7 Tools und Taktiken für Anzeigenbetrug
01.11.2021
Der Markt für digitale Werbung wächst rasant, mit über 378 Milliarden Dollar im Jahr 2020 und einer erwarteten Wachstumsrate von über 15 % pro Jahr. Da ist es nicht sehr überraschend, dass Betrüger auch ein Stück von diesem Kuchen abhaben wollen.
Im folgenden Blogartikel stellen wir dir sieben Tools und Techniken vor, die Betrüger nutzen, um Werbebetrug zu begehen.
Ein wichtiger Hinweis vorab: Wir empfehlen dir unter keinen Umständen, die hier präsentierten Methoden nachzuahmen.
Bot-Traffic zur Erhöhung von Klicks und Werbeeinblendungen
Der erste und häufigste Weg, wie Betrüger mit Werbebetrug Geld verdienen, ist der Kauf von gefälschtem Traffic von Bots, um Werbeeinblendungen und Klicks zu erhöhen.
Der gefälschte Traffic kann aus verschiedenen Quellen stammen, einschließlich Cloud-Dienste wie AWS und Google Cloud, physischen Geräten der Betrüger oder sogar physischen Geräten weltweit, die mit Malware infiziert wurden. Dies wird auch als „Botnetz“ bezeichnet, bei dem der Computer des Opfers ohne dessen Wissen gesteuert wird und im Hintergrund unbemerkt Aktionen ausführt.
Die Möglichkeiten, gefälschtem Bot-Traffic einzusetzen, reichen vom einfachen Besuch von Websites zur Erhöhung der Werbeeinblendungen bis hin zu komplexeren Aufgaben, einschließlich Klickbetrug.
Dies hängt hauptsächlich von der Qualität des gefälschten Traffics ab, den die Betrüger erwerben. Höhere „Qualität“ bedeutet, dass die Bots schwieriger von Betrugserkennungssystemen aufzuspüren sind, einfach weil sie mehr Dinge fälschen, wie rotierende IP-Adressen, Wohn-IP-Adressen von echten Geräten weltweit, unterschiedliche Verweildauer auf der Website, Scrollverhalten, Mausbewegungen usw.
Wenn du bei Google nach „Traffic kaufen“ suchst, werden Tausende Webseiten angezeigt, die bereit sind, dir Traffic zu verkaufen. Die Preise reichen von $0.0002 bis $0.012 pro Klick und mehr. Da Betrüger sich meist mit einfachem Arbitragegeschäft beschäftigen, kaufen sie Traffic zu einem niedrigeren CPM, als sie ihre Werbeeinblendungen über „Cash-Out-Websites“ verkaufen können und stecken die Differenz ein.
Die Menge des gefälschten Traffics, die man online kaufen kann, ist nahezu unbegrenzt. Ein Anbieter – der sogar eine Bewertung von 4.6 auf Trustpilot hat – lässt dich 10 Millionen Seitenaufrufe für knapp unter $840 kaufen.
Aber auch seriöse Publisher greifen manchmal auf Bot-Traffic zurück. Manch eine Website garantiert ihren Käufern eine bestimmte Traffic-Menge und daher auch bestimmte Werbeeinblendungen. Wenn sie am Ende des Monats mit ihren Zahlen hinterherhinken, wenden sie sich an Bot-Traffic, um ihren Verpflichtungen nachzukommen.
Dies wird als „End-of-Month-Traffic-Erfüllung“ bezeichnet und kann durch einen Traffic-Anstieg in den letzten Tagen eines Monats beobachtet werden.
Eine Alternative zu gefälschtem Bot-Traffic sind sogenannte „Traffic Exchange Plattformen“ wie Hitleap. Webmaster können ihre eigene Website hinzufügen und andere Websites besuchen, um im Gegenzug mehr Traffic zu erhalten.
„Jeder Teilnehmer besucht die Seiten anderer Mitglieder und erhält auf genau dieselbe Weise eigene Klicks. Um es einfacher zu machen, stellt HitLeap sogar einen praktischen Browser bereit, der die Seiten anzeigt, die du anschauen solltest, um deine Ziele zu erreichen.“ (Hitleap)
Du tauschst im Grunde Besuche auf anderen Webseiten gegen Besuche auf deiner eigenen. Die Qualität des Traffics bleibt jedoch schlecht, da kein anderes Mitglied der Traffic-Exchange-Plattform wirklich an deiner Website interessiert ist. Das dient lediglich dazu, die Analytics-Zahlen zu „whitewashen“.
Der Schaden, den Bot-Traffic und Botnetze der Werbebranche zufügen, ist enorm. Ein einzelnes Botnetz, das an Klickbetrug beteiligt ist, kann mehr als 20 Millionen Dollar im Monat an Gewinn erzeugen. Für weitere Informationen haben wir einen Artikel mit den größten Fällen von Werbebetrug in den letzten 5 Jahren zusammengestellt, der auch mehrere Fälle von Werbebetrug durch Botnetze und deren astronomischen Schäden umfasst.
Residential-Proxy-Traffic
Die „Residential-Proxy“-Technik wird häufig in Verbindung mit Botnetzen verwendet. Proxy-Dienste wie Bright Data, Oxylabs und Smartproxy bieten ihren Kunden rotierende Wohn-IP-Adressen an, sodass der Bot-Traffic offensichtlich nicht aus Rechenzentren wie Amazon oder Google stammt und leicht blockiert werden kann.
„Indem der Traffic von Millionen verschiedener Wohn-IP-Adressen zu kommen scheint, vermeiden die Betrüger, blockiert zu werden, sodass sie weiterhin Geld mit dem Verkauf von gefälschtem Traffic und Werbeeinblendungen verdienen können.“
Augustine Fou
Betrüger können einen Headless-Browser in ihrer AWS- oder Google-Cloud ausführen, einen Proxy-Dienst verwenden, um ihre IP-Adresse zu maskieren, und massive Mengen an Bot-Traffic senden, der darauf ausgelegt ist, auf Anzeigen zu klicken.
Außerdem sind Werbetreibende nicht in der Lage, Kampagnen basierend auf Standort und Sprache zu optimieren, da Proxys verhindern, dass Werbetreibende Standorte sehen oder ihnen falsche Proxy-Standorte bereitstellen.
Die Preise für Wohn-Proxies hängen von der Menge des Traffics ab und reichen von $8 bis $15 pro Gigabyte.
Autoclick-Software
Gefälschter Traffic muss nicht immer aus Rechenzentren oder Botnetzen kommen. Tools wie „Simple Traffic Bot“, „TrafficBotPro“ oder „Diabolic Traffic Bot“ bieten kostenlosen Bot-Traffic und gefälschte Anzeigenklicks von jedem Computer zu Hause an.
Sobald sie installiert sind, funktionieren die meisten Tools mit verschiedenen Proxys oder VPNs und versprechen dem Nutzer, nicht als Bot-Traffic erkannt zu werden, indem sie mehrere Ausweichtechniken einsetzen, wie das ändern des User-Agent, variieren der Verweildauer auf der Seite und Browser-Emulation. Viele von ihnen erlauben dem Nutzer sogar, zwischen verschiedenen Referrern zu rotieren, sodass der Traffic in den Analytics-Berichten nicht als direkte Seitenaufrufe angezeigt wird.
Wie der Name schon sagt, werden diese Tools hauptsächlich dazu verwendet, auf Anzeigen auf Websites zu klicken, die von den Betrügern betrieben werden. Aber auch das Schönreden von Traffic eines Kunden oder das Pushen der Zahlen eines Artikels auf einer Drittanbieter-Website sind mögliche Anwendungsfälle.
Im folgenden Video kannst du Einblick gewinnen, wie der „Simple Traffic Bot“ arbeitet, zusammen mit dem Nachweis, dass der gefälschte Traffic als echte Besucher in Google Analytics erscheint:
Abhängig vom Gerät, auf dem diese Softwareprogramme laufen, können mehrere Hundert Anfragen pro Sekunde ausgeführt werden.
Wenn du bei Google nach „Autoclicker-Software“ suchst, wirst du Hunderte verschiedener Tools finden, die fast die gleiche Funktionalität bieten. Denke jedoch daran, dass viele dieser Tools von zweifelhaften Websites verteilt werden, die möglicherweise bösartigen Code enthalten.
Menschen bezahlen, um auf Anzeigen zu klicken
Paid-to-click (PTC)-Websites boomen, besonders seit COVID-19. Diese Websites zahlen Hunderttausende von Menschen weltweit dafür, Anzeigen anzusehen und darauf zu klicken. Arbeiter können zwischen $0.0015 und $0.05 pro Klick verdienen, obwohl die meisten Anbieter etwas zwielichtig sind und die Bezahlung eher am unteren Ende liegt.
Um sich von traditionellen Click-Farmen zu unterscheiden und den Wettbewerb zu fördern, haben viele PTC-Websites Bestenlisten mit täglichen, wöchentlichen und monatlichen Top-Verdienern. Basierend auf ihren eigenen Angaben haben die Top-Seiten ihren Nutzern mehrere Million Dollar für das Betrachten und Klicken auf Anzeigen ausgezahlt.
PTC-Dienst | Dollars, an Mitglieder ausgezahlt |
$9.4 Millionen | |
$2.6 Millionen | |
$1.6 Millionen |
Quelle: offizielle Zahlen auf PTC-Websites
Es ist auch erwähnenswert, dass diese Anzeigenansichten nicht von gewünschten Kunden stammen und du aus ihnen keine Leads erhältst. Aufgrund des niedrigen Einkommens stammen die meisten Nutzer aus Asien oder Lateinamerika und haben oft nicht die geografische Fähigkeit, auf sie zuzugreifen. Stattdessen benutzen sie VPNs, um ihren echten Standort zu verbergen.
Click-Farmen
Click-Farmen sind die noch zwielichtigeren Vorgänger von PTC-Websites. Click-Farmen bestehen aus einer großen Gruppe von schlecht bezahlten Arbeitskräften, die eingestellt werden, um auf Anzeigen zu klicken, zu liken, teilen, kommentieren, abonnieren und einem Social-Media-Konto zu folgen. Sie befinden sich normalerweise in Entwicklungsländern, wie China, Indien, Indonesien und Bangladesch. Arbeiter werden im Schnitt mit einem US-Dollar für tausend Klicks bezahlt.
Im Gegensatz zu Botnetzen sind Click-Farmen echte Menschen, die an physischen Geräten sitzen und auf Anzeigen klicken, oft mit einem VPN, um auf Anzeigen außerhalb ihrer geografischen Lage zuzugreifen. Da Click-Farmen 24 Stunden am Tag aktiv sein wollen, arbeiten die meisten Click-Farmer im Drei-Schicht-System unter schrecklichen Arbeitsbedingungen, bedienen Hunderte von Geräten auf einmal und dürfen keine Musik hören.
Obwohl es in vielen Ländern keine staatlichen Vorschriften gibt, die Click-Farmen illegal machen, verstoßen Click-Farmen gegen die Nutzungsbedingungen (ToS) vieler Werbe- und Social-Media-Netzwerke. Gelegentlich verstoßen sie auch gegen andere lokale Gesetze, wie das Beispiel eines im Juni 2017 in Thailand entdeckten Click-Farms zeigt. Drei chinesische Männer benutzten etwa 500 Smartphones und 350.000 SIM-Karten, um Ansichten und Likes für die chinesische Messaging-App WeChat zu verkaufen. Der Betrug ist in China strafbar, da nur ein Telefon mit einem WeChat-Konto verbunden sein darf.
Du kannst dir ein Bild einer Click-Farm im folgenden Video machen:
Bot-Angriffe auf PPC-Kampagnen von Mitbewerbern
Während die zuvor erwähnten Methoden darauf abzielten, den Betrügern Geld zu generieren, können Bots auch verwendet werden, um Mitbewerbern zu schaden. Verschiedene Marktplätze versprechen ihren Kunden, die Fähigkeit zu besitzen, Anzeigen von Wettbewerbern daran zu hindern, zu erscheinen, indem sie einfach deren tägliches Limit erschöpfen oder so viel Geld verwenden, dass das Unternehmen das Werben komplett einstellen muss.
Anbieter solcher Marktplätze sind oft Hacker und Betreiber eines Botnetzes und werden im Voraus über Kryptowährungen bezahlt. Die Kosten reichen von $10 für 10 Werbeflächen in einem Zeitraum von 24 Stunden bis $1.000, um einen Konkurrenten endgültig aus der Szene verschwinden zu lassen.
Die zuvor erwähnte Autoclicker-Software kann auch für diesen Betrug verwendet werden. Statt auf Anzeigen auf eigenen Websites zu klicken, wird die Software einfach auf die PPC-Kampagnen der Mitbewerber losgelassen.
CAPTCHA-Lösungs-Tools und -Farmen
Captchas. Die Erfindung des Internets, um Bots auszuschließen und herauszufinden einmal und für immer „ob du ein Mensch bist“. Aber wie es mit allen Sicherheitsmaßnahmen ist, gibt es auch Anbieter für captcha-Lösungen, die versprechen, sie automatisch umgehen zu können.
Einige der sogenannten „captcha-solving farms“ verlassen sich auf echte Menschen, während andere nur optische Zeichenerkennung (OCR) verwenden, um den Inhalt der von der Captcha bereitgestellten Bilder zu bestimmen. Preise reichen von $0.4 bis $7 für das Lösen von 1.000 Captchas, wobei jede Captcha zwischen 1 und 10 Sekunden benötigt, um gelöst zu werden.
Ähnlich wie Click-Farmen leben Menschen, die für captcha-solving farms arbeiten, hauptsächlich in Entwicklungsländern wie Venezuela, Indonesien, Vietnam und Indien.
Durch die Verwendung der API dieser Dienste ist es möglich, Bots zu codieren, die automatisch Fake-Accounts auf verschiedenen Plattformen erstellen. Das folgende Video zeigt die vollautomatisierte Erstellung eines Accounts auf Reddit mit einem Headless Chrome-Browser (via Puppeteer) und dem captcha-Lösungsdienst 2Captcha:
In Verbindung mit Werbebetrug könnten solche Dienste verwendet werden, um eine Autoclicker-Software auf Websites, die den Traffic als verdächtig eingestuft und eine Captcha angezeigt haben, zuzulassen.
Fazit
Zusammenfassend gibt es mehrere Methoden, die Betrüger nutzen, um Werbebetrug zu begehen. Es ist erwähnenswert, dass alle in diesem Artikel präsentierten Tools und Techniken gegen die Nutzungsbedingungen der meisten Werbetreibenden verstoßen. Google warnt beispielsweise explizit vor der Verwendung von Klick-Bots oder der Bereitstellung von Nutzeranreizen zum Klicken auf Anzeigen in ihrem Hilfezentrum:
„Es gibt viele Dienste, die den Traffic zu deiner Website erhöhen können, darunter Pay-per-Click-Lösungen, um Werbetreibende und Publisher zu verbinden, sowie Suchmaschinen und Verzeichnisse. Allerdings haben wir festgestellt, dass einige dieser Dienste tatsächlich künstlichen Traffic zu Websites senden, trotz ihres Erscheinungsbildes. Um die erwarteten Traffic-Level ihrer Kunden zu erreichen, generieren diese Dienste oft Klicks und Impressions mithilfe von Klick-Bots oder durch Anreize für Nutzer, Websites zu besuchen oder auf Anzeigen zu klicken. Aus diesem Grund raten wir dir dringend zur Vorsicht beim Partnern mit Dritten-Traffic-Diensten.“
Wenn du es mit deiner Werbung ernst meinst, verwende keines dieser Tools und Techniken unter keinen Umständen.
