Diese unbekannte Fraud-Seite macht 1,5 Millionen US-Dollar pro Woche mit Fake-Video-Traffic

Torben Lux8.10.2015
michaelgolf.com featured

Wie erzeugt die Website michaelgolf.com 161 Millionen Video-Ad-Impressions in sieben Tagen?

michaelgolf.com Titel Fraud ist und bleibt ein Dorn im Auge der Adtech-Branche. Der noch junge Markt für Realtime Bidding, also für in Echtzeit gehandelte Werbekontakte, kämpft schon lange gegen Schrott-Traffic von dubiosen Seiten. Bei einigen Marktplätzen sollen bis zu 40 Prozent des gesamten Online-Werbeinventars nicht auf Herkunft und Echtheit überprüfbar sein. An einem aktuellen Beispiel wird wieder deutlich, welche enorme Ausmaße Fraud haben kann. Ein kleiner, unauffälliger Blog bietet plötzlich ein Inventar von krassen 161 Millionen Video-Ad-Impressions an, obwohl auf der Seite allem Anschein nach gar keine Werbung ausgeliefert wird, und verdient damit vermutlich bis zu 1,5 Millionen Dollar – pro Woche. Wie solche horrenden Zahlen entstehen und wie in diesem Fall die Wertschöpfungskette aussieht, erklären wir im heutigen Artikel.  

Adtech-Experte Mike Nolet

Adtech-Experte Mike Nolet

Bei der Seite, die aktuell vor allem im englischsprachigen Raum durch einen Artikel von US-Adtech-Experte Mike Nolet für Gesprächsstoff sorgt, handelt es sich um michaelgolf.com. Laut einem Nolet zugeschickten Screenshot vom Doubleclick Ad Exchange soll der unbekannte Golf-Blog deutlich auf dem ersten Platz stehen, wenn es um Video-Inventar geht. Demnach generierte die Seite in einer Woche 161 Millionen Video Impressions zu einem durchschnittlichen TKP von 9,16 Dollar, was einen theoretischen Umsatz von 1.474.760 Dollar bedeuten würde. Innerhalb von sieben Tagen, wohlgemerkt. Falls man bei diesen Zahlen noch nicht stutzig wird, stolpert man wohl spätestens über die Zahl der Unique User. 906.000 Nutzer sollen pro Woche 161 Millionen Video Views generieren, im Durchschnitt also jeder etwa 177. Hier wird es dann endgültig absurd.

Ein riesiges Inventar von verfügbaren Video-Impressions und keine einzige Video-Ad

Beim Besuch der Seite michaelgolf.com wird dann auch sehr schnell deutlich, dass das Portal nicht im Ansatz über so viel Inventar verfügt und es sich um Fraud im großen Stil handeln dürfte. Warum gibt es auf einer Seite mit angeblich 161 Millionen Video Views pro Woche keine einzige Video Ad in den eingebundenen Playern? Das fragt sich auch Mike Nolet und sucht weiter. Ein weiterer deutlicher Hinweis: Die angezeigten Display Ads von teilweise großen Brands wie Nike laufen nicht wie üblich auf einem externen Ad Server, sondern direkt auf michaelgolf.com, verfügen meistens über keine Trackingparameter und leiten direkt auf die Homepage des jeweiligen Unternehmens. Zu guter Letzt lässt sich bei einer schnellen Google-Suche beispielsweise nach dem Teaser des Artikels „How to do Foil Fencing“ feststellen, dass der Content nicht gerade einzigartig ist und eins zu eins auf zahlreichen anderen Portalen zu finden ist. Der Fall ist ziemlich klar: Die Seite ist ein großer Fake und verkaufte Werbeplätze bekommt wohl nie ein Mensch zu sehen.

Nach einer Reverse-IP-Suche stößt Nolet auf zahlreiche weitere Seiten unter der identischen IP-Adresse wie yourlocalphone.com, autoleverage.com, healthcookware.com usw. Und alle Seiten haben mehrere Dinge gemeinsam: sehr ähnliches Layout, Display Ads, die nicht über einen Adserver laufen und keine Trackingparameter enthalten und absolut keine Video Ads.

Besonders spannend ist auch der Blick auf den Traffic von michaelgolf.com. Laut SimilarWeb ging die Seite erst im März diesen Jahres an den Start und hatte ihren Höhepunkt mit rund 2,5 Millionen Visits direkt im Mai, im August sollen es noch knapp 900.000 gewesen sein. 62,25 Prozent des Traffics käme laut des Statistikdienstes über Referrals, 31,92 Prozent über Display Ads. Die detaillierte Aufschlüsselung des Referral-Traffics zeigt, dass der Großteil über Pornoseiten und Popup-Networks generiert wird. Auch taucht michaelgolf.com im Zusammenhang mit Adware auf.

Das sind laut SimilarWeb die Referring Websites von michaelgolf.com.

Wie kauft ein Advertiser versehentlich Inventar auf michaelgolf.com?

Mit der Hilfe eines Freundes schaut sich Mike Nolet auch sehr genau den Code der Seite an und stößt auf eine Java Script-Datei. Nolet vermutet, michaelgolf.com „verstecke“ sich mit Hilfe von Umleitungen und falschen IP-Adressen vor Fraud-Detektoren und passe das Verhalten der Seite je nach Besucher an. Wenn Google beispielsweise der Referrer ist, wird der Nutzer per Redirect von der Seite weggeschickt (einfach per Google-Suche nach „michaelgolf.com“ und Klick auf die Seite nachvollziehbar).

Bei der weiteren Recherche stößt Mike Nolet im Zusammenhang mit michaelgolf.com auf zwei Seiten, die direkt auf das Fraud-Portal verweisen (wobei er nicht mit Sicherheit sagen kann, ob nicht auch diese Fraud-Opfer sind). Monkeysee.com, vom Anbieter von Video-Content Envisiant, und grabnetworks.com von Grab Media, was zur Blinkx group gehört. Mit der Blinkx group hat sich in der Vergangenheit auch schon Harvard-Professor Ben Edelman beschäftigt und das Netzwerk mit klaren Worten mit qualitativ minderwertigem Traffic, unsichtbaren Ads und Fraud in Verbindung gebracht. In der Folge ging der Aktienkurs von Blinkx um 21 Prozent runter. Ein Kommentar unter Nolets Artikel zweifelt eine Verbindung in diesem Fall aber an.

Durch ein extrem kompliziertes Geflecht zur Buchung auf michaelgolf.com

Als Reaktion auf den Artikel von Mike Nolet stieg zuletzt auch OpenX-Gründer Scott Switzer mit einem eigenen Beitrag auf Medium in die Diskussion ein und erklärte anhand eines Audit Trails (sozusagen die Dokumentation eines ausgelieferten Banners), welche Player wie in der Wertschöpfungskette auf michaelgolf.com beteiligt sind. Neben einer vermutlich der Verwirrung dienenden kryptischen, zwischengeschalteten URL taucht außerdem die Domain breastenhances.com auf. Gleich zweimal ist bei diesem Beispiel Appnexus als Exchange im Spiel. Die von Switzer verwendete Software Authenticated Digital (seine aktuelle Gründung) warnt jeweils an dieser Stelle automatisch, weil URLs und Trackingcodes nicht zusammenpassen. Switzer betont, dass diese bestimmte Auktion auf jedem anderen Exchange von Rubicon Project, OpenX etc. hätte stattfinden können und Appnexus hier keine Schuld trifft.

Audit Trail für eine Anzeige auf michaelgolf.com (Authenticated Digital).

Audit Trail für eine Anzeige auf michaelgolf.com (Authenticated Digital).

Der Autor des ursprünglichen Artikels auf Linkedin, Mike Nolet, war übrigens Mitgründer und langjähriger CTO von Appnexus, immerhin einem der größten Player am RTB-Markt. Das hochfinanzierte Unternehmen war im Zusammenhang mit Fraud auch schon Thema bei uns. Bis zu 40 Prozent Fake-Traffic hätte das Netzwerk gegen Ende letzten Jahres angeblich ausgeliefert, man wäre damit aber kein Einzelfall und setzte alles daran, Fraud zu unterbinden. Nolet, der sich seit seinem Abschied von Appnexus Ende 2013 etwas aus der Branche zurückgezogen hatte, meldete sich erst vor kurzem auf seinem ursprünglichen Twitterprofil zurück und hat scheinbar direkt wieder Gefallen an Adtech-Themen gefunden. Sein dritter Artikel nach dem Comeback, die er alle auf Linkedin veröffentlicht hat, macht ziemlich deutlich, welches Ausmaß Fraud immer noch haben kann. Google hat währenddessen schon reagiert und deutlich gemacht, dass Advertiser den Traffic, der auf michaelgolf.com gelandet ist, nicht bezahlen müssen.

Danke an Erik Siekmann von Digital Forward für den Hinweis!

Torben Lux
Autor*In
Torben Lux

Torben ist seit Juni 2014 Redakteur bei OMR. Er schreibt Artikel und Newsletter, plant das Bühnenprogramm des OMR Festivals, arbeitet an der "State of the German Internet"-Keynote, betreut den OMR Podcast und vieles mehr.

Alle Artikel von Torben Lux

Ähnliche Artikel

Aktuelle Stories und die wichtigsten News für Marketeers direkt in dein Postfach!
Zeig mir ein Beispiel