Unser Analytics-Account ist kaputt: Das ist Referrer-Spam

Torben Lux2.12.2016
550_analytics-auf

Vitaly Popov ist seit Jahren für Referrer-Spam bekannt

550_analytics-auf „Secret.Google.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!“ – seit einigen Tagen erscheint dieser Satz so bei uns in Google Analytics. Weltweit dürften zig tausende Webseiten betroffen sein. Für diesen sogenannten Referrer-Spam zeichnet sich ein seit Jahren bekannter Hacker aus Russland namens Vitaly Popov verantwortlich. Online Marketing Rockstars erklärt die Hintergründe und zeigt, wie er jetzt auch gezielt TheNextWeb.com auf’s Korn nimmt.

Viele Domainbetreiber dürften in den vergangenen Wochen nicht schlecht gestaunt haben, als sie mit Hilfe von Google Analytics den Traffic ihrer Seite auswerten wollten. Denn wählt man unter dem Punkt „Zielgruppe“ „Geografisch“ und dann „Sprache“ aus, erscheint mit hoher Wahrscheinlichkeit neben den üblichen Sprachkürzeln „de“, „de-de“ oder „en-us“ auch ein mysteriöser Satz: „Secret.Google.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!“. Alleine in dieser Woche sollen bei uns 1.440 Sitzungen von Nutzern mit dieser bisher unbekannten Sprache generiert worden sein.

Was ist Referrer Spam und wie funktioniert die Masche?

Gleich vorweg die traurige Ernüchterung: Hinter dem Satz verbirgt sich weder eine neue, bisher unerforschte Sprache, noch eine geheime Domain von Google. Und nein, eingeladen sind wir auch zu nichts. Es handelt sich dabei lediglich um klassischen Referrer Spam, also gefakte Website-Besuche, die in Google Analytics unter „Referral“ oder wie in diesem Fall unter Sprachen auftauchen.

Man unterscheidet bei Referrer Spam zwischen zwei verschiedenen Arten: sogenannter „Crawler Spam“, bei dem mit Hilfe von Bots tatsächlich Seitenaufrufe generiert werden und „Ghost Spam“. Bei letzterer Variante ist der in Analytics angezeigte Traffic Fake; weder ein Bot, geschweige denn ein echter Mensch haben Eure Seite je besucht und mit ihr interagiert.

Referrer-Spam als Sprache in unserem Google Analytics-Account.

Die Art und Weise, wie Google Analytics Traffic misst, macht das Ganze offenbar recht einfach möglich. Per JavaScript-Code, einer Eurer Seite zugewiesenen ID und Googles Measurement Protocol wird bei einem Seitenbesuch sowohl dieser gezählt, als auch die Referrer-Seite vermerkt. Spammer hatten vor einigen Jahren dann die Idee, besagte IDs automatisch zu generieren und auf ihren eigenen Seiten einzubauen. Mit der Methode, die auch im Fall vom aktuellen „Secret.Google-Spam“ genutzt wird, kann tausenden Seiten am Tag vorgetäuscht werden, die eigene Domain sei ein wichtiger Referrer für völlig fremde Seiten. Vor zwei Jahren hatten wir das Phänomen schon einmal genau unter die Lupe genommen.

Zu welchem Zweck wird Referrer-Spam genutzt?

Das Ziel, welches Spammer mit Maschen dieser Art verfolgen, dürfte vor allem sein, Traffic auf die eigene Seite zu lenken und diesen dann mit Hilfe von zum Beispiel AdWords oder Affiliate-Marketing zu monetarisieren. Dabei wird auf die Neugier der Seitenbetreiber gesetzt: „Wirklich? Ich bin eingeladen, eine geheime Google-Seite zu besuchen? Da muss ich klicken!“.

Hinter dem aktuellen „Secret.Google-Spam“ steckt ein seit einigen Jahren offenbar für Referrer-Spam bekannter Russe namens Vitaly Popov, der hin und wieder kleine Eastereggs einbaut. Folgt man der URL secret.google.com, erfolgt eine Weiterleitung auf eine Domain mit einer sehr speziellen URL:

http://money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com/#.keep.off.my.stack.money.it.is.a.hit.do.not.give.me.that.do.goody.good.bullshit.i.am.in.the.hi.fidelity.first.class.travelling.set.and.i.think.i.need.a.lear.jet.money.it.is.a.secret.%C9%A2oogle.com/#.share.it.fairly.but.dont.take.a.slice.of.my.pie.money.so.they.say.is.the.root.of.all.evil.today.but.if.you.ask.for.a.rise.it’s.no.surprise.that.they.are.giving.none.and.secret.%C9%A2oogle.com

Die absurde Seite ilovevitaly.com von Vitaly Popov.

Na, erkannt? Die URL beinhaltet fast den kompletten Text von Pink Floyds 1973 auf dem Album „The Dark Side of the Moon“ veröffentlichten Song „Money“. Doch trotz dieser kleinen Spielerei distanziert sich Popov in einer Textbox vom Referrer-Spam, der auf seine Seite verlinkt. „Fragt mich nicht, warum die Domain seit dem 5. November in Millionen von Analytics-Accounts auftaucht“, heißt es da sinngemäß. Es sei nicht sein Problem, außerdem laute der eigentliche Domain-Name ilovevitaly.com. „Trotz der vielen Lügen in den Medien ohne jeglichen Beweis ist diese Seite absolut sicher und sehr nützlich.“ Popovs Auffassung nach habe lediglich eine sehr reiche und einflussreiche, geheime und böse Firma etwas gegen Konkurrenten. Ah ja. Schaut man sich die Seite – eine wilde Sammlung aus Links zu Suchmaschinen, Torrents und Online-Shops – an, klingt das doch sehr hanebüchen.

Vitaly Popov reagiert mit neuem Referrer-Spam

Nachdem auch The Next Web den „Secret.Google-Spam“ entdeckt und darüber berichtet hatte, tauchte kurz darauf ein weiterer, vermutlich von Vitaly Popov initiierter Referrer-Spam auf, der erneut auch in unseren Google Analytics-Daten zu sehen war. Vor etwa einer Woche erschien in den Referrals für OnlineMarketingRockstars.de „thenextweb.com“ ; 46 Sitzungen sollten innerhalb von drei Tagen von der Quelle gekommen sein, die Zugriffe stammen dabei angeblich vom besagten The Next Web-Artikel. Der Verdacht liegt Nahe, dass hier wieder Popov am Werk war – zumal es auf der Seite natürlich keine Verlinkung zu uns gibt.

Referrer-Spam: Diese Sitzungen kommen nicht von thenextweb.com.

Vitaly Popov ist im Zusammenhang mit Referrer-Spam kein Unbekannter im Netz und wird an einigen Stellen sogar als Erfinder vom „Ghost Spam“ bezeichnet. Schon Ende 2014 soll er für den Darodar.com-Spam verantwortlich gewesen sein (wir hatten berichtet); er gratulierte damals dazu, dass man ihn gefunden hätte, betonte aber auch: „Ich muss mich nicht verstecken, weil das, was ich mache, in Russland nicht illegal ist. So funktioniert kreatives Marketing.“ In einem Reddit-Beitrag wurden noch weitere Spam-Domains von Popov offengelegt und vorgeschlagen, den Spieß umzudrehen und seinen Google Analytics-Code mit Spam zu attackieren.

Ist Referrer-Spam für Seitenbetreiber gefährlich?

So richtig klar wird am Ende nicht, welches Ziel Vitaly Popov mit seiner Referrer-Spam-Leidenschaft verfolgt. Und es verwundert auch ein wenig, dass es ihm offenbar immer wieder gelingt, mit bestimmten Methoden Google Analytics auszutricksen – Anfang des Jahres hatte das Unternehmen noch angekündigt, Referrer-Spam automatisch zu entfernen. Gute Nachrichten für alle Seitenbetreiber gibt es aber trotzdem: Erstens stellen die Fake-Traffic-Zahlen innerhalb Google Analytics keine Gefahr da – den Links dann aus Neugierde zu folgen, ist trotzdem nicht zu empfehlen. Und zweitens lässt sich die leichte Verfälschung des Traffics ziemlich leicht aus den Daten entfernen. Eine Anleitung dafür findet Ihr hier.

AnalyticsSpam
Torben Lux
Autor*In
Torben Lux

Torben ist seit Juni 2014 Redakteur bei OMR. Er schreibt Artikel und Newsletter, plant das Bühnenprogramm des OMR Festivals, arbeitet an der "State of the German Internet"-Keynote, betreut den OMR Podcast und vieles mehr.

Alle Artikel von Torben Lux

Ähnliche Artikel

Aktuelle Stories und die wichtigsten News für Marketeers direkt in dein Postfach!
Zeig mir ein Beispiel