Klickbetrug (englisch auch Click-Fraud) ist seit Jahren ein immer wiederkehrendes Thema im Internet. Mit dem Begriff werden allgemein betrügerische Klicks bezeichnet, die die Vergütung von Werbemittel-Einblendungen künstlich verändern. Die Klickbetrüger wollen sich selbst bereichern und oder Konkurrenten gezielt schädigen. Die fingierten Klicks werden entweder manuell oder durch spezielle Software ausgelöst. Besonders beim Keyword Advertising (z. B. Google Adwords, Yahoo-Search-Marketing) kommt es zur Manipulation der Klicks.

Die bezahlten Textanzeigen in der Suche, die über Google Adwords nach Eingabe bestimmter Suchbegriffe zusammen mit den Suchtreffern angezeigt werden, sind dabei nicht das einzige (offensichtliche) Ziel, sondern besonders die Anzeigenschaltung in Googles Content-Netzwerk. Klickbetrüger nutzen gezielt diese Anzeigen im Suchnetzwerk, um durch fingierte Klicks Mitbewerber zu schädigen.

Der Anzeigenkunde zahlt bei erfolgreichem Betrug nicht nur für Klicks, die von der tatsächlichen Zielgruppe ausgelöst wurden, sondern wird auch um einen erheblichen Teil seines Tagesbudgets gebracht. Durch das Tagesbudget legt der Anzeigenkunde fest, wie hoch die maximalen täglichen Ausgaben für die Anzeigenschaltung - und somit für die Klicks - sind. Ist das Budget verbraucht, erscheinen die Anzeigen bis zum folgenden Tag nicht mehr. Der Klickbetrüger klickt also - in der Theorie - "einfach" so oft auf die entsprechende Anzeige, bis deren Tagesbudget erschöpft ist und sie nicht mehr angezeigt wird.

Auch im Contentnetzwerk - also allen Websites, die am Google Adsense Programm teilnehmen -, platziert Google Werbeanzeigen zusätzlich auf Webseiten von Werbepartnern, deren Inhalte zur Werbeanzeige passen. Die Webseitenbetreiber erhalten für die Schaltung der Google Werbeanzeigen eine Provision - hier ist also ebenfalls genug Potential und Anreiz, sich durch Klickbetrug höhere Einnahmen für die eigene Website zu verschaffen. Klickbetrüger organisieren sich mittlerweile sogar in umfangreichen Netzwerken, um die Einnahmen durch fingierte Klicks auf bestimmt Themen künstlich in die Höhe zu treiben. Der Webseitenbetreiber erhält bei Erfolg deutliche Mehreinnahmen für die Anzeigenschaltung auf seinen Sites.

Der (erfolgreiche) Kampf gegen ungültige Klicks

Natürlich ist es nicht im Interesse von Google, solche Betrugsmethoden zu ignorieren, denn es ist schlecht für das eigene Geschäft. Um Kunden die Angst vor ungültigen Klicks zu nehmen, werden zahlreiche Schutzmechanismen bei Google genutzt, um ungültige Klicks zu erkennen und die dadurch entstandenen Kosten möglichst unmittelbar wieder dem Tagesbudget zuzufügen. Die gute Nachricht heißt also: Wenn sich Ihr Wettbewerber wirklich hinsetzt, um Ihre Anzeigen durch ständige Klicks verschwinden zu lassen, dann wird er damit keinen Erfolg haben. Bei der Erkennung ungültiger Klicks helfen viele Informationen wie Cookies, die IP, der eingesetzte Browser, die Frequenz, in der Klicks erfolgen und so weiter. Es ist also nicht ganz so einfach, manipulierte Klicks "natürlich" wirken zu lassen und die Muster- und Angreifererkennung in den modernen Werbesystemen werden ständig besser.

Ende Mai bei Google in Zürich gab es zu den Maßnahmen gegen Klickbetrug einen hoch interessanten Vortrag ...

Schließlich ist nicht nur das Werbeprogramm von Google durch diese Gefahr bedroht, sondern generell alle CPC-basierende Systeme. Und so sind die meisten Fälle von Klickbetrug entweder unmittelbar oder nachträglich (durch automatisierte Auswertung längerer Zeiträume) aufzudecken, so dass Betreiber von Onlinewerbeprogrammen in der Lage sind, die angefallenen Kosten zu vergüten.

Wenn Sie z. B. einen Kontobericht im Adwords-Konto erstellen, haben Sie die Möglichkeit, zwei weitere Spalten hinzuzufügen: Rate ungültiger Klicks und Ungültige Klicks:

In zukünftigen Kontoberichten werden die (erkannten) ungültigen Klicks dann separat ausgewiesen:

Und Klickbetrug ist nicht immer wirklich "echter Klickbetrug", da es ja durchaus im Google-Adwords-Konto viele Möglichkeiten gibt, sehr unqualifizierte Besucher anzulocken ...

Eine neue Bedrohung: Clickjacking

Inzwischen nimmt der Klickbetrug jedoch neue Formen an wie zum Beispiel das so genannte Clickjacking. Auf das Problem aufmerksam gemacht haben die Sicherheitsforscher Robert Hansen (CEO bei SecTheory) und Jeremiah Grossman (Chief Technology Officer (CTO) bei WhiteHat Security), die bei einer Reihe von Browsern, Webseiten und gängigen Plug-ins kritische Sicherheitslücken entdeckten. Das Problem, welches sicher nicht nur in der Theorie existiert, ist so brisant, dass man einen bereits angekündigten Vortrag darüber (werbewirksam) abgesagt und sich zunächst Zeit ausgebeten hatte, bis Hersteller Nachbesserungen und Patches bereitstellen können.

Aber auch nach der verzögerten Veröffentlichung der Methode sind nach wie vor fast alle Browser und viele Webseiten anfällig für Clickjacking Attacken. Beim Clickjacking handelt es sich um den gezielten Missbrauch von Klickentscheidungen möglichst vieler unterschiedlicher Besucher, die ein "natürliches" Klickprofil bieten und damit das Hauptproblem aller Klickbetrüger lösen, denn Klicks kommen hierbei von vielen unterschiedlichen Systemen, aus verschiedensten Browsern und zahlreichen "eindeutigen Benutzern". Ein "entführter" Klick kann dabei aber nicht nur für fingierte Anzeigenaufrufe verwendet werden, sondern noch weitaus verhängnisvollere Auswirkungen (für denjenigen, der den Klick ausführt) haben.

Beim Clickjacking wird ein verstecktes bzw. transparentes Element mit einer "eingefangenen" Website über den sichtbaren Inhalt der "anlockenden" Webseite gelegt. Der Besucher einer solchen Webseite meint so z. B. ein Spiel zu spielen, einen Downloadlink anzuklicken oder ein Bedienfeld für einen Videoplayer o. Ä. zu bedienen. Der Klick wird auch ausgewertet und alles funktioniert so, wie der Besucher es erwartet - durch die unsichtbare, in Frames eingefangene und passend positionierte zusätzliche Site können aber beliebige andere Aktionen "parallel" dazu durch den Klick ausgelöst werden. So kann entweder ein Anzeigenblock aus einer Website des Angreifers unsichtbar mit Klicks versorgt werden... oder wie im Beispiel die browsergesteuerte Administrationsoberfläche des Flash-Players, so dass nach ein paar Klicks unwissentlich die Kamera und das Mikrofon des angegriffenen Rechners aktiviert werden.

Während die Sicherheitslücke aus der ursprünglichen Präsentation der Methode im FlashPlayer inzwischen behoben ist, können weder das Einfangen in iFrames noch Transparanz bei der Darstellung, welche Bestandteile dieser Betrugsmethode sind, einfach so "verboten" oder von allen Browsern ignoriert werden. Klickbetrüger erzielen daher auf diese Weise auch heute noch theoretisch beliebig steuerbare Mausklicks oder Eingaben, die dem Nutzer gar nicht bewusst sind. Neben Betrug durch fingierte Anzeigenklicks ist auch der unbemerkte Download von Schadsoftware denkbar, um zum Beispiel Firewalls zu unterwandern oder den Rechner und angeschlossene Geräte wie im oben genannten Beispiel zu manipulieren, ohne dass der Besitzer des Rechners es bemerkt.

Namenhafte Anbieter wie Mozilla arbeiten nach wie vor mit Hochdruck an der Schließung der Sicherheitslücken. Schon heute bietet die Firefox Erweiterung "NoScript" ab der Version 1.8.2.1 eine so genannte "ClearClick" Funktion, bei der verborgene oder transparente Elemente sichtbar gemacht werden, um Clickjacking - Versuche auf besuchten Websites aufzudecken.

Als AdWords-Benutzer können Sie dennoch relativ sicher sein, das kein Clickjacking durch einen Wettbewerber eingesetzt wird, um Ihr Tagesbudget zu torpedieren, denn die Hürden sind deutlich höher als bei ein paar Klicks in den Suchergebnissen bei Google. Im Content-Netzwerk sieht das schon etwas anders aus, denn hier ist je nach Thema und Keyword die Chance vorhanden, dass Ihre Anzeigen auf einer Seite erscheinen, die durch Clickjacking durch einen kriminellen Betreiber manipuliert werden. Aber auch hier muss der Betreiber ein unauffälliges und für andere Besucher attraktives Angebot haben, mit dessen Hilfe er die Klicks "einfangen" kann - Klickjacking hat also auch seine Grenzen und besitzt seine Tücken. Zwar sollten Sie bei selbst betreuten AdWords-Kampagnen im Content-Werbenetzwerk regelmäßig einen Bericht über die Schaltung auf unterschiedlichen Domains anfertigen und nach Auffälligkeiten suchen... das machen Sie aber zur Eliminierung von Sites, die nur Klicks und keine Conversions bringen, ja bestimmt ohnehin schon immer 😉