Kürzlich entfernte Google hunderte von Chrome Browser-Erweiterungen, weil diese Werbung für schädliche Programme anzeigten (Malvertising) und Betrug mit Werbeanzeigen begingen. Nun wurde der Unternehmer Daniel Yomtobian als einer der Hintermänner identifiziert.
Anzeige
Malvertising auf dem aufsteigenden Ast
Malvertising bezeichnet eine Methode, um über Computernetzwerke schädliche Programme zu verbreiten. Dabei dient oberflächlich gesehen harmlose Internet-Werbung als Vehikel, um Programmcode auszuführen oder nachzuladen. Für einige der Angriffsmöglichkeiten muss der Benutzer nicht einmal auf die Werbeanzeige klicken, damit sein Computer infiziert wird (sogenannter Drive-by-Download). Malvertising-Kampagnen scheinen in letzter Zeit zuzunehmen.
Der Daniel Yomtobian-Fall
Daniel Yomtobian ist der Gründer und CEO des Unternehmens Advertise.com. Das 2001 gegründet Unternehmen Advertise.com ist die, laut deren Webseite , führende Multi-Channel-Plattform für Direktwerbung für Verbraucher. Es verspricht ein Ad Network, bei dem Werbetreibende mit hochwertigem, exklusivem Traffic versorgt werden, indem die Werbeanzeigen per Web-Push-Benachrichtigungen an Benutzer ausgespielt werden. Ist erst einmal nichts verwerfliches, wenn auch diese Schnittstelle die 'Gefahr für Missbrauch' bietet.
When Google removed 500 malveritsing extensions from the Chome store, it didn't say who was running them.
We tracked some of them back to Daniel Yomtobian, an LA entrepreneur who's been selling duvious trafifc to major publishers for a long time:https://t.co/qBRwYAh91q
— Craig Silverman (@CraigSilverman) March 11, 2020
Ich bin aber durch Berichte und Tweets wie den obigen auf einen Bericht von Buzzfeednews aufmerksam geworden.
Anzeige
Massenhaft Chrome-Browsererweiterungen ausgelistet
Mitte Februar hat Google mehr als 500 schädliche Erweiterungen für den Chrome-Browser aus seinem Web-Store entfernt, nachdem Sicherheitsforscher einen entsprechenden Hinweis gegeben haben. Ich hatte im Blog-Beitrag Google entfernt 500 schädliche Chrome-Erweiterungen darüber berichtet.
Den Sophos-Sicherheitsforschern ist damals aufgefallen, dass alle Chrome-Browsererweiterungen den gleichen oder sehr ähnlichen Code verwendeten – auch wenn versucht wurde, das zu verschleiern. In den Beiträgen der Sicherheitsforscher wurde kein Entwickler genannt, dessen Chrome-Erweiterungen aus dem Store geflogen sind.
Buzzfeednews-Recherchen legen die Hintermänner offen
Kürzlich wurde die Browsererweiterung MyPDF durch Google aus dem Chrome-Webshop entfernt. Die Erweiterung wurde mehr als 20.000 Mal installiert, bevor Google aktiv war. Der Grund, warum die Erweiterung aus dem Store flog: Sie hat gegen die Richtlinien von Google verstoßen, so die Erklärung des Unternehmens.
Die massenhafte Entfernung von Erweiterungen war Googles bisher größte Aktion gegen Erweiterungen, die Anzeigenbetrug begehen. Die Erweiterungen versprechen den Nutzern nützliche Funktionen wie die Konvertierung von Webseiten in PDFs. Aber sobald die Erweiterungen installiert sind, injizierten sie Anzeigen und generierten massenhaft ungültigen Traffic für vorgebliche Werbung.
BuzzFeed News hat dann zusammen mit dem Cybersicherheitsunternehmen White Ops und der Girma DoubleVerify recherchiert. Dabei fand man heraus, dass mehr als 60 der aus dem Web-Store entfernten Erweiterungen, die das bösartige Verhalten zeigen, Daniel Yomtobian, dem Gründer und CEO von Advertise.com Inc. gehören. Also einem Unternehmen, das Web-Traffic und digitale Werbung verkauft.
Ein Google-Sprecher bestätigte gegenüber BuzzFeed News, dass die Apps von Yomtobian Teil derselben Malvertising-Kampagne waren. Yomtobian leitet seit etwa 20 Jahren Unternehmen, die PCs mit Adware infizierten und Geld mit dem verdienten, was Sicherheitsfirmen wie White Ops und DoubleVerify als betrügerische Anzeigen bezeichnen.
Anfang März gab Yomtobian zu, ein Unternehmen für Browsererweiterungen zu besitzen. Gegenüber BuzzFeed News teilte er aber mit, das Unternehmen "vor etwa einem Monat" geschlossen zu haben. Er gab gegenüber BuzzFeed News an, dass die von seinen Erweiterungen durchgeführten Anzeigeninjektionen den Nutzern offengelegt wurden und im Einklang mit den Richtlinien von Google stehen. Er bestritt, für betrügerischen oder ungültigen Verkehr verantwortlich zu sein.
"Um es klarzustellen, ich und Advertise.com haben nie ein 'betrügerisches Werbe-Traffic-Schema' betrieben", schrieb Yomtobian in einer E-Mail-Antwort auf BuzzFeed News. "Wir haben niemals 'betrügerischen Traffic erzeugt."
Roy Rosenfeld, der Leiter des Labors von DoubleVerify, gab gegenüber BuzzFeed News an, dass die Erweiterungen von Yomtobian während der Spitzenzeiten "mindestens zehn Millionen Besuche pro Tag auf verschiedenen Websites" umleiteten. Das führte zu Hunderten von Millionen Anzeigeabrufen (Ad Impressions) auf den Seiten. Rosenfeld schrieb, dass der ungültige Traffic auf großen Websites, einschließlich Elle.com, landete. Ein Sprecher von Hearst Magazines, dem Herausgeber von Elle, sagte, das Unternehmen habe "keine kommerzielle Beziehung zu Advertise.com".
Yomtobians Advertise.com hat die Websites großer Verlage wie Bonnier, dem Eigentümer von Popular Science, Edmunds, einem Automobilverlag, und Gannett, dem Eigentümer von USA Today und 260 lokalen Zeitungen, mit Traffic versorgt.
"Wir arbeiten nicht mehr mit Advertise zusammen", teilte ein Bonnier-Sprecher BuzzFeed News mit und lehnte einen weiteren Kommentar ab. Zwei Bonnier-Websites – CycleVolta.com und UTVDriver.com – wurden laut DoubleVerify im vergangenen Jahr von Yomtobian-Erweiterungen mit Traffic versorgt. Eine Quelle, die Bonniers Operationen kennt, sagte, dass der Verlag im vergangenen Sommer die Verbindung zu Advertise.com abbrach. Vorher waren White Ops und eine andere Erkennungsfirma, IAS, mit der Überprüfung seiner Traffic-Provider beauftragt worden. Der daraus resultierende Bericht identifizierte ungültigen Traffic für Werbeanzeigen und wies einige Bedenken im Hinblick auf die Werbepartner auf, so eine Quelle.
Ein Sprecher von Edmunds lehnte es ab, sich zu den Quellen des Datenverkehrs und den Unternehmen, mit denen der Verlag zusammenarbeitet, zu äußern. "Wir arbeiten zur Zeit nicht mit Advertise.com zusammen", sagte ein Sprecher von Gannett.
Langer Rede kurzer Sinn: Den Recherchen von BuzzFeed News nach war Daniel Yomtobian gut im Geschäft mit der Vermittlung von Traffic über Browsererweiterungen. Jetzt scheint sein Kartenhaus aber zusammen zu brechen, da dort wohl systematisch Betrug gegenüber Werbekunden begangen wurde. Weitere Details lassen sich in diesem Artikel nachlesen.
Anzeige
Und dann wundern sich die Verlagen, dass Adblocker und NoScript installiert werden…
Eure beschissene Werbung macht das Internet kaputt.
Einfach mal meinen Kommentar einen drunter zu den Extensions lesen und nochmals über dein Pauschalurteil nachdenken ;-).
Dummerweise fällt in Deutschland kein Manna vom Himmel und Werbung gibt es, seit der erste Wirt eine Kreidetafel mit dem Spruch 'Iss bei mir, sonst verhungern wir beide' an seinem Eingang aufgestellt hat. Werbung ist auch nicht das Problem – nicht mal die Werbebotschaft an sich (wobei man über Inhalte mancher Werbung diskutieren kann) – sondern kriminelle Machenschaften Einzelner.
Jetzt also hat Google 500 schädliche Erweiterungen entfernt. Das erst nachdem von Dritten der 'dezente' Hinweis kam.
Mir kommt dazu jetzt ein Beitrag auf diesem Bolg ins Gedächtnis, es ist schon eine Weile her und es ging irgendwie auch um Gogles Browser und dessen Erweiterungen. Leider bekomme ich nicht mehr zusammen wie es genau war. Damals zog ich mein Fazit als Betroffenr von so Anzeigen wie "Ihr PC ist infiziert", die eindeutig durch ein Addon angezeigt wurden, dass Googles Chrome hier tot ist weil Google es nicht gebacken bekommt den eigenen Stall sauber zu halten. Diese Medung sagt mir es scheint tatsächlich ein Dauerproblem zu sein und sie packen es noch immer nicht den eigenen Stall sauber zu halten.
Gibt eine Menge Beiträge zum Thema:
Fast 200 Extensions (Chrome, Firefox, Opera) unsicher
Rogue-Extensions hijacken Chrome und Firefox
Vorsicht vor Chrome-Extensions mit Schadcode
Chrome-Extension Archive-Poster verteilt Krypto-Miner
Datenskandal: Mozilla und Google werfen "Web of Trust" raus
Sicherheitslücken im Chrome, Firefox etc. Extension-System
Browser AddOn Stylish für Chrome/Firefox verbannt
Acrobat Reader-Update installiert heimlich Chrome-Extension
Google entfernt 500 schädliche Chrome-Erweiterungen
Kritisches Datenleck in Evernote Chrome-Erweiterung
Die Botschaft bzw. das Wissen ist also da. Wenn ich mir aber die Abrufzahlen der Beiträge hier im Blog so ansehe, hätte ich mich besser ins Bett gelegt und an den Füßen gespielt. Wäre meiner Beweglichkeit zugute gekommen. Den gemeinen Nutzer interessiert das alles nicht – der klatscht sich die Extensions, auf Teufel komm raus, auf seine Systeme und schwadroniert später über diese 'Scheiß Werbung'. Finde des Fehler.
Finde den Fehler …
Ist schwierig weil es eben nicht nur den Fehler gibt.
Man muss natürlich nicht jedes Addon auf den PC lassen. Manches Addon ist sicher nützlich oder soll dies laut Beschreibung sein, nur vorher zu erkennen ob es ungebetenes Beiwerk mitbringt ist für die Masse der Nutzer nicht möglich.
Manna ^aus dem Himmel ist sicher ein rares Gut. Werbung kann ein gutes Mittel sein den Mangel zu kompensieren. Der nächste Fehler ist aber, Werbung ist oft manipulativ und verfolgt den User um Profile zu erstellen um wiederum manipulativ im weiteren Sinne auf den User einzuwirken. Was ist denn der gemeine User nun? Mich beschleicht manchmal der Gedanke wie einst im Film Matrix, als Morpeus mit ein paar Batterien im Konstrukt stand und sinnierte was wir für die wohl sind. Würde bei bestimmten Formen der Werbung auch passen, nur eben mit Geldscheinen als Mannaersatz.
Vielleicht liegt der Fehler im System?
Da wäre noch der Google-Play-Store mit 1'000'000 Apps, von welchen ich 90 % als Spy-Software klassiere.
Aber man müsste die Apps halt installieren, und schauen, was sie alles für das ordentliche funktionieren viel zu viel verlangen. Das bedeutet Arbeit, und das kann der Hinterwäldler-Laden Google mal nicht.
Mittlerweile sind die Suchergebnisse von http://www.google.ch in Richtung unbrauchbar, dort hapert es also auch.