{"id":224376,"date":"2019-10-28T22:38:37","date_gmt":"2019-10-28T21:38:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224376"},"modified":"2019-10-29T17:12:42","modified_gmt":"2019-10-29T16:12:42","slug":"adcloaking-aktuell-merkwrdige-werbeumleitungen-auf-webseiten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/28\/adcloaking-aktuell-merkwrdige-werbeumleitungen-auf-webseiten\/","title":{"rendered":"AdCloaking: Aktuell merkwürdige Werbeumleitungen auf Webseiten"},"content":{"rendered":"

Aktuell scheinen auf diversen Webseiten 'merkw\u00fcrdige' Anzeigenbanner geschaltet zu werden. Diese \u00fcberlagern die Webseiten und versuchen den Seitenbesucher zum Download nutzloser Software zu verleiten. Wenn ich die Meldungen, die mich heute erreichten, richtig interpretiere, l\u00e4uft aktuell eine sogenannte AdCloaking-Kampagne, die verschiedene Webseiten getroffen hat.<\/p>\n

<\/p>\n

Ich habe innerhalb einiger Stunden drei Leserr\u00fcckmeldungen zu diesem Thema bekommen, wobei zwei meinen Blog betreffen.<\/p>\n

Meldung 1: \u00c4u\u00dferst merkw\u00fcrdige Anzeigen<\/h2>\n

\"\"Heute Vormittag meldete sich Blog-Leser Andreas, dem etwas sehr merkw\u00fcrdiges aufgefallen ist. Dazu schreibt Andreas:<\/p>\n

auf der Suche nach Info zu KB4522355 auf Ihren Blogeintrag<\/a> gesto\u00dfen und je nach Browser folgende Auff\u00e4lligkeit entdeckt:<\/p>\n

mit Firefox (erwartungsgem\u00e4\u00df) quasi alles normal, selbst ohne Skript- & Werbeblocker.<\/p>\n

Mit IE11 schleichen sich Seiten ein, welche nichts mit dem Blog oder den offiziellen Werbepartnern zu tun haben. Diese St\u00f6renfriede sind nicht regelm\u00e4\u00dfig und sofort da, was mich vermuten l\u00e4sst das es in einer \"BlinkBlink\" – Werbung versteckt ist.<\/p>\n

– Mal ist der PC infiziert *h\u00f6h\u00f6*
\n– mal muss unbedingt Flash aktualisiert werden *achwas*
\n– Dann habe ich vermeindlich einen Trojaner welcher unbedingt mit Defender entfernt werden soll *neeneenee*
\n_ Oder ich kann PDFs kostenlos vereinen – download here – *jaja*<\/p><\/blockquote>\n

Andreas hat ein paar Screenshots angefertigt, die ich nachfolgend mal einstelle. Die Screenshots lassen sich hier im Blog durch Anklicken zoomen, falls wer die URLs ansehen m\u00f6chte.<\/p>\n

\"B\u00f6swillige<\/a><\/p>\n

\"B\u00f6swillige<\/a><\/p>\n

\"B\u00f6swillige<\/a><\/p>\n

Wie bereits von Andreas angemerkt wurde, haben die obigen Anzeigen nichts mit den offiziellen Anzeigen der Werbepartner zu tun. Andreas gibt auch an, dass diese Anzeigen nur im Internet Explorer per Script eingeblendet werden, w\u00e4hrend sie in anderen Browsern nicht auftauchen.<\/p>\n

\"B\u00f6sartige<\/a><\/p>\n

Erg\u00e4nzung: Ich habe den Internet Explorer 11 jetzt auch mal einige Zeit parallel zum Chrome mit einer ge\u00f6ffneten Blog-Seite laufen lassen. Irgendwann tauchte dann die obige Anzeige auf. Die Popups konnte ich durch Dr\u00fccken der ESC-Taste schlie\u00dfen \u2013 nur das letzte Pseudo-Fenster mit der System-Warnung war ein Browserfenster \u2013 dort konnte ich die IE aber schlie\u00dfen.<\/p>\n

Meldung 2: Weitere merkw\u00fcrdige Werbung<\/h2>\n

Heute Abend erreichte mich eine weitere Nachricht von Blog-Leser Spike2, der ebenfalls auf merkw\u00fcrdige Werbeanzeigen hinweist:<\/p>\n

[\u2026] blendet Google allerdings im Borncity-Blog (zumindest bei mir) ausschlie\u00dflich Anzeigen f\u00fcr \u201eOffizielles Windows-Probleml\u00f6se-Tool \u2013 Hier Downloaden\", \u201eMicrosoft Windows Probleml\u00f6ser herunterladen (Empfohlen)\" und \u00e4hnlichen Unsinn ein \u2013 was sich hinter solchen Anzeigen verbirgt, ist ja allgemein bekannt ;)<\/p><\/blockquote>\n

F\u00fcr den Fall, da\u00df Sie dies noch nicht wussten (da wom\u00f6glich jeder User andere Anzeigen erh\u00e4lt), wollte ich Sie hiermit nur dar\u00fcber in Kenntnis setzen, und hoffe, meinen nun aus Gr\u00fcnden der Sicherheit vor\u00fcbergehend wieder aktivierten AdBlocker bald wieder abschalten zu k\u00f6nnen.<\/p><\/blockquote>\n

Es ist in der Tat so, dass Anzeigen abh\u00e4ngig von dem, was der Nutzer vorher an Webseiten abgerufen hat, unterschiedliche Anzeigen \u00fcber die Werbepartner angezeigt erh\u00e4lt. Allerdings habe ich bestimmte Kategorien in Filtern bereits geblockt \u2013 standardm\u00e4\u00dfig sollten solche Anzeigen nicht erscheinen \u2013 und werden mir auch nicht angezeigt (daf\u00fcr wird bei mir verst\u00e4rkt Werbung f\u00fcr lizengo ausgespielt).<\/p>\n

Meldung 3: Webseite TAZ leitet um<\/h2>\n

Dann hat mich Blog-Leser Friedel S. per E-Mail ebenfalls auf ein Problem, diesmal bei der Tageszeitung TAZ, hingewiesen. Er schreibt:<\/p>\n

Es scheint, als h\u00e4tte die Webseite der Tageszeitung TAZ ein Problem:<\/p>\n

Aufruf mit IE und Google Chrome brachten hier und bei einem Kunden innert Sekunden eine Weiterleitung auf b\u00f6sartige Seiten mit sich.<\/p>\n

Mit IE kam eine vollfl\u00e4chige Meldung \u00e1 la \"Ich Computer ist verseucht! Laden Sie sofort hier XYZ herunter, um das Problem zu beheben\",<\/p>\n

bei Chrome kam nach ein paar Sekunden so etwas wie \"Ihr Adblock wurde aktualisiert! W\u00e4hlen Sie unten, wieviel Sie bezahlen m\u00f6chten\"<\/p>\n

Ich hatte allerdings auch F5 (Seite neu laden) gedr\u00fcckt, um evtl. andere Ads \"angeboten\" zu bekommen, weil ich vermutete, da\u00df \"das B\u00f6se\" mal wieder in einer Werbeanzeige steckt.<\/p>\n

Browserfenster schlie\u00dfen schwierig (ALT-F4 aber geht); laut installierten Virenscannern (Echtzeit\u00fcberwachung schlug nicht an bei MSSE und GData) und Process-Explorer scheint aber nichts im Speicher zur\u00fcckgeblieben zu sein.<\/p>\n

Das ist auch nicht das erste mal mal, da\u00df das genau bei TAZ.de passiert.<\/p><\/blockquote>\n

Also ein \u00e4hnliche Bild wie bei den beiden anderen Meldungen weiter oben, dieses Mal aber bei der TAZ.<\/p>\n

Problem AdCloaking<\/h2>\n

Das Ganze l\u00e4uft unter dem Label 'AdCloaking', getarnte Anzeigen, die sich bei den Werbenetzwerken als seri\u00f6se Anzeige tarnen, aber auf den Webseiten der Publisher, je nach Browser und Benutzer pl\u00f6tzlich eine Umleitung auf Webseiten mit zumindest obskuren Downloads vornehmen. Die HNA hat zum Beispiel einen Artikel<\/a> zu diesem Thema publiziert.<\/p>\n

Den drei Meldungen nach gehe ich davon aus, dass aktuell wieder eine gr\u00f6\u00dfere AdCloaking-Kampagne l\u00e4uft. Ich habe meine Werbepartner \u00fcber das Problem mit Link auf meinen Artikel hin informiert. Eine Schnell\u00fcberpr\u00fcfung in Google Adsense zeigte mir, dass keine der in obigem Screenshots angezeigten Domains in den offiziellen Anzeigen auftaucht. Ich selbst habe noch keine dieser Anzeigen in meinen Browsern zu sehen bekommen.<\/p>\n

Falls ihr solche Anzeigen zu sehen bekommt, keinesfalls etwas herunterladen. Auch nicht auf angebliche Gewinnspiele als Millionste Google-Besucher reagieren. Fertigt ggf. einen Screenshot der Anzeigen an und schickt mir diesen per E-Mail zu. Ich leite die Informationen \u00fcber die Werbepartner weiter, die dann geeignete Ma\u00dfnahmen ergreifen und die Werbung unterbinden. Ich empfehle den Cache des Browsers zu l\u00f6schen, um die Historie zu bereinigen.<\/p>\n

Wer einen Adblocker verwenden kann, mag den (ggf. vor\u00fcbergehend) aktivieren \u2013 der sollte diese Art Werbung herausfiltern. Ich hoffe, dass die Werbepartner das Problem recht fix in den Griff bekommen \u2013 da mir andernfalls die Finanzierung der Seiten weg bricht.<\/p>\n

Erg\u00e4nzung: Erste Reaktion eines Google-Partners<\/h2>\n

Ich habe die Nacht die Information \u00fcber diese Kampagne an Google Adsense und meine Werbepartner weiter gegeben. Mir liegt jetzt eine erste Antwort eines Google-Partners vor.<\/p>\n

Ich leite das direkt mal weiter. In der n\u00e4chsten Woche werden wir auch ein neues Tool in Betrieb nehmen, dass genau so Pop-ups und Malware blockt.<\/p><\/blockquote>\n

Jetzt muss ich abwarten, was sich diesbez\u00fcglich tut und ob \u00fcber Google bzw. die Werbepartner so was zuverl\u00e4ssig blocken k\u00f6nnen. Es ist beschissen, als Publisher erm\u00f6glicht mir nur Werbung die Finanzierung des Webauftritts in der aktuellen Form. Das direkte Sponsoring ist keine Option, belaufen sich die Einnahmen auf einen dreistelligen Betrag j\u00e4hrlich, hinzu kommen noch 500 – 600 Euro j\u00e4hrlich an Amazon Affiliate-Einnahmen. Ich hoffe nicht, dass ich das Angebot der Blogs hier wegen dieses Mists einstellen muss.<\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell scheinen auf diversen Webseiten 'merkw\u00fcrdige' Anzeigenbanner geschaltet zu werden. Diese \u00fcberlagern die Webseiten und versuchen den Seitenbesucher zum Download nutzloser Software zu verleiten. Wenn ich die Meldungen, die mich heute erreichten, richtig interpretiere, l\u00e4uft aktuell eine sogenannte AdCloaking-Kampagne, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[4293],"class_list":["post-224376","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-allgemein"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224376","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224376"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224376\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224376"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224376"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224376"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}