Angriff der Nerv-Pop-Ups: "Klicken Sie auf OK, um Ihren Preis zu erhalten"

Inhaltsverzeichnis

Es gibt kaum ein Entkommen: Von Ebay bis Boredpanda, von Reuters.com bis taz.de – auf zahlreichen reputablen Seiten tauchen in den letzten Monaten Pop-Ups auf, die sogar oft von einem Vibrationsalarm begleitet werden. "Glückwünsche! Google Benutzer!", heißt es dort zum Beispiel. "Sie wurden als Sieger des heutigen iPhone 7, € 500 Amazon oder Samsung Galaxy S7 ausgewählt! Bitte klicken Sie auf OK, um Ihren Preis zu erhalten, bevor wir es jemand anderem geben."

Pop-Ups aus dem Nichts

Die plumpe Ansprache täuscht – hinter den Kampagnen steckt viel technisches und organisatorisches Know-How. Sie werden ausschließlich auf Smartphones ausgespielt und richten sich augenscheinlich nur an Nutzer, die vorher auf einen Link bei Facebook oder Twitter geklickt haben.

Nachdem zuerst der normale Inhalt der angeklickten Seite geladen wurde, wird der Nutzer ohne Zutun auf eine Werbe-Seite umgeleitet, die dann das Pop-Up ausspielt. Teilweise ist der Ladeprozess auch verzögert. Nutzer, die mal eben eine Information nachschlagen wollten, sehen sich dann mitunter nach einigen Minuten mit der Werbebotschaft konfrontiert, wenn sie nochmal zum Handy greifen. Die Zurück-Funktion des Smartphones nützt wegen der Umleitung nichts – oft muss man den Browser wegklicken, um das Nerv-Pop-Up loszuwerden. Oft taucht es dann auf einer anderen Website wieder auf.

Beeilung, Beeilung!

Wer hingegen auf "OK" klickt, gelangt auf ein Lehrstück der Nutzermanipulation. Die Varianten sind verschieden: Mal soll der Nutzer ein Google-Quiz ausfüllen, mal ein Glücksrad drehen, mal soll er nur einen von drei Preisen auswählen. Dabei werden die Nutzer ständig unter Zeitdruck gesetzt, da sonst der Gratis-Preis an jemand anderen gehen könnte. Offensichtlich gefälschte Nutzerkommentare sollen den Eindruck verstärken, dass hier jemand scheinbar grundlos Smartphones verschenkt. Auf diese Weise fällt dem Nutzer weniger auf, dass er plötzlich ein zweites Mal umgeleitet wird – dieses Mal auf eine andere Gewinnspiel-Seite.

Hier soll man dann seine "Versanddaten" eingeben. Dabei ist leicht zu übersehen: Anstatt nur die Versandadresse für ein bereits gewonnenes iPhone anzugeben, soll der Nutzer hier eine Werbeeinwilligung für zahlreiche Unternehmen geben. Die Gegenleistung ist nicht das vorher versprochene iPhone, sondern nur die Hoffnung, dass man eines gewinnen könne.

Auf getyour-gift.de zum Beispiel, eine von mehreren beworbenen Zielseiten, sind zum Beispiel 57 Unternehmen aufgeführt, die den Nutzer nach Teilnahme an dem Gewinnspiel per Telefon oder E-Mail kontaktieren dürfen. Auf smartphone-prize.de sind es sogar mehr als 130 "Sponsoren". Darunter sind viele Direktmarketing-Unternehmen, die Werbung für zahlreiche weitere Unternehmen verteilen.

In der Direktmarketing-Falle

Ein lukratives Geschäft: Unternehmen zahlen für solche Werbeeinwilligungen zwischen wenigen Cent bis zu mehreren Euro. Der Aufwand für die Betreiber ist hingegen überschaubar. Statt den in der Werbung versprochenen Sofortgewinnen werden hier Preise eher in Jahresfrist vergeben. Der Einsendeschluss für einen auf getyour-gift.de aktuell beworbenen Amazon-Gutschein über 250 euro ist zum Beispiel der 31. Dezember, das auf smartphone-prize.de ausgelobte iPhone 7 soll gar erst im März 2018 ausgelost werden.

Auf Anfrage von heise online zeigten sich zwei Betreiber von einer Werbewelle für die eigenen Angebote überrascht. "Der Verursacher wird von uns identifiziert und unverzüglich aufgefordert, die Bewerbung und die Verlinkung auf Gewinnspiele der Whitehouse Marketing zu unterlassen", schreibt zum Beispiel die Firma Whitehouse Marketing, die getyour-gift.de betreibt.

Auch die Mainzer Firma Lead Spot Media, die hinter der Website smartphone-prize.de steht, bestreitet jede Kenntnis. Man lasse die Website durch Affiliate-Netzwerke bewerben, die gegen Provision Besucher auf die Seite lenken, erklärte Geschäftsführer Dennis Sauer telefonisch gegenüber heise online. Nun wolle sich die Firma bemühen, die Urheber der Werbekampagne zu identifizieren, die gegen die Werberichtlinien seiner Firma verstoße.

Werbenetzwerke zu Nutze gemacht

Wie kommt die Nerv-Werbung überhaupt auf reputable Websites, die kein Interesse daran haben, dass ihre Nutzer auf zwielichtige Gewinnspiele umgeleitet werden? Die unbekannten Verursacher der Pop-Ups machen sich die Gegebenheiten des derzeitigen Werbemarktes zu Nutze. So floriert derzeit das programmatische Advertising, bei dem Werbetreibende auf Echtzeit-Marktplätzen nicht mehr Werbeplätze auf bestimmten Webseiten kaufen, sondern sich direkt an bestimmte Zielgruppen wenden.

Ruft beispielsweise eine 25-jährige Frau mit Vorliebe für Videospiele eine Website auf, wird andere Werbung ausgespielt als bei einem 58-jährigen Gartenbau-Enthusiasten. Möglich machen das weit verbreitete Werbenetzwerke, die haarklein die Surf-Historie und andere Daten erfassen, um Nutzer in vermarktbare Kategorien zu sortieren. Der Werbetreibende weiß so nicht mehr im Einzelnen, auf welchen Websites er wirbt. Er bezahlt dafür, seine Zielgruppe zu erreichen – wo immer sie grade surfen mag.

Auch Website-Betreiber haben so weniger Kontrolle darüber, welche Werbung auf ihren Websites ausgespielt wird. Folgerichtig geben sich betroffene Verlage auf Anfrage von heise online sehr einsilbig, was die Nerv-Pop-Ups betrifft: Man habe die Kampagne den technischen Dienstleistern gemeldet, heißt es unisono. Mehr Informationen gibt es aber kaum.

"Wir wollen natürlich nicht, dass unsere Leser mit unseriösen Angeboten konfrontiert werden und ergreifen alle Maßnahmen, um dies zu unterbinden", sagt zum Beispiel ein Sprecher der Madsack Mediengruppe, zu der die "Hannoversche Allgemeine Zeitung" gehört. "Wir beobachten, dass mit viel krimineller Energie versucht wird, unseriöse Inhalte über das Google-Netzwerk zu verbreiten", beklagt der Sprecher. Ob die Gewinn-Pop-Ups in Frage tatsächlich über Googles Werbenetzwerke eingespielt wurden, wie es der Text einzelner Pop-Ups nahelegt, wollte er jedoch nicht bestätigen. Google selbst verweigerte auf Anfrage von heise online jeden Kommentar zu spezifischen Werbekampagnen.

Der Werbung-wechsel-Dich-Trick

Etwas auskunftsfreudiger sind Betreiber kleinerer Websites. Zum Beispiel hat die Tech-Webseite Computerbase.de Anfang Juli kurzerhand einen Großteil der Werbeauslieferungen gestoppt, nachdem die Pop-Ups für Leserbeschwerden gesorgt hatten. In Zusammenarbeit mit dem Vermarkter HiMedia konnte der Betreiber das Problem jedoch schnell beheben.

Gegenüber heise online berichtet Julia Wollering von HiMedia von den Tricks der Auftraggeber. So überprüfe der Vermarkter zwar alle Werbemittel, die auf den betreuten Websites auftauchen sollen. "Allerdings werden in solchen Fällen vereinzelt unzulässige Methoden angewandt, bei denen sich hinter sogenannten Redirects am Ende andere Werbemittel verstecken als angegeben." Nachdem die Werbekampagne bereits läuft, tauschen die Urheber also Skripte und Inhalte aus. Was vorher wie eine harmlose Bannerwerbung aussah, ist plötzlich eine Umleitung auf eine aggressive Werbe-Website.

HiMedia konnte nach kurzer Suche den verantwortlichen Account ausfindig machen und deaktivieren. Neue Nerv-Pop-Ups sind seither nicht mehr aufgetreten. Allerdings haben die Urheber Auswahl unter genug anderen Websites und Vermarktern – oder können Namen und URL wechseln. So tauchten die Nerv-Pop-Ups erst am vergangenen Wochenende zum Beispiel auf den Websites der Nachrichtenagenturen Reuters und APNews auf.

Facebook will gegensteuern & was kann man dagegen tun?

Dieses "Cloaking" genannte Problem beschäftigt mittlerweile auch die Großen in der Werbebranche. So hat auch der Social-Media-Konzern Facebook vor kurzem angekündigt, künftig den eigenen Überprüfungsprozess von Anzeigenkampagnen zu verstärken. "Weil das Cloaking mittlerweile auf vielen der heutigen digitalen Plattformen existiert, werden wir mit anderen Firmen zusammenarbeiten und neue Wege finden, dieses Problem zu bekämpfen und die Verursacher zu bestrafen", heißt es im Unternehmens-Blog. Unter anderem will der Konzern künstliche Intelligenz gegen die Werbefälscher einsetzen.

Ob Facebook tatsächlich Mittel und Wege findet, zusammen mit anderen Unternehmen den Urhebern das Leben schwer zu machen und Nutzer effektiv vor unseriöser Werbung zu schützen, bleibt jedoch abzuwarten. Anders als in der Computersicherheit beruhen die Sicherheitsstandards der Online-Werbebranche eher auf informellen Absprachen und Prozessen, es gibt keine CERT-Warnmeldungen oder öffentliche Datenbanken erfolgter Missbräuche. Werbekonzernen wie Facebook und Google dürfte es schwer fallen, die Einstiegshürden für Nerv-Werber zu ihren Werbenetzwerken zu erhöhen. Ihre Werbegeschäft fußt ganz auf der Annahme, dass jederman Werbung schalten können sollte.

Kann man sich schützen?

Die gute Nachricht zuerst: Bei unseren Stichproben konnten wir keine unmittelbare Schadwirkung der Pop-Ups feststellen: Sie nerven – mehr passiert allerdings nicht. Allerdings gibt es keine Garantie, dass dies so bleibt. Die Urheber haben bewiesen, dass sie nach Belieben Skripte auf seriösen Seiten unterbringen können. Falls die Provisionen aus dem Direktmarketing nicht mehr fließen, könnten sie sich nach anderen Einnahmequellen umsehen.

Wie erwähnt, zielen die Kampagnen mit Fake-Gewinnen derzeit explizit auf Nutzer, die Links auf Facebook oder Twitter anklicken. Das Verbraucherschutzportal Mimikama rät deshalb dazu, den internen Browser im Facebook-Client zu deaktivieren. Die Verbraucherzentrale NRW schlägt hingegen vor, den Browser-Cache zu leeren. Beide Maßnahmen können aber nur kurzfristig helfen, bis man selbst wieder in das Kaufschema der betrügerischen Werber fällt. (jo)