt sind, Werbe-Inventar auf welchen Domains zu verkaufen.
Einführung von ads.txt durch Verleger
Die Einführung von ads.txt verlief sehr schleppend, als es 2017 eingeführt wurde. Es dauerte, bis Google ankündigte, dass es den neuen Standard unterstützen und dass DoubleClick Ad Exchange und AdSense unautorisiertes Inventar aus ihren Auktionen herausfiltern würden, dass die meisten Verleger zur Erstellung einer ads.txt-Datei für ihre Domain übergingen.
Bis heute haben gerade einmal 45% der 1.000 größten Domains den Standard übernommen.
Ads.txt für mobile Apps
Während die ursprüngliche Veröffentlichung von ads.txt im Jahr 2017 auf Webseiten-Werbung zielte, wuchs der mobile Werbebetrug weiter. Als Reaktion darauf veröffentlichte das IAB TechLab 2019 app-ads.txt, ein Update der bestehenden Spezifikation, das auch im Kampf gegen Werbebetrug in mobilen Apps verwendet werden kann.
Der neue Standard wurde auch schnell von Google und AdMob angenommen und hat jetzt eine noch höhere Übernahmerate als ads.txt für Websites. 68% der Top 1.000 Google Play-Apps haben eine app-ads.txt, aber nur 42% der Top 1.000 Apps im Apple App Store.
Die app-ads.txt verdient ihren eigenen ausführlichen Artikel auf unserer Website. Bis dahin findest du die aktuelle Spezifikation und Anweisungen zur Implementierung in Apps auf der offiziellen IAB-Website.
Sicherheitslücken von ads.txt
Nachdem wir uns die Absichten und Vorteile der ads.txt-Datei angesehen haben, müssen wir einen Blick auf mögliche Sicherheitslücken werfen. Zunächst einmal: Es gibt einige Lücken im System, die von Betrügern ausgenutzt werden könnten, und der größte Fehlerfaktor ist, wie so oft, menschliches Versagen.
Mangel an Aufmerksamkeit und Pflege durch Verleger
Die ads.txt-Datei ist keine Lösung, die man einfach erstellt und vergisst. Verleger müssen aktiv die Einträge verfolgen, warten und auch regelmäßig überprüfen.
Wenn immer mehr Parteien berechtigt sind, Werbe-Inventar im Namen des Verlegers zu verkaufen, wird die ads.txt-Datei immer größer. Dies macht es nicht nur sehr schwer lesbar und wartbar, sondern spiegelt auch nicht länger genau wider, wer berechtigt ist, das tatsächliche Inventar zu verkaufen.
Bei jedem neuen Partner müssen sie die entsprechenden Informationen in die Datei aufnehmen. Umgekehrt gilt dasselbe: Jedes Mal, wenn eine Partnerschaft endet, müssen die Informationen aus der Datei entfernt werden. Andernfalls laufen Verleger Gefahr, dass lang abgelaufene Partnerschaften laut ads.txt-Eintrag immer noch Zugriff auf ihr Werbe-Inventar haben. Diese Situation kann sehr schnell von bösartigen Partnern ausgenutzt werden, was uns zurück zum Thema gefälschte Werbeanfragen bringt.
Nehmen wir das Beispiel der New York Times von oben. Sie hat derzeit 21 autorisierte Partner (Stand Juni 2021), die das Werbe-Inventar verwalten dürfen. Zu allen Partnern wurde eine direkte Beziehung aufgebaut, sodass niemand ohne weiteres Inventar weiterverkaufen kann.
Wenn man ESPN.com anschaut, ist man fast überwältigt. Sage und schreibe 460 Partner sind dort gelistet, und mehr als die Hälfte von ihnen sind Wiederverkäufer.
404Bot – Halte Reseller im Auge
Anfang 2019 machte ein neuer Betrug die Runde: 404Bot. Betrüger nutzten die Funktionalität von ads.txt aus, indem sie Konten bei Werbenetzwerken eröffneten, die als genehmigte Wiederverkäufer bei großen Verlagen gelistet waren.
Schätzungen zufolge konnten die Betrüger aufgrund des oben erwähnten Mangels an Übersicht innerhalb einer großen ads.txt-Datei zwischen 15 und 80 Millionen Dollar über einen Zeitraum von mehreren Monaten stehlen.
Das Schema war ziemlich einfach:
Betrüger eröffneten Konten bei Werbenetzwerken, die als Wiederverkäufer bei großen Veröffentlichungen aufgelistet waren.
Dann schickten sie Bot-Traffic zu gefälschten, aber echt aussehenden URLs auf der Website der Verleger, die nicht existierten und einen 404-Statuscode zurückgaben – daher der Name 404Bot. HTTP-Statuscode 404 zeigt an, dass der Browser mit einem bestimmten Server kommunizieren konnte, der Server jedoch die angeforderte Datei nicht finden konnte.
Es gab jedoch Anzeigencode, der auf diesen gefälschten URLs eingebettet war und auf die übliche Weise ausgeführt wurde.
Die Betrüger wurden dann vom Werbenetzwerk dafür bezahlt, erfolgreich Werbe-Inventar von Premium-Verlegern zu verkaufen.
Der große Vorteil dieses Ansatzes war auch, dass die URLs in allen Berichten legitim erscheinen. Wenn jemand die URLs besuchen wollte, wurde ihm nur die Mitteilung angezeigt, dass die Seite nicht gefunden wurde. Es konnte jedoch auch sein, dass der Artikel vom Verleger mittlerweile wieder gelöscht worden war. Die perfekte Tarnung für den Betrug.
Als Verleger ist es entscheidend, dass du den Inhalt deiner ads.txt-Datei im Auge behältst und Wiederverkäufer nach Möglichkeit vermeidest. Alle Domains, die vom 404Bot betroffen waren, hatten eine Gemeinsamkeit: Ihre ads.txt-Dateien waren riesig und enthielten viele Wiederverkäufer. Je mehr Wiederverkäufer darin aufgelistet sind, desto größer ist die Wahrscheinlichkeit, dass du von Betrug betroffen bist.
Social Engineering, um in ads.txt aufgenommen zu werden
Mit der Einführung von ads.txt erhielten Verleger immer mehr Anfragen von Betrügern, die sich als digitale Marketingagenturen ausgaben, um sich einen offiziellen Platz als Wiederverkäufer in der Liste zu sichern. Der Betrug sah etwa so aus:
Betrüger kontaktierten große Verleger, um in ihre ads.txt aufgenommen zu werden. Dabei gaben sie vor, in der Vergangenheit als Wiederverkäufer tätig gewesen zu sein und bereits Anzeigeninventar der Verleger verkauft zu haben. Einer dieser Anbieter schaffte es in kurzer Zeit auf über 60 Listen, weil die Verleger die Anfragen nicht richtig überprüften, sondern gerade am Anfang aus Angst vor Umsatzverlusten viele Freifahrtscheine ausstellten.
Du kannst dir wahrscheinlich denken, wie die Geschichte endet. Sobald die Betrüger auf der Liste waren, konnten sie Werbeplätze auf Premium-Verlegern zu einem hohen Preis verkaufen und Bot-Traffic zur Gewinnmaximierung einsetzen.
In diesem Fall war es nicht direkt eine Schwachstelle in ads.txt, sondern Social Engineering und damit der Mensch als das schwächste Glied.
Ads.txt kann dich nicht vor ungültigem Traffic und Klickbetrug schützen
In diesem Artikel haben wir alles Wissenswerte über ads.txt behandelt: Was es ist, wie es funktioniert und auch welche Schwachstellen es gibt. Obwohl der aktuelle Stand ein Schritt in die richtige Richtung ist, um Werbebetrug – insbesondere Domain-Spoofing – zu reduzieren, ist es wichtig, eines im Hinterkopf zu behalten: Ads.txt schützt deine Werbeausgaben nicht vor ungültigem Traffic und Klickbetrug!
Selbst wenn deine Anzeige auf einer Website auf legale Weise gezeigt wird, garantiert dies nicht, dass echte Menschen sie sehen oder sogar darauf klicken. Ads.txt stellt sicher, dass deine Anzeige nur von autorisierten Partnern gezeigt wird, nicht dass echte Menschen damit interagieren.
Als Werbetreibender wirst du deshalb weiterhin ungültigen Bot-Traffic und gefälschte Klicks auf deinen Anzeigen sehen, die dein Werbebudget belasten, selbst wenn deine Anzeigen direkt auf Verleger-Websites geschaltet werden.
In diesem Zusammenhang ist ein Bericht Ende 2019 sehr besorgniserregend, der zu dem Schluss kam, dass Websites, die ads.txt nutzen, etwa 10% mehr ungültigen Traffic (IVT) haben als Websites, die ads.txt nicht implementiert haben.
Um dieses Problem zu lösen, benötigst du eine Software zur Erkennung von Werbebetrug, die gefälschte Bots erkennen und verhindern kann, dass sie auf deine Anzeigen klicken und dein Werbebudget verschwenden.
Melde dich für eine kostenlose 7-Tage-Testversion bei fraud0 an und überzeuge dich selbst von den Ergebnissen – ohne versteckte Bedingungen und ohne Kreditkarte.
