LeadsGO Betrug mit Google Analytics Hits

Massive Referral-Traffic Spikes nach Spam Attaken von leadsgo.io.

In den vergangenen Jahren nicht unüblich und auch heute noch aktuell: Du schaust in dein Google Analytics Web Interface und siehst einen massiven Traffic-Anstieg an nur einem Tag des Monats. An manchen Tagen kann dein Website-Traffic 200 bis 400 mal höher liegen als deine Baseline. Der Grund: Spam-Taktiken und Hit-Betrug von Software-Vermarktern oder Lead-Agenturen. Hier ein Beispiel von LeadsGO.

Der Problemfall: leadsgo.io Spam-Traffic

Hier ein Beispiel aus dem Lehrbuch: Du schaust in dein Google Analytics Web-Interface und siehst ein solches Bild:

Am 20. August siehst du statt maximal 10 täglichen Sessions auf einmal 400 Sessions im Daily Session-Chart. Ein Anstieg von 400 Prozent. Dein Gefühl: Das kann nicht sein! Bei genauem Hinsehen wird klar. Die 400 zusätzlichen Sessions kommen alle als Referral von der Domain leadsgo.io. Verdächtig!

Und auch in der User Acquisition sieht es nicht anders aus! (User und Sessions werden unterschiedlich gemessen).

Und an diesem Punkt ist klar: Du bist Opfer von betrügerischem Traffic-Spam eines Unternehmens (hier LeadsGO) geworden, das sich nicht im Geringsten für die Verlässlichkeit deiner Webanalyse-Daten interessiert.

Warum verfälschen Anbieter wie LeadsGO deine Traffic-Statistiken?

Die spannende Frage nun: Warum sollte ein Unternehmen (das mir zudem etwas verkaufen möchte), mich künstlich mit Traffic zuspammen? Berechtigte Frage! Die Antwort hat, in den meisten Fällen, zwei Beweggründe: Brand-Awareness und eine kranke Form von Verkaufspsychologie.

Brand-Awareness durch Traffic-Betrug

Vermarkter derartiger Lead-Agenturen wissen, dass es dort draußen Nerds, wie uns bei THE BIG C Agency, gibt: Wir checken regelmäßig unsere Search Console Performance und untersuchen unsere Google Analytics Reports fast täglich. Diesen Umstand nutzen sie schamlos aus. Das erste was man nämlich bei der Entdeckung einer neuen Traffic-Quelle tut: Schauen wer dahinter steckt. Entweder via Google-Suche oder Direktaufruf der Spam-Domain, schaut man „welcher Otto hier 400+ Websessions verteilt hat“.

Auch wenn das Ergebnis ernüchternd ist: In dem Moment lernt der/die Betroffene das erste Mal von der Existenz der Marke (in diesem Fall leadsgo.io). Entsprechend wird durch diesen Traffic-Betrug Brand-Awareness erzeugt (wenn auch nicht positiv konnotiert).

Die Hit-Spam Verkaufspsychologie

Auch wenn „Verkaufspsychologie“ hier etwas hoch gegriffen ist, versuchen derartige Spammer auch eine Beeinflussung eines potentiellen Kunden vorzunehmen. Das Verkaufsversprechen derartiger Lead-Agenturen lautet nämlich häufig:

„Stell dir vor du würdest jeden Tag 400 Besucher auf deine Website bekommen – wie viel Geld könntest du verdienen?! Wir können dafür sorgen!“

Dieser Narrativ sollte mittlerweile aus Cold-E-Mails bekannt sein und ist eigentlich nicht haltbar. Aber auf eine abstruse Art, sollen die ganzen Fake-Hits auch eine Art Produkt-Demo sein.

Nicht ausreichend für eine DDOS-Attake

Wer jetzt meint, dass diese Art der Hit-Produktion als eine Art DDOS-Attake gegen das eigene Unternehmen darstellt, kann sich entspannen. Zum einen reicht die Traffic-Menge noch nicht einmal dazu aus, einen Homeserver aus den 2000ern in die Knie zu zwingen. Zum anderen wäre es unlogisch bei einer DDOS Attacke „visuelle“ Hits in einem Browser mit Referral zu produzieren und sich nicht direkt mit Requests an den Server zu wenden.

Wie generieren Hit-Spammer so viele Hits auf deiner Website?

Die Herausforderung bei der Produktion von Hits, die für Google Analytics echt aussehen, liegt in folgenden Dimensionen:

1. Die Website muss so weit geladen werden, dass auch das Google Analytics Script lädt.
2. Es muss häufig ein Consent-Gate mit „Akzeptieren“ überwunden werden.
3. Nach jedem Aufruf müssen Cache und Cookies leer sein, um neue Nutzer und Sessions vortäuschen zu können (und vllt. sogar eine neue IP angeboten werden).
4. Die Hits müssen einen gewissen zeitlichen Versatz aufweisen, sodass keine serverseitigen Sperren auftreten oder Sicherheitskomponenten der Website bzw. des Shops greifen.

Generell gibt es mehrere Möglichkeiten, um dies zu bewerkstelligen:

Browser-Automatisierung: Am einfachsten ist es, Skripte zu schreiben oder No-Code Flows zu bauen, die eine strikte Abfolge wie Browser öffnen > Website besuchen > Link klicken > Laden abwarten zyklisch durchführen.

Bots- und Crawler: Etwas automatisierter können auch Skripte geschrieben werden, die Fake HTTP-Requests mit gefälschten Refferer-Attributen direkt an GA4 auf einer Website generieren.

Missbrauch des Measurement-Protocols: In manchen Fällen können Betrüger wie leadsgo.io auch das Measurement Protokoll von GA4 (quasi eine Hit-API) mit GA4-Measurement-ID des/der Betroffenen ansprechen und dort die Fake Infos inkl. Referrer hinterlegen.

Wie kannst du dich als Unternehmen vor dem Traffic-Betrug schützen?

Um nicht mehr so viel unerwarteten Spam-Traffic in deinen Google Analytics Reports zu sehen, kannst du folgende Maßnahmen implementieren:

Server-Side-GA4-Tracking: Durch die Umleitung der Hits von deiner Website auf einen Server Side-Container kannst du auf Server-Side-Ebene die Weitergabe der Hits an Google Analytics Server unterbinden. Am einfachsten geschieht dies über Blocklisten und Blocking-Trigger.

Client-Side Blocking: Wenn du eine klare Vorstellung von den Spam Domains (hier: leadsgo.io) hast, kannst du auch beim Laden von Tags im Client Side Container bereits Blocking Trigger konfigurieren.

Absicherung des GA4 Measurement-Protocols: Die Nutzung des Measurement Protocols kann – wie so ziemlich jede API – eingeschränkt werden. D.h. mit der Einrichtung von API Keys, die exklusiv zur Sendung von Hits berechtigen, können externe Spammer ausgeschlossen werden.

Google Analytics Bot-Traffic-Filterung: In Google Analytics kann die Option zur Bot-Traffic-Filterung aktiviert werden. Diese ist nicht perfekt (weil sie nicht immer die neuesten Spammer erkennt), aber sie ist ein guter Basisschutz.