Was ist Domain Spoofing und wie funktioniert es?
07.06.2023
Damit eine Werbekampagne erfolgreich ist, müssen Werbetreibende sicherstellen, dass ihr Werbebudget bestmöglich genutzt wird und so viele echte Menschen wie möglich erreicht. Aber Betrüger lauern überall, und so gibt es verschiedene Akteure, die sich einen Teil des Werbebudgets abgreifen wollen.
Eine Betrugstechnik, die seit Jahren beliebt ist, heißt „Domain-Spoofing“. Im folgenden Artikel erfährst du genau, was das ist, welche Formen es gibt und wie du dich als Werbetreibender davor schützen kannst.
Was ist Domain-Spoofing und wie funktioniert es?
Domain-Spoofing ist eine verbreitete Technik, die von Betrügern genutzt wird, um Werbebudgets abzuziehen. Es geht darum, Webseiten mit geringer Qualität zu erstellen, die vorgeben, bekannte Webseiten zu sein, und oft eine exakte Kopie davon sind. Auf den ersten Blick ist die gefälschte Webseite schwer vom Original zu unterscheiden.
Betrüger reichen diese gefälschten Webseiten an verschiedene Werbenetzwerke weiter, geben sie als Premium-Inventar aus und binden Display- und Videoanzeigen ein. Anschließend wird bot-generierter Traffic genutzt, der mit den Anzeigen interagiert, um schließlich eine Auszahlung zu erhalten.
Der Ansatz klingt einfach und effektiv – und das ist er auch. Werbetreibende zahlen für vermeintlichen Premium-Traffic, sehen aber nie eine Conversion oder den erhofften Branding-Effekt.
Es gibt viele Gründe, warum Domain-Spoofing genutzt wird:
Um durch Traffic mit geringer Qualität oder automatisierten Bots Werbebetrug zu begehen
Um die Herkunft des Traffics zu verschleiern, wenn die Webseite illegale oder unerwünschte Inhalte hat
Um Phishing zu betreiben
Um Malware/Spyware zu verbreiten
Um persönliche Informationen zu stehlen
Welche Arten von Domain-Spoofing gibt es?
Domain-Spoofing lässt sich in einfache und komplexere Methoden unterteilen.
Einfache Methoden des Domain-Spoofings beinhalten das Kopieren von Webseiten 1:1 und deren Veröffentlichung unter einer neuen Domain.
Komplexere Methoden umfassen das Spoofing einer E-Mail-Adresse, das Verteilen von Malware über eine Webseite oder das Stehlen persönlicher Informationen.
Website-/URL-Spoofing
Die einfachste Art des Domain-Spoofings. Betrüger geben beim Adserver die URL eines echten, hochkarätigen Publishers ein. Werbetreibende denken, ihre Anzeige wurde auf einer echten Webseite wie forbes.com ausgespielt, doch in Wirklichkeit wurde die Anzeige auf einer gefälschten Seite gezeigt.
Eine weitere Möglichkeit für Betrüger, eine legitime Webseite zu imitieren, ist die Verwendung von Unicode-Zeichen in der Domain. Unicode ist ein internationaler Standard für Zeichencodierung, der jedem Zeichen in allen Sprachen und Schriftsystemen eine einzigartige Nummer zuweist, wodurch fast alle Zeichen plattformübergreifend zugänglich werden.
Zum Beispiel ist der Buchstabe „h“ kaum vom Unicode-Zeichen „һ“ (Schtscha in Unicode) zu unterscheiden. Betrüger nutzen dies aus und registrieren Domains für ihre gefälschten Seiten, die dem Domainnamen legitimer Webseiten ähneln.
Eine Liste visuell ähnlicher Unicode-Zeichen findest du hier.
Cross-Domain-Einbettung
Diese Methode nutzt iFrames. Ein iFrame ist ein HTML-Element, das dazu verwendet werden kann, externe Inhalte in eine Webseite einzubetten. Diese Inhalte können z.B. Bilder oder Videos sein, aber auch ganze Webseiten können in andere Webseiten eingebettet werden.
Durch das Einbetten einer hochwertigen Webseite in ein iFrame auf einer gefälschten Webseite kann es für Werbetreibende so aussehen, als ob ihre Anzeigen auf der hochwertigen Webseite gezeigt wurden.
Malware
Mit der Hilfe infizierter Apps oder Browser-Erweiterungen können Betrüger Anzeigen in Webseiten und Apps einfügen, ohne dass der Nutzer etwas davon mitbekommt.
Die Funktionsweise ist sehr simpel: Wenn ein Nutzer eine infizierte App öffnet, werden im Hintergrund nicht sichtbare Werbebanner geladen, die dann automatisch angeklickt werden. Jeder Klick auf eine Anzeige bringt den Betrügern Geld ein.
Ein Betrug basierend auf diesem Prinzip war Zacinlo. Unter anderem führte die Malware betrügerische Browsers-Redirects durch, erzeugte gefälschte Klicks auf Online-Anzeigen in versteckten Browser-Fenstern und tauschte auch natürlich geladene Anzeigen im Browser des Opfers gegen Anzeigen der Angreifer aus, sodass diese die Werbeeinnahmen einstreichen konnten.
Warum ist Domain-Spoofing auch 2023 noch ein großes Problem?
Ganz einfach: weil Betrüger damit schnell viel Geld verdienen können.
Es war noch nie einfacher, eine bestehende Webseite automatisiert zu kopieren, Anzeigen darauf zu platzieren und dann mit Bot-Traffic und gefälschten Klicks Geld zu verdienen. Wie einfach das selbst für nicht allzu technisch versierte Personen ist, wurde eindrucksvoll von einer CNBC-Reporterin vor einiger Zeit dokumentiert. Innerhalb weniger Tage konnte sie ihre gefälschte Webseite auf verschiedenen Werbenetzwerken monetarisieren.
2017 untersuchte die Financial Times das Ausmaß der sich selbst imitierten gefälschten Domains auf verschiedenen Werbenetzwerken. Das Ergebnis: Der Wert der Werbebestände der Betrüger betrug rund 1,3 Millionen Dollar im Monat.
Methbot war eines der größten Werbebetrugsschemata vor ein paar Jahren. Auf dem Höhepunkt fälschte es bis zu 400 Millionen Videoanzeigenaufrufe, 6000 Domains und über 250.000 URLs pro Tag. Den Betrügern gelang es so, bis zu 3 Millionen Dollar täglich zu verdienen, u.a. durch Domain-Spoofing.
Tipps zur Erkennung von Domain-Spoofing
Domain-Spoofing kann dein Werbebudget schnell leeren. Hier sind einige Tipps, wie du Domain-Spoofing erkennen kannst.
Manuelles Prüfen von Berichten
Überprüfe regelmäßig deine Placement-Berichte und achte auf Inkonsistenzen in Domain-Namen und URLs. Das könnten zusätzliche Buchstaben oder Ziffern sein. Du solltest besonders auf die zuvor erwähnten Unicode-Zeichen achten, die leicht mit anderen Buchstaben verwechselt werden können.
Eine manuelle Prüfung ist jedoch in den meisten Fällen sehr mühsam und zeitaufwendig, insbesondere bei großen Werbekampagnen.
Deshalb wird von Anfang an empfohlen, Anzeigen nur auf ausgewählten Domains zu schalten, die zuvor in einer Allow-/Inclusion-Liste festgelegt wurden.
Verwendung von Ads.txt
Das im Mai 2017 von der IAB Tech Lab gestartete Authorized Digital Sellers-Projekt zielt darauf ab, verschiedene Arten von Werbebetrug zu bekämpfen, insbesondere Domain-Spoofing und illegalen Inventarhandel.
Ads.txt ist eine einfache Textdatei, die Informationen darüber enthält, welche Unternehmen berechtigt sind, digitales Inventar auf einer bestimmten Domain zu verkaufen. Da sie nur vom Webmaster einer Domain erstellt und geändert werden kann, gelten die Angaben darin als gültig und authentisch.
Auch wenn eine existierende ads.txt-Datei Domain-Spoofing nicht zu 100% verhindern kann, bietet sie dennoch eine zusätzliche Schutzschicht – vorausgesetzt, die Datei wurde vom Publisher korrekt implementiert und wird regelmäßig gepflegt.
Schalte deine Anzeigen also nur auf Domains, die über eine ads.txt-Datei verfügen.
Verwendung von Betrugserkennungssoftware
Sowohl manuelle Maßnahmen als auch die Verwendung von ads.txt können dich nur begrenzt im Kampf gegen Domain-Spoofing schützen. Leider schützt dich das nicht vor allen Angriffen wie der Cross-Domain-Einbettung.
Deshalb empfehlen wir dir den Einsatz einer Betrugserkennungssoftware, die dich in Echtzeit vor Domain-Spoofing und vielen anderen Betrügereien schützt.
fraud0 schützt dich vor Domain-Spoofing, indem es verschiedene Merkmale der Domain analysiert. Unter anderem kann unser System bestimmen, ob die Anzeige in einem iFrame angezeigt wird (einschließlich Berichterstattung des iFrames sowie der Haupt-URL) und ob die übertragene URL tatsächlich die URL ist, auf der die Anzeige geschaltet wurde.
Darüber hinaus verhindert unser System auch, dass deine Anzeigen neben unsicheren und unangemessenen Inhalten platziert werden (z.B. Fake News, radikaler politischer Inhalt, terroristische oder sexuell sensible Webseiten) und schützt so deinen Markenruf.
