Damit das Skript Daten an Google Analytics übermitteln kann, muss der Platzhalter UA-XXXXX-Y durch die individuelle Tracking-ID des jeweiligen Nutzers ersetzt werden. Diese ist somit jedem Programm zugänglich, das den HTML-Code einer entsprechend präparierten Website ausliest.
Schließen lässt sich diese Sicherheitslücke mithilfe des Google Tag Managers. Dieser bietet Webseitenbetreibern eine Benutzeroberfläche, über die sich Code-Snippets von Google (sogenannte Tags) zentral verwalten lassen. Statt diverser Tags für verschiedene Google-Dienste wird somit lediglich ein Code-Snippet für den Google Tag Manager in den HTML-Code eingebunden. Der Tracking-Code von Google Analytics inklusive individueller ID bleibt somit vor dem Zugriff Dritter geschützt.
Ghost-Spam kann prinzipiell jeden Google-Analytics-Bericht betreffen. Neben den Referrer-Informationen nutzen Hacker vor allem die Berichte über Top-Events, Keywords, Landingpages oder Spracheinstellungen, um manipulierte Traffic-Daten einzuschleusen.
Als erfolgreichster Akteur auf dem Gebiet des Ghost-Spams gilt der Russe Vitaly Popov. Dem Hacker gelingt es seit 2014 immer wieder, URLs eigener Webseiten in Google-Analytics-Konten einzuschleusen. Ende 2016 foppte der Hacker die Netzgemeinde mit einer vermutlich geheimen Google-Seite. Neben den klassischen Kürzeln wie de, de-de oder en-us fanden tausende Analytics-Nutzer weltweit folgende Botschaft in den Berichten zur Spracheinstellung ihrer Webseitenbesucher:
„Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!“
Doch neugierige Webseitenbetreiber, die der Einladung folgten, landeten nicht bei Google. Denn:
ɢoogle.com ≠ Google.com
Stattdessen erfolgte eine Umleitung auf Popovs Website, deren URL fast den gesamten Text des Pink-Floyd-Hits Money aus dem 1973 erschienenen The Dark Side of the Moon enthält.
money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com/#.keep.off.my.stack.money.it.is.a.hit.do.not.give.me.that.do.goody.good.bullshit.i.am.in.the.hi.fidelity.first.class.travelling.set.and.i.think.i.need.a.lear.jet.money.it.is.a.secret.%C9%A2oogle.com/#.share.it.fairly.but.dont.take.a.slice.of.my.pie.money.so.they.say.is.the.root.of.all.evil.today.but.if.you.ask.for.a.rise.it’s.no.surprise.that.they.are.giving.none.and.secret.%C9%A2oogle.com
Ziel der URL war eine Website im Stil eines Webkatalogs der frühen 2000er-Jahre mit Links auf diverse Suchmaschinen und Onlineshops. Heute führt die URL ins Leere. Was Popov mit seiner Spam-Attacke genau bezweckte, ist unklar. Möglicherweise ging es dem Hacker nur darum, das Täuschungspotenzial der Typosquatting-URLɢoogle.com zu testen.
Grundsätzlich gilt: Ghost-Spam ist lästig, stellt jedoch keine Gefahr für Ihre Website dar. Da bei gefälschtem Traffic keine echten Webseitenaufrufe erfolgen, werden weder Ihr Server noch die Logfiles durch automatische Abfragen belastet. Problematisch wird Ghost-Spam jedoch dann, wenn Sie Website-Statistiken via Google Analytics auswerten möchten.