Was ist SDK-Spoofing?
2017 hat sich ein ganz klarer Trend gezeigt: Betrüger setzen auf SDK-Spoofing, einigen von Ihnen vielleicht besser als Replay-Angriffe bekannt. Dabei handelt es sich um eine Möglichkeit, mit der Betrüger das Endgerät eines Nutzers angreifen bzw. missbrauchen– selbstverständlich ohne dass dieser das mitbekommt. Über das Smartphone werden App-Downloads simuliert.
Sie als Werbetreibender sind erstaunt über die Download-Zahlen und werden verführt, Ihr Budget in App-Werbung zu investieren. Nur leider ist die Wahrheit, dass die App keine echten Nutzer hat und Ihr Geld damit sinnlos verplempert wird. Ein Horrorszenario vor allem für die unter Ihnen, die ein sehr knappes Werbebudget besitzen.
Das Unschöne daran ist, dass das SDK-Spoofing sehr schlecht zu erkennen ist, denn die Geräte, auf denen die Apps angeblich installiert wurden, gibt es tatsächlich. Ebenso wie die Verbindung und die Daten. Nur der Download existiert in Wirklichkeit nicht.
Es ist noch gar nicht so lange her, da war SDK-Spoofing viel leichter zu erkennen. Die Betrüger hatten keinen Zugriff auf reale Daten. Das führte dazu, dass die generierten Daten oft keinen Sinn ergaben, was dann zur Blockierung führte. Doch die Betrüger haben dazugelernt.
Zahlen und Fakten
Wie mobilbranche.de berichtet, soll das SDK-Spoofing schon dafür gesorgt haben, dass manche Kampagnen zu 80 Prozent ausgeschöpft wurden. Dass vor allem Kampagnen betroffen sind, welche besonders groß ausgelegt sind und viel Aufmerksamkeit bekommen, dürfte wohl keine allzu große Überraschung sein. Die Zahl dürfte zudem noch nach oben gehen, wenn keine Gegenmaßnahmen ergriffen werden.
Wie Sie sich schützen können
Nichts wäre ärgerlicher, als auf SDK-Spoofing hereinzufallen. Mittlerweile gibt es einen Weg, mit dem Sie sich ganz gut schützen können. Die Lösung: ein Signatur-Hash. Er erweitert die URL um einen dynamischen Parameter oder Code, welcher zum einen nur einmalig benutzt wird, und zum anderen, nicht einfach zu erraten ist bzw. gestohlen werden kann. Dadurch können die Betrüger ihn nicht nachvollziehen und infolgedessen nicht für ihre Zwecke nutzen.
Die Adtech-Firma „Adjust“ hat eine solche Möglichkeit entwickelt. Das Berliner Start-up gibt es seit fünf Jahren und hat schon einige große Apps als Kunden gewonnen, die diese Technik selbstverständlich auch nutzen (z. B. Spotify oder Telekom).