{"id":229445,"date":"2020-03-13T00:08:08","date_gmt":"2020-03-12T23:08:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229445"},"modified":"2020-03-13T19:46:00","modified_gmt":"2020-03-13T18:46:00","slug":"das-malvertising-netzwerk-des-daniel-yomtobian","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/13\/das-malvertising-netzwerk-des-daniel-yomtobian\/","title":{"rendered":"Das Malvertising-Netzwerk des Daniel Yomtobian"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>K\u00fcrzlich entfernte Google hunderte von Chrome Browser-Erweiterungen, weil diese Werbung f\u00fcr sch\u00e4dliche Programme anzeigten (Malvertising) und Betrug mit Werbeanzeigen begingen. Nun wurde der Unternehmer Daniel Yomtobian als einer der Hinterm\u00e4nner identifiziert. <\/p>\n<p><!--more--><\/p>\n<h2>Malvertising auf dem aufsteigenden Ast<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/168cd178250f4534b48f12e3d143d78b\" width=\"1\" height=\"1\"\/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Malvertising\" target=\"_blank\" rel=\"noopener noreferrer\">Malvertising<\/a> bezeichnet eine Methode, um \u00fcber Computernetzwerke sch\u00e4dliche Programme zu verbreiten. Dabei dient oberfl\u00e4chlich gesehen harmlose Internet-Werbung als Vehikel, um Programmcode auszuf\u00fchren oder nachzuladen. F\u00fcr einige der Angriffsm\u00f6glichkeiten muss der Benutzer nicht einmal auf die Werbeanzeige klicken, damit sein Computer infiziert wird (sogenannter Drive-by-Download). Malvertising-Kampagnen scheinen in letzter Zeit zuzunehmen. <\/p>\n<h2>Der Daniel Yomtobian-Fall<\/h2>\n<p><a href=\"https:\/\/www.imdb.com\/name\/nm8070281\/bio?ref_=nm_ov_bio_sm\" target=\"_blank\" rel=\"noopener noreferrer\">Daniel Yomtobian<\/a> ist der Gr\u00fcnder und CEO des Unternehmens Advertise.com. Das 2001 gegr\u00fcndet Unternehmen Advertise.com ist die, laut deren Webseite , f\u00fchrende Multi-Channel-Plattform f\u00fcr Direktwerbung f\u00fcr Verbraucher. Es verspricht ein Ad Network, bei dem Werbetreibende mit hochwertigem, exklusivem Traffic versorgt werden, indem die Werbeanzeigen per Web-Push-Benachrichtigungen an Benutzer ausgespielt werden. Ist erst einmal nichts verwerfliches, wenn auch diese Schnittstelle die 'Gefahr f\u00fcr Missbrauch' bietet. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">When Google removed 500 malveritsing extensions from the Chome store, it didn't say who was running them. <\/p>\n<p>We tracked some of them back to Daniel Yomtobian, an LA entrepreneur who's been selling duvious trafifc to major publishers for a long time:<a href=\"https:\/\/t.co\/qBRwYAh91q\">https:\/\/t.co\/qBRwYAh91q<\/a><\/p>\n<p>\u2014 Craig Silverman (@CraigSilverman) <a href=\"https:\/\/twitter.com\/CraigSilverman\/status\/1237859589749534721?ref_src=twsrc%5Etfw\">March 11, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Ich bin aber durch Berichte und Tweets wie den obigen auf einen <a href=\"https:\/\/www.buzzfeednews.com\/article\/craigsilverman\/daniel-yomtobian-built-an-empire-on-dubious-online\" target=\"_blank\" rel=\"noopener noreferrer\">Bericht von Buzzfeednews<\/a> aufmerksam geworden. <\/p>\n<h3>Massenhaft Chrome-Browsererweiterungen ausgelistet<\/h3>\n<p>Mitte Februar hat Google mehr als 500 sch\u00e4dliche Erweiterungen f\u00fcr den Chrome-Browser aus seinem Web-Store entfernt, nachdem Sicherheitsforscher einen entsprechenden Hinweis gegeben haben. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/17\/google-entfernt-500-schdliche-chrome-erweiterungen\/\">Google entfernt 500 sch\u00e4dliche Chrome-Erweiterungen<\/a> dar\u00fcber berichtet. <\/p>\n<p>Den <a href=\"https:\/\/nakedsecurity.sophos.com\/2020\/02\/17\/google-pulls-500-malicious-chrome-extensions-after-researcher-tip-off\/\">Sophos-Sicherheitsforschern <\/a>ist damals aufgefallen, dass alle Chrome-Browsererweiterungen den gleichen oder sehr \u00e4hnlichen Code verwendeten \u2013 auch wenn versucht wurde, das zu verschleiern. In den Beitr\u00e4gen der Sicherheitsforscher wurde kein Entwickler genannt, dessen Chrome-Erweiterungen aus dem Store geflogen sind.<\/p>\n<h3>Buzzfeednews-Recherchen legen die Hinterm\u00e4nner offen<\/h3>\n<p>K\u00fcrzlich wurde die Browsererweiterung MyPDF durch Google aus dem Chrome-Webshop entfernt. Die Erweiterung wurde mehr als 20.000 Mal installiert, bevor Google aktiv war. Der Grund, warum die Erweiterung aus dem Store flog: Sie hat gegen die Richtlinien von Google versto\u00dfen, so die Erkl\u00e4rung des Unternehmens. <\/p>\n<p>Die massenhafte Entfernung von Erweiterungen war Googles bisher gr\u00f6\u00dfte Aktion gegen Erweiterungen, die Anzeigenbetrug begehen. Die Erweiterungen versprechen den Nutzern n\u00fctzliche Funktionen wie die Konvertierung von Webseiten in PDFs. Aber sobald die Erweiterungen installiert sind, injizierten sie Anzeigen und generierten massenhaft ung\u00fcltigen Traffic f\u00fcr vorgebliche Werbung. <\/p>\n<p>BuzzFeed News hat dann zusammen mit dem Cybersicherheitsunternehmen White Ops und der Girma DoubleVerify recherchiert. Dabei fand man heraus, dass mehr als 60 der aus dem Web-Store entfernten Erweiterungen, die das b\u00f6sartige Verhalten zeigen, Daniel Yomtobian, dem Gr\u00fcnder und CEO von Advertise.com Inc. geh\u00f6ren. Also einem Unternehmen, das Web-Traffic und digitale Werbung verkauft.<\/p>\n<p>Ein Google-Sprecher best\u00e4tigte gegen\u00fcber BuzzFeed News, dass die Apps von Yomtobian Teil derselben Malvertising-Kampagne waren. Yomtobian leitet seit etwa 20 Jahren Unternehmen, die PCs mit Adware infizierten und Geld mit dem verdienten, was Sicherheitsfirmen wie White Ops und DoubleVerify als betr\u00fcgerische Anzeigen bezeichnen. <\/p>\n<p>Anfang M\u00e4rz gab Yomtobian zu, ein Unternehmen f\u00fcr Browsererweiterungen zu besitzen. Gegen\u00fcber BuzzFeed News teilte er aber mit, das Unternehmen \"vor etwa einem Monat\" geschlossen zu haben. Er gab gegen\u00fcber BuzzFeed News an, dass die von seinen Erweiterungen durchgef\u00fchrten Anzeigeninjektionen den Nutzern offengelegt wurden und im Einklang mit den Richtlinien von Google stehen. Er bestritt, f\u00fcr betr\u00fcgerischen oder ung\u00fcltigen Verkehr verantwortlich zu sein.<\/p>\n<p>\"Um es klarzustellen, ich und Advertise.com haben nie ein 'betr\u00fcgerisches Werbe-Traffic-Schema' betrieben\", schrieb Yomtobian in einer E-Mail-Antwort auf BuzzFeed News. \"Wir haben niemals 'betr\u00fcgerischen Traffic erzeugt.\"<\/p>\n<p>Roy Rosenfeld, der Leiter des Labors von DoubleVerify, gab gegen\u00fcber BuzzFeed News an, dass die Erweiterungen von Yomtobian w\u00e4hrend der Spitzenzeiten \"mindestens zehn Millionen Besuche pro Tag auf verschiedenen Websites\" umleiteten. Das f\u00fchrte zu Hunderten von Millionen Anzeigeabrufen (Ad Impressions) auf den Seiten. Rosenfeld schrieb, dass der ung\u00fcltige Traffic auf gro\u00dfen Websites, einschlie\u00dflich Elle.com, landete. Ein Sprecher von Hearst Magazines, dem Herausgeber von Elle, sagte, das Unternehmen habe \"keine kommerzielle Beziehung zu Advertise.com\".<\/p>\n<p>Yomtobians Advertise.com hat die Websites gro\u00dfer Verlage wie Bonnier, dem Eigent\u00fcmer von Popular Science, Edmunds, einem Automobilverlag, und Gannett, dem Eigent\u00fcmer von USA Today und 260 lokalen Zeitungen, mit Traffic versorgt.<\/p>\n<p>\"Wir arbeiten nicht mehr mit Advertise zusammen\", teilte ein Bonnier-Sprecher BuzzFeed News mit und lehnte einen weiteren Kommentar ab. Zwei Bonnier-Websites &#8211; CycleVolta.com und UTVDriver.com \u2013 wurden laut DoubleVerify im vergangenen Jahr von Yomtobian-Erweiterungen mit Traffic versorgt. Eine Quelle, die Bonniers Operationen kennt, sagte, dass der Verlag im vergangenen Sommer die Verbindung zu Advertise.com abbrach. Vorher waren White Ops und eine andere Erkennungsfirma, IAS, mit der \u00dcberpr\u00fcfung seiner Traffic-Provider beauftragt worden. Der daraus resultierende Bericht identifizierte ung\u00fcltigen Traffic f\u00fcr Werbeanzeigen und wies einige Bedenken im Hinblick auf die Werbepartner auf, so eine Quelle. <\/p>\n<p>Ein Sprecher von Edmunds lehnte es ab, sich zu den Quellen des Datenverkehrs und den Unternehmen, mit denen der Verlag zusammenarbeitet, zu \u00e4u\u00dfern. \"Wir arbeiten zur Zeit nicht mit Advertise.com zusammen\", sagte ein Sprecher von Gannett.<\/p>\n<p>Langer Rede kurzer Sinn: Den Recherchen von BuzzFeed News nach war Daniel Yomtobian gut im Gesch\u00e4ft mit der Vermittlung von Traffic \u00fcber Browsererweiterungen. Jetzt scheint sein Kartenhaus aber zusammen zu brechen, da dort wohl systematisch Betrug gegen\u00fcber Werbekunden begangen wurde. Weitere Details lassen sich in <a href=\"https:\/\/www.buzzfeednews.com\/article\/craigsilverman\/daniel-yomtobian-built-an-empire-on-dubious-online\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> nachlesen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>K\u00fcrzlich entfernte Google hunderte von Chrome Browser-Erweiterungen, weil diese Werbung f\u00fcr sch\u00e4dliche Programme anzeigten (Malvertising) und Betrug mit Werbeanzeigen begingen. Nun wurde der Unternehmer Daniel Yomtobian als einer der Hinterm\u00e4nner identifiziert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-229445","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229445","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229445"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229445\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229445"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229445"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229445"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}