Was ist Domain Spoofing und wie funktioniert es?

Headshot of Oliver Kampmeier

Oliver Kampmeier

Cybersecurity Content Specialist

Damit eine Werbekampagne erfolgreich ist, müssen Werbetreibende sicherstellen, dass ihr Werbebudget bestmöglich eingesetzt wird und möglichst viele echte Menschen erreicht. Doch Betrüger lauern überall und so gibt es eine Vielzahl an Akteuren, die einen Teil des Werbebudgets abschöpfen möchten.

Eine seit Jahren beliebte Betrugstechnik ist das sog. “Domain Spoofing”. Was es damit genau auf sich hat, welche verschiedenen Ausprägungen es gibt und wie Sie als Werbetreibender Ihr Werbebudget davor schützen können, erfahren Sie im folgenden Artikel.

Was ist Domain Spoofing und wie funktioniert es?

Domain Spoofing ist eine weitverbreitete Technik, die von Betrügern eingesetzt wird, um Werbebudget abzuschöpfen. Dabei werden Websites von minderer Qualität erstellt, die sich als bekannte Websites ausgeben und oftmals eine exakte Kopie derer darstellen. Auf den ersten Blick ist die gefälschte Website nur sehr schwer vom Original zu unterscheiden.

Betrüger melden die gefälschten Websites bei verschiedenen Werbenetzwerken an, geben sie als Premium-Inventar aus und binden Display- und Videoanzeigen auf ihnen ein. Anschließend benutzen sie Bot-Traffic, der mit den Anzeigen interagiert, um schlussendlich eine Auszahlung zu erhalten.

Das Vorgehen klingt simpel und effektiv, und das ist es auch. Werbetreibende zahlen für diesen vermeintlichen Premium-Traffic, sehen aber nie eine Conversion oder die erhofften Branding-Effekte.

Die Gründe, warum Domain Spoofing eingesetzt wird, sind vielfältig:

  • Um durch minderwertigen bzw. automatisierten Bot-Traffic Anzeigenbetrug zu begehen
  • Um die Herkunft des Traffics zu verschleiern, wenn die Website illegale oder unerwünschte Inhalte hat
  • Um Phishing zu betreiben
  • Um Malware / Spyware zu verbreiten
  • Um persönliche Informationen zu stehlen

Welche Arten von Domain Spoofing gibt es?

Beim Domain Spoofing kann man zwischen einfachen und komplexeren Methoden unterscheiden.

Bei einfachen Domain-Spoofing-Methoden werden Websites gefälscht, indem sie 1:1 kopiert und unter einer neuen Domain verfügbar gemacht werden.

Komplexere Methoden beinhalten die Fälschung einer E-Mail-Adresse, die Verbreitung von Malware über eine Website oder das Abgreifen persönlicher Informationen.

Website / URL-Spoofing

Die einfachste Art von Domain Spoofing. Betrüger übermitteln dem Ad Server eine URL eines echten, hochwertigen Publishers. Werbetreibende denken, dass ihre Anzeige auf einer echten Website wie forbes.com ausgespielt wurde, in Wirklichkeit wurde die Anzeige aber auf einer gefälschten Website angezeigt.

Ein weiterer Weg, wie Betrüger eine legitime Website nachahmen können, ist die Nutzung von Unicode-Zeichen in der Domain. Unicode ist ein internationaler Standard für die Zeichenkodierung, der für jedes Zeichen in allen Sprachen und Schriften eine eindeutige Nummer vorsieht, sodass fast alle Zeichen plattform-, programm- und geräteübergreifend zugänglich sind.

Beispielsweise ist der Buchstabe „h“ vom Unicode-Zeichen „һ“ (Shha in Unicode) optisch kaum zu unterscheiden. Betrüger machen sich dies zunutze und registrieren Domains für ihre gefälschten Websites, die dem Domainnamen von legitimen Websites ähneln.
Eine Liste über optisch ähnliche Unicode-Zeichen kann man hier finden.

Cross-domain embedding

Diese Methode macht von iFrames gebrauch. Ein iFrame ist ein HTML-Element, mit dessen Hilfe fremde Inhalte in einer Website eingebunden werden können. Diese Inhalte können z.B. Bilder oder Videos sein, allerdings lassen sich damit auch ganze Websites in andere Websites einbinden.

Durch die Einbindung einer hochwertigen Website in einem iFrame in eine gefälschte Website, kann es für Werbetreibende so aussehen, als wäre ihre Werbung auf der höherwertigen Website ausgespielt worden.

Malware

Mithilfe infizierter Apps oder Browser-Erweiterungen können Betrüger ohne Wissen des Users Werbung in Websites und Apps einschleusen.

Die Funktionsweise ist dabei sehr einfach: Öffnet ein User eine infizierte App, werden im Hintergrund unsichtbare Werbebanner geladen, die anschließend automatisch angeklickt werden. Jeder Klick auf eine Werbeanzeige bringt den Betrügern Geld ein.

Eine Betrugsmasche, die auf diesem Prinzip aufbaute, war Zacinlo. Die Malware führte unter anderem betrügerische Browserumleitungen durch, erzeugte gefälschte Klicks auf Online-Anzeigen in versteckten Browserfenstern und tauschte auch Anzeigen, die auf natürliche Weise im Browser des Opfers geladen wurden, mit den Anzeigen der Angreifer aus, damit diese die Werbeeinnahmen kassieren konnten.

Domain Spoofing Beispiel

Warum ist Domain Spoofing auch im Jahr 2023 noch ein sehr großes Problem?

Um es einfach zu sagen: Weil Betrüger damit sehr schnell sehr viel Geld verdienen können.

Noch nie war es einfacher auf automatisierte Weise eine bestehende Website zu kopieren, sie mit Werbemitteln auszustatten und anschließend über Bot-Traffic und Fake Klicks Geld zu verdienen. Wie einfach es auch für nicht allzu technisch versierte Menschen ist, hat eine CNBC-Reporterin vor einiger Zeit eindrucksvoll festgehalten. Innerhalb weniger Tage konnte sie ihre gefälschte Website bei diversen Werbenetzwerken monetarisieren.

2017 untersuchte die Financial Times das Ausmaß der gefälschten Domains, die sich in verschiedenen Werbenetzwerken als sie selbst ausgaben. Das Ergebnis: der Wert des betrügerischen Anzeigeninventars betrug etwa 1,3 Millionen Dollar im Monat.

Methbot war vor einigen Jahren eines der größten Werbebetrugssysteme. In der Spitze wurden pro Tag bis zu 400 Millionen Videoanzeigenaufrufe, 6.000 Domains und über 250.000 URLs gefälscht. Die Betrüger konnten so am Tag bis zu 3 Millionen Dollar verdienen, unter anderem durch Domain Spoofing.

In unserer Übersicht der größten Fälle von Anzeigenbetrug der letzten Jahre wird schnell klar, dass Domain Spoofing als Betrugstechnik sehr weit oben steht und unzählige Betrüger damit bereits Millionenbeträge erbeutet haben.

Tipps zur Erkennung von Domain-Spoofing

Domain Spoofing kann das Werbebudget schnell erschöpfen. Nachfolgend einige Tipps, wie Sie Domain Spoofing erkennen können.

Manuelle Überprüfung der Reports

Überprüfen Sie regelmäßig Ihre Placement-Reports und halten Sie Ausschau nach Unstimmigkeiten in den Domainnamen und URLs. Das können zusätzliche Buchstaben oder Ziffern sein. Ein besonderes Augenmerk sollten Sie auf die zuvor genannten Unicode-Zeichen haben, die sich leicht mit anderen Buchstaben verwechseln lassen.

Eine manuelle Überprüfung ist allerdings in den meisten Fällen sehr aufwendig und besonders bei großen Werbekampagnen mühsam und zeitaufwendig.

Deshalb empfiehlt es sich von vornherein Werbung nur auf ausgewählten Domains zu schalten, die zuvor in einer Allow- / Inclusion-Liste festgehalten wurden.

Ads.txt verwenden

Das im Mai 2017 vom IAB Tech Lab gestartete Projekt Authorized Digital Sellers zielt darauf ab, verschiedene Arten von Anzeigenbetrug zu bekämpfen, vor allem Domain-Spoofing und illegale Inventar-Arbitrage.

Ads.txt ist eine einfache Textdatei, die Informationen darüber enthält, welche Unternehmen digitales Inventar auf einer bestimmten Domain verkaufen dürfen. Da sie nur vom Webmaster einer Domain erstellt und geändert werden kann, gelten die Informationen der Datei als gültig und authentisch.

Auch wenn eine vorhandene ads.txt-Datei Domain Spoofing nicht zu 100% unterbinden kann, bietet sie dennoch einen weiteren Layer an Schutz – vorausgesetzt, die Datei wurde vom Publisher korrekt implementiert und wird regelmäßig gepflegt.

Schalten Sie also Ihre Werbung nur auf Domains, die eine ads.txt Datei vorweisen.

Verwendung einer Fraud Detection Software

Sowohl manuelle Maßnahmen als auch der Einsatz von ads.txt können Sie im Kampf gegen Domain Spoofing nur bedingt schützen. Damit können Sie sich leider nicht vor allen Angriffen wie z.B. dem Cross-domain embedding schützen.

Deshalb empfehlen wir Ihnen den Einsatz einer Fraud Detection Software, die Sie in Echtzeit vor Domain Spoofing und vielen weiteren Betrugsmaschen schützt.

fraud0 schützt Sie vor Domain Spoofing, indem verschiedene Merkmale der Domain analysiert werden. So kann unser System u.a. feststellen, ob die Anzeige in einem iFrame dargestellt wird (inkl. Reporting der iFrame- als auch Haupt-URL) und ob die übermittelte URL auch tatsächlich die URL ist, auf der das Werbemittel ausgespielt wurde.

Zudem bewahrt unser System Sie auch davor, Ihre Werbung neben unsicheren und unangemessenen Inhalten (z.B. Fake News, radikale politische Inhalte, terroristische oder sexuell sensible Websites) zu platzieren und schützt dadurch Ihre Brand Reputation.

Überzeugen Sie sich selbst und melden Sie sich für eine kostenlose 7-tägige Demo-Version an.

Inhalt
Neustes Whitepaper
Cover of the report "Unmasking the Shadows: Invalid Traffic 2024"
Unmasking the Shadows: Invalid Traffic 2024

Erfahren Sie alles, was Sie über Invalid Traffic 2024 wissen müssen, basierend auf den Daten unserer Kunden. Einschließlich einer Aufschlüsselung nach Marketingkanälen, Branchen und vielem mehr.

Newsletter abonnieren
Artikel teilen
Wie viel Werbe­budget verschwenden Sie an Fake Traffic?
1%, 4%, 36%?
Testen Sie fraud0 7 Tage lang kostenlos und finden Sie es heraus. Keine Kreditkarte erforderlich.
4.8/5
4,9 von 5 Sternen
Möchten Sie eine Tour von fraud0?
7 Tage lang kostenlos testen
Keine Kreditkarte erforderlich.

Sie haben bereits einen Account? Log in

Try fraud0 for 7 days
No credit card required.

Already have an account? Log in