Anzeige wegen einer Anzeige

Ich berichte nun schon einige Jahre über Online-Werbung und manches begreife ich einfach nicht. Zum Beispiel: Warum gibt es immer noch „Rogue Redirects“ – also auf Websites eingeschmuggelte Werbeskripte, die den Nutzer auf einer fremde Betrugs-Website umleiten?

Ich habe im vergangenen Jahr schon mal über die Nerv-Pop-Ups berichtet. Und viele andere haben es auch getan. Doch obwohl eigentlich jeder Marktteilnehmer über die Masche Bescheid weiß, klappt sie immer noch. Es ist auch furchtbar einfach: Man bucht unter falschem Namen Werbeplätze auf mehr oder weniger renommierten Websites und sobald die Auslieferung beginnt, schiebt man dem Werbe-Netzwerk eine kleines Zusatz-Skript unter.

Als Nicht-Branchen-Insider nahm ich an, das Thema wäre schnell gegessen. Wenn Google, Appnexus und Co endlich mal auf den Dreh gekommen sind und auf die Dringlichkeit des Problems hingewiesen werden, dann basteln sie schnell einen Filter. Dieser Filter muss ja nichts besonderes können. Er muss nur die Frage beantworten: Öffnet dieses Skript ohne Nutzerinteraktion eine neue Website, die wir nicht kennen? Doch niemand programmiert diesen Filter und schaltet ihn frei. Und so geht es immer weiter. Mal werden Schrott-Apps verhökert, mal werden die persönlichen Daten der Opfer meistbietend verkauft.

Was auch erschreckend ist: Das Schweigekartell. Ich habe Dutzende von Firmen drauf angesprochen, wieso denn solche Betrug seit Jahren toleriert wird. Auch viele Medien, die diese zutiefst rufschädigenden Skripte auf ihren Webseiten ausgeliefert hatten, schweigen zu den an sich sehr einfachen Fragen: Woher kam die Anzeige? Und was wollt ihr dagegen tun?

Heute habe ich mal eine neue Methode ausprobiert. Als ich von der Website des Kölner Stadt-Anzeigers auf eine Scareware-Website weitergeleitet wurde, die mir etwas von der Vireninfektion meines Computers vorgelogen hat und die mir irgendeine Adware installieren wollte, habe ich Strafanzeige gegen unbekannt gestellt.

Es wäre doch zu schön, wenn sich die nagelneuen auf Internetvergehen spezialisierten Kommissariate und Staatsanwaltschaften mal diesem Problem widmen, das nur existieren kann, wenn die Betrüger tagtäglich tausende Opfer finden, wenn in der langen Lieferkette der Online-Werbung niemand Identitäten der Kunden überprüft. Ich wünsche mir, dass bei den Firmen endlich Ermittler anrufen, denen es egal ist, wenn die Beihilfe zum Betrug durch Non-Disclosure Agreements abgedeckt ist. Und die auch zur Vernehmung vorladen können. Denen ein „Passiert garantiert nicht wieder“ nicht reicht, sondern ein wenig Druck machen. Es müsste ja gar nicht so viel Druck sein. Nur so viel, dass es sich nicht mehr rechnet den kriminellen Abschaum der Werbebranche auf seine Plattformen zu lassen.

Leave a comment

8 Comments.

  1. Das mit dem Filter ist mindestens „nicht so einfach“ und im schlimmsten Fall, wenn es der Ersteller des Scripts darauf anlegt, nicht möglich, ohne das Script in allen denkbaren Kombinationen auszuführen. Was wiederum ebenfalls unmöglich sein kann. Selbst für Stichproben braucht man Rechenzeit. Ohne testweise Ausführung sind wird schnell beim Halteproblem.

    Ich sehe für die Werbetreibenden aber ein weit größeres Problem, als diese gelegentliche Adware. Grad sind Cryptominer in Javascript populär. Teilweise bauen die Seitenbetreiber diese selbst ein, um mit der Rechenpower der Seitenbesucher Gewinn zu machen. Das wird früher oder später die Browser- und Antivirus-Anbieter auf den Trichter bringen, JavaScript generell kritischer zu behandeln. Bei einfach zu erkennenden Coin-Minern blockt Antivirus heute schon, und zwar gleich die ganze Webseite.

    • Pro ausgeliefertem Skript einmal den Test zu machen: Was passiert in Chrome? — das ist unmöglich?

      • Solche Scripte sind ja nicht statisch. Die könnten sich zum Beispiel anpassen, wenn sie raus finden, dass sie von einem IP-Bereich ausgeführt werden, der google gehört. Oder sie benehmen sich erstmal ein paar Wochen, bevor sie dann weitere Scripte nachladen. Man müsste die Tests also sehr oft machen, um aussagefähige Stichproben zu haben. Wahrscheinlich ist es schlicht günstiger, den eventuellen Schaden zu kompensieren. Ungefähr so wie die Kreditkarten-Firmen bei Betrug.

      • Mithos: Aber die Skripte liegen doch alle im Volltext vor. Wenn irgendeine der Bedingungen zu einem Endpunkt rogue direct führt — was ist daran so schwer zu erkennen? Es ist JavaScript.

      • „Volltext“ ist gut, trifft es aber nicht wirklich. Dynamisch nachgeladener Quellcode, der sich bei jedem Ladevorgang auf der Gegenseite ändern kann, so würde ich das eher beschreiben.

        Und im Endeffekt sind wir dann beim Halteproblem.
        https://de.wikipedia.org/wiki/Halteproblem

        Klar kann man im Einzelfall mal manuell nachvollziehen, was eine bestimmter Stapel JavaScript-Code macht. Aber das ist halt unglaublich aufwendig.

      • Guter Punkt. Mein Einwand wäre hier: Natürlich sollten auch alle dynamisch nachgeladenen Skripte geprüft werden, bevor sie ausgeliefert werden. Oder: Nur Skripte aus vorher bestimmten Quellen sollten nachgeladen werden können.

  2. „Ermittler“ können zwar „zur Vernehmung vorladen“, aber der Geladene muss der Einladung nicht folgen. Nur der Richter kann ein Erscheinen anordnen, dem man Folge leisten muss. Liest man doch immer wieder in den einschlägigen Law-Blogs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.