Aufgedeckt: Großes Netzwerk für Affiliatebetrug aus China

Manchmal gibt es Zufälle, die sollte es eigentlich garnicht geben. Aktuell arbeite ich zum Beispiel an einem Relaunch von meiner Fussballwebseite primera-division.com. Diese Seite soll einfach mal aus 2011 in 2013 reingeholt und optimiert werden. In den vergangenen Monaten habe ich für die Seite ehrlicherweise kaum was getan. Redakteure schreiben Ihre Artikel, ich bezahl die Rechnungen und das wars.

Bereits am Wochenende habe ich entdeckt, dass ein fieser Zeitgenosse sich die Domain primeradivisiones.com registriert hat und sich da auch 1 zu 1 den Content von meiner Webseite klaut. Diese Domain ist zwar laut Whois auf meinen Namen registriert, aber sie gehört mir nicht und die angegebene Email „timoifach@gmail.com“ ist mir auch gänzlich unbekannt.Heute morgen entdeckte ich zudem noch einen komischen Referrer, der aus einer Url mit IP bestand und auf eine Seite mit asiatischen Schriftzeichen (aut Google Chrome handelt es sich dabei um vereinfachte chinesische Schriftzeichen) führte. Auf dieser Seite ist auch meine Webseite primera-division.com und im gleichen Zusammenhang auch primeradivisiones.com genannt.

In dem folgenden Bild sieht man, wie der Referrer in der Statistik auftaucht (und nebenbei auch, warum die Seite einen Relaunch nötig hat 😉 ):

Statistik

Im ersten Moment ging ich erstmal vom einfachen Fall des Contentklaus aus, doch heute bekam ich einen Anruf von Belboon mit sinngemäß der folgenden Aussage:

Wir haben in der letzten Zeit beobachtet, dass viele Stornierungen bei Ihrem Account auftreten und die Advertiser sind dementsprechend nicht zufrieden. Wir sind kurz davor Ihren Account zu kündigen, möchten aber vorher mit Ihnen nochmal Rücksprache halten.

Im ersten Moment war ich erstmal Baff. Belboon, klar kennt man das Affiliatenetzwerk. Vielleicht habe ich mich auch 2007 oder so mal dort angemeldet. Aktiv beworben habe ich die Partnerprogramme aber nie.

Im Laufe des Telefonats mit A. Koberstein von Belboon haben wir die Domain und die Kontaktdaten bei Belboon überprüft. Die Domain war (die falsche) primeradivisiones.com und alle anderen Daten stimmten natürlich wie schon bei der Domainadresse überein, nur die Zahlungen gingen an jemanden anderen. In dem darauffolgenden Emailverkehr teilte ich die aus meiner Sicht komische Url mit, die ich in meiner Statistik entdeckt habe.

Diese Url ist http://198.71.82.65/Mr9SM?s=1. Dort sind neben meiner Webseite auch noch nach meiner Zählung 62 oder 63 weitere Webseiten aufgelistet. Alle nach dem gleichen Muster, einmal mit Originaldomain und einmal eine ähnliche, aber nicht zu dem Projekt gehörende Domain. Bekannte Vertreter in der Liste sind unter anderem:

  • mag7.net
  • pcgames.de
  • stadt-bremerhaven.de

Ein Screenshot:

Mr9 SM

Wie funktionert das Ganze?

Mit ein bisschen Recherche ist mein aktuelle Informationsstand folgender:

Die IP-Adresse gehört zu einer „Enzu Inc“ in den USA. Dahinter steht der Cloudhoster enzu.com. Vermutlich ist dieser aber nicht verantwortlich. Ganz unten ist zudem ein Copyright von Mr.9 Limited angegeben, welches auf die Domain dazhou.net zeigt. Dies könnte der Verantwortliche sein, unter Umständen aber auch nur der Entwickler des Tools. Bei dem Tool handelt es sich um Mr9 SM, wobei SM wahrscheinlich für Site Mirror steht. Das Tool selber wird mehrfach eingesetzt, zumindest auch noch unter http://www.lookforedu.com/jack?s=1 (für verschiedene Pornoseiten) und vermutlich auch vielfach noch in geschützten Umgebungen. Die Domain dazhou.net hat allerdings unpraktischerweise einen Whoisschutz, so dass man ohne Weiteres nicht den Besitzer feststellen kann. Die Domain selber zeigt aber auf die IP 69.197.34.202, die wieder in den USA angesiedelt ist. Auf der gleichen IP liegen noch weitere Webseiten, darunter auch hxx.me und wkk.me.

Auf dem ersten Blick gibt es hier nur einen 404-Fehler zu sehen, auf dem zweiten Blick sind aber auch zwei interessante Links zu sehen:

404 oder nicht?

Der erste Link führt wieder zu der bereits bekannten Domain dazhou.net. Der zweite Link zu der aktuell nicht erreichbaren (oder aus Deutschland nicht erreichbaren?) Domain mr9.info, ebenfalls mit Whoisschutz. Laut dem Google-Index gibt es hier zumindest ein Forum und verschiedene Demos, leider alles ohne Cacheversion.

Viel interessanter finde ich aber den Linktext „Site Mirror Script, Cookie Stuffing Script“. Da hoppelt der Hase also: Es werden Webseiten kopiert, vermutlich über eine Art Proxysystem, und die kopierten Webseiten werden in Affiliatenetzwerke als Werbeflächen eingetragen, der eigentliche Traffic kommt aber aus einer unbekannten Quelle und wird mit der illegalen Methode Cookie Stuffing aus dem Blackhat-Bereich vergoldet. Beim Cookie Stuffing geht es darum, ahnungslosen Besuchern Cookies unterzuschieben und so Provisionen zu kassieren. In der Regel sind die beworbenen Seiten erst garnicht sichtbar.

Die Fakten im Überblick:

Hier nochmal die bisherigen Fakten in der Übersicht:

  1. Es gibt ein Tool Mr9 SM, das Webseiten mit einem Proxysystem kopiert. Damit verbunden sind die beiden Domains dazhou.net und mr9.info
  2. Die kopierten Webseiten werden unter Domains abgelegt, die auf die Namen und Adressen der echten Besitzer registriert werden
  3. Unter den gleichen Daten werden die kopierten Seiten bei Affiliatenetzwerken wie Belboon als Werbeflächen eingetragen, nur die Kontodaten sind anders
  4. Mittels Cookie Stuffing und einer unbekannten Trafficquelle werden über die kopierten Webseiten Erlöse erzielt. Dabei handelt es sich um Affiliatebetrug!

Meiner Meinung nach ist es sehr schwer, dass ganze Ausmaß des Netzwerkes zu durchblicken. Da es sich bei Mr9 SM um ein Script handelt, das ich bereits auf zwei verschiedenen Domains gefunden habe, gehe ich davon aus, dass es auch aktiv vertrieben wird. Das bedeutet wiederrum, dass es sich hier nicht nur um einen Einzelfall handeln könnte, sondern mehrere Täter mit der gleichen Methode diese Masche durchziehen könnten.

Neben Belboon könnte auf affili.net betroffen sein. Dort bin ich ebenfalls seit Jahren nicht mehr aktiv, habe aber auch eine erhöhte Anzahl an Referrern in meinen Statistiken gefunden. Ehrlich gesagt habe ich auch etwas gezögert, ob ich affili.net informieren soll, da ich nach der Otto-Affäre von 2007 rein garnichts mehr von diesem Netzwerk halte, das ohne Grundlage bei Fehlern eines Advertisers die Publisher bestraft. Habe es aber trotzdem gemacht, da ja nicht nur affili.net Schaden davon trägt.

So kann man die Domain ins Leere laufen lassen

Hier ein Lösungsvorschlag, wie man die ungewollten Webseitenkopien ins Leere laufen lassen kann. Mein Dank geht hierfür an Nils Orichel von ledoxy.com.

Schritt 1: Erstelle eine leere PHP-Datei mit dem Inhalt <?php phpinfo(); ?> (ohne die Anführungszeichen) und lade diese auf deine Webseite hoch.

Schritt 2: Rufe die neu erstelle Datei über die falsche Domain auf (in meinem Fall ist dies primeradiviones.com)

Schritt 3: Suche nach dem Eintrag _SERVER[„REMOTE_ADDR“] und notiere dir die dort stehende IP-Adresse. In meinem Fall ist dies 198.71.82.65, jedoch könnte diese unterschiedlich sein.

Schritt 4: Erstelle oder erweitere deine .htaccess-Datei um folgende Rewrite-Regel. Ersetze dabei die IP-Adresse mit der notierten Adresse aus Schritt 3. Wichtig ist auch, dass die Informationsseite außerhalb deiner Webseite liegt, da du sonst eine Endlosschleife erstellst. Gerne kannst du dabei meine Infoseite nehmen oder diese auch kopieren und anpassen.

RewriteCond %{REMOTE_ADDR} ^198\.71\.82\.65$
RewriteRule ^(.*)$ https://www.seohelfer.de/info.html [L,R=301]

Weitere Maßnahmen

Gleich im Anschluss des Artikels werde ich die Webmaster aller betroffenen Webseiten per Email anschreiben. Bitte fasst diese Mail nicht als Spam auf, denn da ich selber betroffen bin, möchte ich euch über die Masche informieren und euch davor warnen.

Wenn es weitere Updates oder Entwicklungen gibt, werde ich diesen Artikel dementsprechend erweitern. Ich freue mich auch über deinen Kommentar!

Update #1:

Habe mittlerweile von vielen Webseitenbetreibern Feedback erhalten. Das Problem ist manchen neu, manchen aber auch schon bekannt. Als Betroffener sollte man eine Strafanzeige gegen Unbekannt stellen und kann wohl auch bei Kontakt zu godaddy.com, wo die Domains der Kopien registriert worden sind, über das Formular https://supportcenter.godaddy.com/DomainServices/ChangeRequestPage.aspx?ci=58841 Zugriff auf die Domain erhalten. Das habe ich selber noch nicht getestet und es soll auch 2-3 Tage dauern, bis das bei Godaddy durch ist.

Update #2

Nach einem stressigen Tag und gefühlten 100 Mails kommt jetzt gegen Abend nochmal ein Update. Insgesamt ist das Ausmaß der Sache und die Resonanz viel größer, als ich angenommen habe.

Das Netzwerk selber scheint es, zumindest nach den Daten der Domainregistrierungen, seit etwa Mitte Januar zu geben. Jetzt könnte man über eine Schadenssumme spekulieren, aber diese wird vermutlich ziemlich hoch sein. Und vor allem ohne genaue Zahlen nur Spekulation bleiben. Daher werde ich das hier nicht machen.

Insgesamt sind laut Andre Kolell folgende Affiliatenetzwerke betroffen:

  • Affilinet
  • Belboon
  • Gamigo
  • Matomy
  • NetAffiliation
  • Webgains
  • Zanox

Superclix konnte einen Missbrauch bisher ausschließen und hat zudem eine gute Liste mit Hinweisen veröffentlicht, wie Netzwerke solche Betrugsversuche im Ansatz erkennen können.

In der Mailkommunikation mit betroffenen Webmastern haben sich folgende Tipps zur weiteren Vorgehensweise herauskristalisiert:

  • Anzeige bei der Polizei stellen, um sich vor eventuellen Forderungen zu schützen, dazu vorher alle Beweise sichern. Die Anzeige kann man auch online stellen, ich würde aber empfehlen persönlich zur Polizei zu gehen.
  • Bei den Netzwerken melden und eventuelle Accounts schließen lassen.
  • Die Webseitenkopie ausschließen. Einen Lösungsansatz dazu gibt es weiter oben.
  • Versuchen, bei Godaddy die Domain zu übernehmen (siehe Update #1). Dies kann 2 bis 3 Tage dauern.
  • Eine Meldung an Google über eine Urheberrechtsverletzung schicken: http://www.google.de/intl/de/dmca.html#notification (danke an Robert Hartl für den Tipp)

Alles in allem ziehe ich bis jetzt ein positives Fazit und ich hoffe, dass zum einen dieses Netzwerk in naher Zukunft ausgetrocknet ist und die Netzwerke sich auch gegen ähnliche Angriffe entsprechend wappnen, um Schaden für Webmaster, Advertiser und Netzwerke im Vorfeld zu vermeiden.

In ein paar Minuten werde ich auch noch einen zweiten Artikel veröffentlichen, der sich um Mr9 SM dreht. Dies mache ich nicht hier, damit der Artikel nicht zu lang und unübersichtlich wird :)

Update #3

Nachdem am Samstag erst Cloudfare reagiert hat und die IP des Servers ausgesperrt hat, der die Kopien erstellt hat, ist jetzt auch der Steuerserver offline. Damit ist dieses Netzwerk offline. Das bedeutet aber nicht, das es nicht noch weitere Netzwerke dieser Art gibt. Weitere Schutzmaßnahmen innerhalb von Affiliatenetzwerken müssen kommen, um solche Attacken im Vorfeld zu verhindern.

GD Star Rating
loading...
Aufgedeckt: Großes Netzwerk für Affiliatebetrug aus China, 5.0 out of 5 based on 45 ratings

Über Timo Fach

Ich beschäftige mich seit mehreren Jahren mit den Themen Seo, Open Source und Domains.