Ad-Fraud :
Neue Werbe-Betrugsvariante mit Smartphones kann Milliarden abschöpfen

Betrüger klonen jetzt echte Smartphones von echten Nutzern, um Werbekunden App-Installs vorzugaukeln. 

Text: Leif Pellikan

Ein dynamisch erstellter Stempel kann den potenziellen Milliardenbetrug stoppen.
Ein dynamisch erstellter Stempel kann den potenziellen Milliardenbetrug stoppen.

Extrem clevere Betrüger haben eine neue Methode entwickelt, um Werbungtreibenden noch perfider Geld aus der Tasche zu ziehen. Es geht dabei um Werbung für Apps - nach wie vor ein signifikant großer Teil der Anzeigen auf Smartphones. Bei dem Fall von Ad-Fraud greifen die Betrüger auf die Smartphones von realen Nutzern zu und täuschen einen Werbeklick und die folgende Installation einer App vor. Das perfide: Der gesamte Prozess erfolgt nur noch virtuell - niemand bekommt etwas mit. Auf die Schliche gekommen ist den Betrügern der Berliner Tracking-Dienstleiter Adjust

Nachdem für Werbung, die zur Installation einer App führt, etwa zwei bis fünf Euro gezahlt werden, ist das ein immens lukrativer Betrug. Die neue,virtuelle Variante lässt sich deutlich besser skalieren, als der Betrug über Klickfarmen, bei denen hunderte reale Handy in zumeist asiatischen Hinterhöfen aufgebaut werden. Der Fraud hat also das Potenzial, einer der größten Fälle in der jüngeren Zeit zu werden. Allein in den USA wurden 2017 laut Business Insider geschätzte 6,2 Milliarden Dollar für App-Install-Werbung ausgegeben. Der Anteil am mobilen Werbemarkt liegt bei etwa 25 Prozent. 

Laut Adjust betrifft das Problem die Anbieter von Apps mit fünf bis 80 Prozent der Installs. Je höher das Werbevolumen oder je höher die Preise, desto mehr seien Kunden betroffen. Adjust habe bei den Kunden, die untersucht wurden, auch noch keinen gefunden, der nicht Opfer wurde. Und Adust gilt mit mehr 5.000 Kunden als global als einer der größten Werbe-Tracking-Anbieter, dazu gehören  Online-Riesen wie YelpHRS und Spielefirmen wie Glu und Rovio (Angry Birds). Rund auf jedem zweiten Smartphone auf dieser Welt sind die Tools (SDKs) der Berliner präsent. 

Nur ist der Betrug extrem schwer nachzuweisen, was auch die Schätzung des Schadens unmöglich macht. Ursprünglich gefunden hatte den Trick eine Sicherheitsfirma, die Apps mit Hilfe von Adjust vertreibt. Das war im vergangenen März. Lange blieben die Fälle marginal. Doch Ende letzten Jahres sah sich Andreas Naumann, Fraud-Specialist bei Adjust, Ungereimtheiten bei einem Kunden an. Es war ein extremer Fall und Naumann brauchte eine Weile, um zu verstehen, dass die 20 Prozent, die nicht zu dem Rest passten, die echten Installationen waren und nicht die anderen 80 Prozent. 

Dieses sogenannten SDK-Spoofing (auch als Replay-Angriffe bekannt), hat keine Folgen für die Nutzer. Aber sie sind quasi Ausgangspunkt, weil sie eine App installiert haben, die entweder von den Betrügern stammt oder von ihnen manipuliert wurde. Diese liefert ein perfekte Abbild des Smartphones und wird virtuell kopiert. "Die Verbindung ist real, die Gerätedaten sind real, das Gerät ist real", sagt Naumann.

In der Folge können diese Geräte den Werbungtreibenden und deren Dienstleistern vorgaukeln, dass mit einem echten Telefon, das auch regelmäßig genutzt wird, auf einen Banner geklickt und eine App installiert wurde. Da die virtuellen Klone von tatsächlich existierenden Geräten als Quellen glaubwürdig sind, ist SDK-Spoofing nur schwer identifizierbar. Es gibt so gut wie keine Muster.

Fest steht nur der Weg des Geldes. Programmatic-Netzwerke schicken die Werbung auf einen Werbeträger der Betrüger. Das kann eine App oder auch eine Website sein. Dort wird dann virtuell geklickt. In der Folge zahlt der Werbungtreibende die Prämie an eine Agentur oder einen Dienstleister wie ein Netzwerk. Diese wiederum bezahlen die Betrüger. Nur wie gesagt, die Werbenetzwerke haben auch kaum Möglichkeiten, den Betrug zu entdecken. 

Aber es gibt eine Lösung. Naumann hat einige Wochen gebraucht, um bei Adjust einen sogenannten Signatur-Hash zu entwickeln. Er steht den Kunden, die die Sicherheitstools von Adjust nutzen, nun zur Verfügung. Es geht hierbei um einen neuen dynamischen Parameter, der nicht erraten oder gestohlen werden kann und jeweils nur einmal verwendet wird. Die Wahrscheinlichkeit für Betrug reduziert sich so über die Zeit hinweg drastisch. 


Autor:

Leif Pellikan
Leif Pellikan

ist Redakteur beim Kontakter und bei W&V. Er hat sich den Ruf des Lötkolbens erworben - wenn es technisch oder neudeutsch programmatisch wird, kennt er die Antworten. Wenn nicht, fragt er in Interviews bei Leuten wie Larry Page, Sergey Brin oder Yannick Bolloré nach.