Was ist eigentlich Ad Injection und wie wird damit abgezockt?

Das halbe Land ist betroffen, man hört den Begriff in der Branche immer wieder und trotzdem weiß kaum jemand, was Ad Injection eigentlich ist

Wer kennt nicht den Frust, wenn man feststellt, dass auf einmal irgendwelche Suchmaschinen im Browser voreingestellt sind, von denen man noch nie etwas gehört hat. Oder, dass auf Bannerflächen von ganz normalen Websites auf einmal kuriose Anzeigen ausgespielt werden bzw. Seiten, die sonst keine Werbemittel nutzen, plötzlich voll davon sind? Mit größter Wahrscheinlichkeit hat man sich dann aus Unachtsamkeit eine unerwünschte Software installiert, die jetzt fest im Browser hängt und die Zugriff auf den eigenen Rechner zu haben scheint. „Ad Injection“ ist der Name dieses schon älteren Phänomens, welches auch heute noch massive Schäden anrichtet. Wir erklären, wie genau das funktioniert, welche verschiedenen Formen es gibt und wer die Hintermänner sind.  

Im Mai diesen Jahres hat Google die Ergebnisse einer mit vier Universitäten (California Berkeley, California Santa Barbara, George Mason University und Universidad Politecnica de Madrid) durchgeführten Studie veröffentlicht. Das Thema: The Ad Injection Economy. Demnach sollen 5,5 Prozent aller einmaligen IP-Adressen, die auf Google-Dienste- und Seiten zugreifen, in irgendeiner Art und Weise von Ad Injection betroffen sein, was entsprechend „viele Millionen User“ sind (genauer wird Google an dieser Stelle leider nicht). Der Suchmaschinen-Riese stellte dabei über 50.000 dafür verantwortliche Browser-Extensions sowie mehr als 34.000 Programme fest, wovon 30 Prozent zusätzlich auch noch in der Lage sein sollen, Account-Details und Suchanfragen auszulesen, zu tracken und gegen Geld an Dritte weiterzureichen. Geräte mit Windows als Betriebssystem zeigen der Studie zufolge deutlich häufiger als Macs mit dem Betriebssystem OS Anzeichen von Ad Injection. 5,1 Prozent aller Page Views sollen es bei Microsoft sein, Apple kommt auf 3,4 Prozent. 

Millionen von Nutzern haben ohne es zu wissen mit Ad Injection zu tun

Zugang zu den Computern und Laptops können Toolbars (das Traffic-Tool SimilarWeb nutzt beispielsweise Toolbars, um umfassende Statistiken zu erhalten) und Software auf verschiedene Art und Weise erhalten. Das Ziel ist natürlich, so viele Installs wie möglich zu generieren. Beliebteste Taktik dafür: Die unerwünschte Software wird an den Download von populärer und häufig, meistens kostenloser, heruntergeladener Software gekoppelt. Hier ist häufig die Rede von Crapware oder Bloatware. Passt der Nutzer beim Download nicht auf und entfernt das Häkchen bei „Installiere Toolbar xy“ nicht, erhält er direkt ein Programm dazu. Alternativ gibt es natürlich auch häufig nicht einmal diese Auswahlmöglichkeit und ein Plugin installiert sich im Hintergrund einfach so automatisch mit. Weiterhin wird der Vertrieb über beworbene Kampagnen in sozialen Netzwerken immer beliebter. 

Beispiel von massiver Ad Injection auf amazon.com. Alle Banner wurden hinzugefügt, an dem Kürzel „ref“ in der URL erkennt man außerdem einen Affiliate-Link. (Quelle: Google)

Aber was ist Ad Injection jetzt genau und wie verdienen die Macher ihr Geld? Auch hier gibt es verschiedene Szenarien. Beispielsweise können Banner auf Seiten verschiedener Publisher mit neuen Bannern ersetzt werden, die dann statt der ursprünglich angedachten Banner im befallenen Browser der Nutzers erscheinen. Der befallene Browser tauscht also selbstständig Anzeigen aus und der Nutzer sieht etwas anderes – häufig, ohne sofort zu realisieren, dass die Werbung gar nicht die ist, die der Publisher eingebunden hat. Alternativ werden Seiten Werbemittel hinzugefügt, die dort so normalerweise gar nicht genutzt werden. Klickt der User dann auf eines dieser Banner, erhält zum einen das Unternehmen hinter der Software Geld, zum anderen aber auch Affiliates, die an der Verbreitung von Ad Injection mitverdienen. Der Publisher geht bei dieser Rechnung leer aus, seine Werbung wird weder eingeblendet noch (logischerweise) geklickt. Weit verbreitete Player in diesem Business sind laut Googles Report Crossrider, Shopper Pro und Netcrawl. Außerdem seien weitere Firmen zwischengeschaltet, die wiederum in Kontakt mit großen Ad Networks oder Shopping Programmen stehen. Hier werden als größte Beispiele die Namen Superfish (wie wir schon einmal berichteten, eines der am schnellsten wachsenden Unternehmen in den USA) und Jollywallet genannt. Weitere Modelle von Ad Injection sind das „geheime“ setzen von Affiliate-Links, beispielsweise bei den E-Commerce-Riesen Amazon und Ebay, oder das Einrichten einer neuen Startseite, meistens eine Suchmaschine, wo das Werbeinventar gegen neues, eigenes ausgetauscht wird und die Links in der Ergebnisliste ebenfalls Affiliate-Links sind. 

Was können Publisher gegen Ad Injection unternehmen?

Es sollte klar sein, dass wenn Werbeinventar auf Websites unwissentlich ausgetauscht wird, der Schaden beim Publisher liegt. Für Klicks auf „injezierten“ Ads wird er schließlich nicht vergütet. Doch auch Advertiser sind betroffen, und zwar dann, wenn ihre Werbemittel über ein „Ad-Injection-Netzwerk“ ausgespielt werden und sie dennoch denken, Traffic über Premium-Publisher einzukaufen. Viele bekommen das dann gar nicht mit, weil häufig nur der letzte Klick gemessen wird. Es ist ein kompliziertes, undurchsichtiges Geflecht. Das musste auch schon einer der größten Player in der RTB-Branche, Appnexus, erfahren. Im Oktober letzten Jahres war davon die Rede, dass der US-Marktplatz bei bis zu 40 Prozent des Online-Werbeinventars Herkunft, Qualität und sogar Echtheit nicht überprüfen könne. In einem Statement gegenüber Online Marketing Rockstars versicherte das Unternehmen, in Zukunft noch mehr gegen Fraud-Traffic anzugehen.

Wir haben uns auf die Suche gemacht – und uns etwas eingefangen

Fast einen ganzen Tag lang habe ich mir die verschiedensten Toolbars, Converter usw. heruntergeladen, von denen in Foren behauptet wird, dass sie für die Verbreitung von Ad Injection bekannt sind. Und siehe da, mit einem Mac schaffe ich es tatsächlich nicht, mir etwas Aussagekräftiges einzufangen. Nach dem Wechsel auf einen Windows-Laptop geht es dann aber schnell – hier muss ich gar nicht länger suchen, weil mir direkt etwas Ungewöhnliches ins Auge springt. Eine beliebige Suche bei Google, zum Beispiel nach dem Keyword „schuhe“, liefert eine Suchergebnisliste, die normalerweise etwas anders aussieht. Über den klassischen Google Anzeigen befindet sich jetzt noch ein zusätzlicher Anzeigenblock, der knapp die Hälfte des Bildschirms einnimmt. Die organischen Suchergebnisse verschwinden sogar komplett aus dem sichtbaren Bereich. 

Screenshot einer Google-Suche auf einem Windows-Laptop. Der Firefox Browser spielt injezierte Ads von Wajam aus.

Die Anzeigen stammen laut einer kleinen Infobox vom Anbieter Wajam Ads. Eine kurze Suche nach dem Namen genügt, um festzustellen, dass Wajam sehr oft eher unerwünscht auf die Rechner der Nutzer gelangt. In den eigenen FAQ heißt es sogar, dass Wajam häufig an den Download von anderer Software gekoppelt sei. In diesem Fall spielen allerdings noch weitere Anbieter eine Rolle. Schaut man sich die Anzeigen von Wajam im Quellcode genauer an, fällt unter anderem der Name Priam Ads auf. Auch hier zeigt eine Google-Suche schnell, womit man es zu tun hat. Weitere Domains im Zusammenhang mit Wajam Ads sind searchpage.com (die Seite suggeriert, eine klassische Suchmaschine auf Basis der Yahoo-Ergebnisse zu sein) und technologiestdenis.com, die zwar nicht auf wajam.com weiterleitet, aber den identischen Inhalt enthält. Das Beispiel verdeutlicht gut, welchen Schaden injezierte Adds im Search-Bereich anrichten. Zum einen dürften die Klickraten auf Googles eigenen Anzeigen deutlich geringer ausfallen, zum anderen werden organische Ergebnisse sicher ebenfalls in der Performance einbrechen.