Click-Hijacking ist eine betrügerische Form von Klickbetrug, bei der echte Benutzerklicks abgefangen oder umgeleitet werden, um dem Betrüger zu nützen (z.B. Affiliate-Provision, Conversion-Zuordnung, Kosten für den Werbetreibenden).
Die beim Click-Hijacking verwendeten Techniken umfassen versteckte iFrames und unsichtbare Schaltflächen, Overlays, Weiterleitungen, Cookie-Stuffing und die Manipulation von Postbacks.
Welche Techniken werden beim Click-Hijacking verwendet?
Transparente Elemente (iFrame, Schaltflächen) werden über die sichtbare Oberfläche gelegt. Ein Klick, obwohl der Benutzer denkt, er sei an der richtigen Stelle, geht an das versteckte Element, nicht an den erwarteten CTA. Overlays und mobile Overlay-Angriffe funktionieren ähnlich. In mobilen Anwendungen ändern bösartige Overlays (gefälschte Eingabeaufforderungen) oder Ad-Stacking den Ort der Klickzuordnung.
Dies geschieht durch bösartigen Code auf der Website des Publishers — der Publisher oder ein kompromittierter Werbetreibender fügt direkt ein Overlay/iFrame ein. Anzeigenformate auf Websites werden ebenfalls zu diesem Zweck verwendet. Anzeigen-Creatives können beim Laden Schichten oder Weiterleitungen injizieren, ohne dass der Benutzer etwas installieren muss. Eine andere Methode ist Cross-Site-Scripting (XSS) — eine Schwachstelle auf der Website ermöglicht das Injizieren eines Skripts, das ein Overlay erstellt. Programmatische Anzeigen und Partner-Tags/Skripte von Partnern/SSP/DSP können dynamisch Elemente zur Seite hinzufügen. Auch ein Webview in einer App kann von einem SDK oder einer bösartigen Bibliothek manipuliert werden, ohne dass der Benutzer Erweiterungen installiert.
Das Überlagern von Elementen (Overlay, versteckte iFrames, unsichtbare Schaltflächen) zur Durchführung von Click-Hijacking erfordert daher nicht immer, dass der Benutzer beispielsweise ein Add-on installiert. Viele Click-Hijacking-Overlays funktionieren direkt im Browser mit regulärem JavaScript, das von externen Skripten/Anzeigen oder einem infizierten Server geladen wird — ohne jegliche Erweiterung.
Solche Skripte können den Traffic sofort auf eine Affiliate- oder Tracking-URL umleiten und die Zuordnung übernehmen.
Manipulation der Conversion – verwendete Methoden
Cookie-Stuffing und Postback-Manipulation sind in der Regel ausgefeilter, technisch schwieriger auszuführen und schwerer zu erkennende Angriffe als einfache Overlays.
Cookie-Stuffing erfordert die präzise Injektion von Affiliate-Cookies im richtigen Format und Timing (oft durch eine Kette von Weiterleitungen, Skripten oder bösartigen Ressourcen), sodass eine spätere Conversion dem Betrüger zugeschrieben wird, obwohl der Benutzer keinen absichtlichen Klick gemacht hat. Cookie-Stuffing kann den Benutzer über viele Sitzungen hinweg beeinflussen (das Cookie bleibt bestehen) und bietet Betrügern langfristige Gewinne.
Wenn die Zuordnungslogik nur die erste Zuweisung akzeptiert (First-Click) oder eine Conversion-Deduplizierungsregel verwendet (z.B. eine Zuweisung pro Benutzer/Gerät/Sitzung), werden viele Fälle von Cookie-Stuffing, bei denen ein gefälschtes Cookie versucht, die Conversion mehrfach zuzuweisen, neutralisiert. Cookie-Stuffing funktioniert jedoch oft so, dass das gefälschte Cookie vor dem echten Klick/der echten Quelle gesetzt wird, sodass der Betrüger bei Verwendung der First-Click-Zuordnung eine dauerhafte Zuweisung als „Erster“ erhalten kann. Die Deduplizierung wird diese einmal zugewiesene Conversion nicht entfernen.
Manipulierte Postbacks hingegen beinhalten das Fälschen von Servernachrichten (Postbacks), die an Affiliate-Plattformen gesendet werden — oft erfordert dies Kenntnisse über Partner-APIs, HMAC/Zeitstempel und das Umgehen von Verifizierungsmechanismen. Gefälschte Postbacks ermöglichen die Massenberichterstattung von Conversions ohne tatsächliche Client-seitige Ereignisse und skalieren den Betrug ohne Benutzerinteraktion.
Beide Angriffe können in Berichten als „gültige“ Klicks/Conversions erscheinen (korrekte Zuordnungszuweisung, korrekte UTM-Parameter), sodass die Erkennung die Korrelation mehrerer Signale erfordert: Zeit-Anomalien, Diskrepanzen zwischen Client-seitigen und Server-seitigen Protokollen, Fingerabdruck-Unstimmigkeiten, unnatürliche Partner-Muster.
Beide Techniken sind langfristig ausgefeilter und effektiver, da sie Zuordnungssysteme und Server-Kommunikationskanäle manipulieren — die Verteidigung erfordert fortgeschrittene Validierung, Protokollkorrelation und serverseitige Sicherheitsmaßnahmen.
Erkennungssignale
- Plötzlicher Anstieg der Klicks ohne proportionalen Anstieg der Conversions.
- Hohe CTR mit sehr kurzer Sitzungsdauer und hoher Absprungrate.
- Conversion-Gruppen konzentrieren sich auf eine Partner-/Affiliate-ID.
- Clusterbildung nach IP/Geräte-Fingerabdruck (wiederholte Geräte).
- Unlogische Klick-zu-Conversion-Zeiten (z.B. sofortige Installationen/Käufe).
Kann unabhängige Analytik helfen?
Unabhängige On-Site-Analytik von einem Tool-Anbieter hilft erheblich, Anomalien zu erkennen und Identifikatoren zu korrelieren, vorausgesetzt, die Integration ist korrekt gestaltet. On-Site-Tracking zeichnet Klicks, Sitzungen und Referrer direkt auf der Website/App auf — und liefert Primärdaten, die mit Partnerdaten verglichen werden können.
Der Vergleich von Client-seitigen IDs (device_id, cookie_id, click_id, click_timestamp, referrer_chain, transaction_id, device_fingerprint, IP, UA, landing_page, campaign_params/UTM) mit Server-seitigen Postbacks zeigt alle Diskrepanzen und Spoofing auf.
Verwenden Sie Quarticon-Tools für zusätzliche On-Site-Conversion-Analytik.
