swiat hat geschrieben:Vor Bots kann man sich zu einem bestimmten Grad schützen, vor Leuten die von Hand klicken nicht.
Vor einigen Angriffen kann man sich leider gar nicht schützen, denn es gibt einen einfachen Trick, mit dem sich sämtliche momentan möglichen Schutzmaßnahmen umgehen lassen. Dann hilft selbst das Entfernen der Werbung oder sogar die Deaktivierung der Webseite nichts. Das liegt daran, dass Google nicht prüft, ob die Werbung tatsächlich von der Seite des Publishers aus geladen wurde oder von einer gefälschten Seite, die sich als die echte Seite ausgibt.
Sobald ein Angreifer einmal den Ad-Code des Opfers hat (also den AdSense-Code), ist er ihm schutzlos ausgeliefert. Alles was der Angreifer tun muss ist einen lokalen Webserver zu starten, dort eine Seite mit dem Ad-Code des Opfers zu hinterlegen und via Hosts-Datei die Domain des Opfers auf localhost (127.0.0.1) umzuleiten. Dort kann er dann nach Belieben klicken, und das Opfer bekommt davon nichts mit und kann auch nichts dagegen tun.
Im offiziellen AdSense-Forum gibt es einen hochrangigen Benutzer, dessen Konto auf ähnliche Weise sabotiert wurde. Nur durch viel Glück bekam er es zurück.
Dabei wäre es technisch recht einfach, etwas gegen diese Art von Angriffen zu tun. Ich frage mich, warum Google das nicht tut. Eine mögliche Lösung wäre z.B., dass beim Ausliefern der Werbung ein einmal benutzbarer Code mit an Google übertragen wird, ähnlich wie eine TAN beim Online-Banking. Nur die echte Webseite besitzt die Liste der gültigen Codes bzw. kennt den Schlüssel zu deren Erzeugung. Ein Angreifer kann diesen Teil nicht kopieren und müsste zumindest für jeden gefälschten Klick einmal die echte Seite aufrufen (und dort würde es auffallen).