Volgende!
De BTW-verhoging op festivaltickets is een slecht idee: ‘Mensen hebben een uitlaatklep nodig’
Terug naar Brandpunt+

Google verwijdert Bitcoin-advertenties na misbruik reclameservers

  • Artikel
  • 19 feb 2020
  • 6 minuten leestijd

De malafide advertenties waren het werk van een internationaal opererende groep oplichters die op meerdere online reclamenetwerken actief waren.

Advertenties van de groep werden over de loop van meer dan een jaar miljoenen keren vertoond in minstens een dozijn landen, van Singapore tot Nederland. In de hoofdrol figureerden altijd lokale beroemdheden die in hun eigen taal malafide Bitcoinfondsen aanprijsden. In ons land ging het om onder andere Alexander Klöpping en Matthijs van Nieuwkerk

Via diverse reclameservers - dus niet uitsluitend via Google - verdienden de oplichters naar schatting soms meer dan een miljoen dollar per dag. Dit blijkt uit onderzoek van het Amerikaanse Confiant. In samenwerking met Brandpunt+ bracht dit IT-beveiligingsbedrijf de activiteiten van Bitcoin-oplichters gedetailleerd in kaart. Confiant specialiseert in het beveiligen van advertentieservers en rekent onder meer eBay en de Daily Mail tot zijn klanten. 


Jort Kelder: Google wil probleem niet oplossen

Journalist Jort Kelder, die mede namens anderen, onder wie Alexander Klöpping, in december een bodemprocedure aankondigde tegen Google vanwege de Bitcoin-advertenties, zegt dat de bedragen van een miljoen per dag hem “nauwelijks verbazen”. “Heel veel bekende mensen hebben hier wereldwijd last van, dus het moet wel om een grote operatie gaan”, aldus Kelder. Volgens Kelder doen techreuzen zoals Google en Facebook te weinig om het probleem van fraudulente advertenties te bestrijden. “Ze kunnen wel, maar willen niet. Heeft met hun verdienmodel van doen, ieder filter kost ze bereik en dus geld.”

De ontmaskerde oplichters waren voor zover bekend niet actief op Facebook en bereikten hun publiek vooral via servers die advertenties tonen op sites van derden. De reclames kwamen zo ook terecht op sites die niks met de oplichting te maken hadden, waaronder die van Marktplaats en De Telegraaf.

De Spaanse onderneming Revenue Lift was verantwoordelijk voor de inkoop van deze advertentieruimte. Dit bedrijf, met kantoren in Tel Aviv, Buenos Aires en Barcelona, wist de controleprocedures van advertentieservers te omzeilen door eerst reclames voor legitieme producten online te zetten, zoals sokken en chartervluchten. Vervolgens werden de plaatjes middels een technisch slimmigheidje vervangen door bewerkte foto’s van beroemdheden die naar nepnieuwspagina’s linkten waarop Bitcoin-investeringen werden aangeprezen.


Oplichters konden wekenlang ongestoord hun gang gaan

Confiant liet Google begin januari 2020 al weten dat de reclameservers van het bedrijf misbruikt werden door deze groep Bitcoin-oplichters. Toen Brandpunt+ tegen het eind van die maand contact met Google opnam, stonden er desondanks nog steeds advertenties live die te herleiden waren naar dezelfde groep hackers. Inmiddels zijn deze wel offline gehaald. “Wanneer we advertenties tegenkomen die niet aan ons beleid voldoen, ondernemen we actie”, aldus een woordvoerder. “Dat kan betekenen dat we advertenties verwijderen of accounts van adverteerders beëindigen.”

De groep hackers die Confiant nu heeft ontmaskerd trekt al minstens twee jaar van land tot land en laat daarbij een spoor van verontwaardigde publiciteit achter. Recent was de groep in Duitsland actief. In oktober: Australië Mei: Spanje. December 2018: Frankrijk. De groep werd in juni 2019 voor het laatst in Nederland gesignaleerd.

Door het afgelopen half jaar Bitcoinreclames op reclameservers te monitoren en de onderliggende programmeercode te bestuderen, wist Confiant vast te stellen dat een groot deel van deze advertenties van één partij afkomstig was. Zo deelden pagina’s waar de advertenties naar leidden dezelfde unieke codes die gebruikt worden om bezoekersaantallen vast te stellen: een soort digitale vingerafdruk. Ook waren in de programmeercode lijsten met domeinnamen terug te vinden die de hackers gebruikten.

Bitcoin-advertentie voorbeeld Marktplaats Matthijs van Nieuwkerk


Sergi Montero: Spanjaard die in Amsterdam studeerde

Door navraag te doen bij beheerders van advertentieservers kon Confiant de advertenties herleiden naar Revenue Lift. Smart Adserver, een in Frankrijk gevestigd bedrijf dat ook actief is is in de internationale online advertentiemarkt, bevestigt dat Revenue Lift ook haar systemen heeft proberen te misbruiken in oktober 2019. “Ze zeiden eerst dat ze zelf gehackt waren”, aldus Jean Christophe Peube, hoofdverantwoordelijke voor beveiliging bij het bedrijf. In november probeerde Revenue Lift weer Bitcoin-advertenties binnen te smokkelen op hun servers. “Toen konden we aantonen dat ze daar zelf verantwoordelijk voor waren en hebben we hun account onmiddellijk gesloten.” Volgens Peube is het probleem daarmee in de kiem gesmoord.

Revenue Lift staat bij de Spaanse Kamer van Koophandel ingeschreven op naam van ene Sergi Montero. Montero’s LinkedIn-profiel getuigt van een carrière in eventmanagement, tot 2018. In dat jaar claimt hij leidinggevende te zijn geworden bij het online advertentiebedrijf. Montero studeerde een jaar in Amsterdam aan de HvA en foto’s op zijn Facebook laten zien dat hij ons land daarna nog heeft bezocht. Montero reageerde niet op meerdere verzoeken om commentaar. Wel werd zijn foto prompt van de site van Revenue Lift verwijderd en verdwenen alle verwijzingen naar het bedrijf van zijn LinkedIn-profiel. (Via Google zijn deze wel nog te vinden.)


Recordwinst: 1,2 miljoen dollar in één dag

Omdat Confiant veel online advertenties monitort was het bedrijf in staat een schatting te maken van de omvang van de fraude. Het aantal Bitcoin-advertenties dat de groep rondom Revenue Lift online zette wisselde sterk van dag tot dag, maar op 14 januari 2020 werden alle records gebroken: toen werden advertenties van de groep in Duitsland maar liefst 14 miljoen keer vertoond. Meer dan 200.000 mensen klikten de advertenties ook daadwerkelijk aan. Uit eerder onderzoek van Brandpunt+ blijkt dat Bitcoin-oplichters $600 betalen per aangeleverd slachtoffer. Als 1% van alle geïnteresseerden dus daadwerkelijk de creditcard trok betekent dit dat de oplichters die dag 1,2 miljoen dollar hebben verdiend. Volgens Google zijn deze aantallen in ieder geval op hun servers niet gehaald. Het bedrijf wil niet zeggen hoe vaak de advertenties dan wel vertoond zijn.


Landelijke politie ‘nutteloos’ bij bestrijding probleem

Ondanks al het beschikbare bewijs heeft voor zover bekend niemand aangifte gedaan tegen Revenue Lift. Peube, van het Franse Smart Adserver, zegt dat zoiets doorgaans weinig zin heeft. Dader en slachtoffers bevinden zich doorgaans beiden in het buitenland dus een internationale aanpak is noodzakelijk. “Landelijke politie-eenheden zijn nutteloos in dit soort zaken”, zegt Peube. 

Jort Kelder herkent deze frustratie. Hij deed in oktober 2019 aangifte van oplichting en heeft tot nu toe nog nog niets van de politie over zijn zaak gehoord. “Het zijn natuurlijk grensoverschrijdende fraudes, dus er zal internationaal samengewerkt moeten worden”, zegt hij. “Maakt ’t lastiger, maar zeer eigentijds. Digitale fraude moet op het hoofdmenu van Justitie, mij dunkt.”

Eric van den Berg