Die Sicherheitsfirma White Ops hat eine Serverfarm entdeckt, die laut den Forschern für die bisher größte Online-Werbebetrugsaktion verantwortlich sein soll. Die Drahtzieher hinter Methbot, wie die Sicherheitsforscher die Infrastruktur getauft haben, sollen zwischen drei und fünf Millionen US-Dollar am Tag damit verdienen.

Die Betrüger haben unzählige Server aufgesetzt, die sich als Besucher ausgeben und auf Werbung klicken. Die Webseiten, auf denen die Werbung eingebettet ist, sind ebenfalls gefälscht. Die Betrüger kassieren das Geld von den Firmen, die die Werbung geschaltet haben – eine Betrugsmasche, die auch als Ad Fraud bekannt ist.

Ad Fraud scheint weit lukrativer zu sein, als Identitätsdiebstahl. (Bild: White Ops)

Damit haben die Kriminellen schätzungsweise dreimal so viel Geld am Tag verdient wie die Betreiber des ZeroAccess-Botnetzes, welches ebenfalls für Ad Fraud verwendet wurde. Wenn die Schätzungen von White Ops stimmen, haben die Methbot-Betrüger fast hundert Mal mehr Geld pro Tag eingefahren als die Avalanche-Drahtzieher zu ihren besten Zeiten.

Gefälschte IP-Adressen

Die White-Ops-Forscher konnten über eine halbe Million IP-Adressen ausmachen, die solche gefälschten Klicks ausgeführt haben. Insgesamt sollen die Betrüger die Möglichkeit haben, bis zu 300 Millionen solcher Klicks am Tag zu generieren – sie haben bisher wohl hauptsächlich mit gefälschten Klicks auf Video-Werbung betrogen. Die Klicks kommen von bis zu 8000 Servern in Rechenzentren, die über die gesamten USA verteilt sind.

Herkunftsanalyse des Traffics eines klassischen Botnetzes (oben) und der Methbot-Server (unten). (Bild: White Ops)

Um zu vertuschen, dass der Traffic aus Rechenzentren kommt (ein Alarmsignal, welches die betrogenen Werbenetzwerke schnell hellhörig gemacht hätte), haben die Methbot-Drahtzieher sich durch gefälschte Dokumente eine halbe Million IP-Adressen unter falschem Namen registriert. Die Registrierungsinformationen dieser IPs geben vor, von ISPs wie Verizon, Comcast oder anderen reserviert worden zu sein. Für die Werbenetzwerke sah es also so aus, als kommt der Traffic von normalen Endkunden-Internetanschlüssen.

Node.js-Fake-Browser

In Wirklichkeit kommen die Klicks von speziell geschriebenen JavaScript-Browsern, die darauf ausgelegt sind, den Traffic aussehen zu lassen, als säßen echte Nutzer hinter der Maus. Tausende dieser Node.js-Klickbots laufen auf redundanten Servern, die in den ganzen USA verteilt sind, um Ausfälle einzelner Mietserver zu kompensieren. Die Bots fälschen Bildschirmauflösungen, Browser-Plugins und andere Eigenheiten, um wie einzigartige Internetnutzer zu wirken.

Der Methbot-Traffic wurde zuerst vor ungefähr einem Jahr entdeckt, allerdings auf viel niedrigerem Niveau. Anfang Oktober stieg die Aktivität sprunghaft auf das jetzt beobachtete Level an (hier wurde Whiite Ops aufmerksam) und scheint momentan weiter zu laufen. White Ops gibt nach eigenen Angaben Daten über die Bots und gefälschte Werbeziele an betroffene Werbenetzwerke heraus, damit diese die Betrugsversuche stoppen können. (fab)