BezpieczeństwoGoogle Ads25 porad jak zabezpieczyć swoje konto Google Ads przed włamaniem

Poniższy wpis pojawił się już w moim newsletterze, ale chciałbym do niego wrócić i poszerzyć o dodatkowe informacje oraz grafiki, ponieważ temat dotyczy bezpieczeństwa konta Google Ads. Wiele osób zakłada, że problem utraty konta reklamowego dotyczy innych ludzi, ale takie myślenie zmienia się w momencie, gdy samemu pada się ofiarą włamania na konto. Utracony dostęp do konta i uszczuplony stan konta bankowego to niestety efekt zaniedbania kwestii bezpieczeństwa. Problem nadal występuje, a oszuści wymyślają nowe sposoby, aby takie konta przejmować. Postanowiłem więc zebrać trochę informacji, jak zabezpieczyć konto Google Ads, by zminimalizować ryzyko jego utraty. Szczegóły poniżej.

Jeśli ktoś uzyska dostęp do Twojego konta Google Ads, będzie mógł z jego poziomu prowadzić własne kampanie (w tym z dużym prawdopodobieństwem takie, które będą wprowadzać w błąd kolejnych użytkowników), wydając budżet za pomocą Twojego konta (zarówno z karty płatniczej, wcześniej dokonanej przedpłaty czy fakturowania miesięcznego). W takiej sytuacji główny administrator jest usuwany z konta, więc nawet nie może sprawdzić, co się na nim dzieje. Warto również zaznaczyć, że utrata dostępu do konta Google Ads może skutkować utratą dostępu do innych serwisów, jeśli używasz tego samego loginu (maila) oraz hasła. Jeśli pod tym samym loginem posiadasz dostęp do Gmaila czy Dysku Google, wszystkie prywatne wiadomości, załączniki i pliki będą dostępne dla osoby, która przejęła Twoje konto. Jak się przed tym ochronić? Poniżej 25 wskazówek.

1. Kluczowe oczywiście będzie odpowiednie hasło do konta Google – unikalne i silne. Jeśli używasz tego samego hasła i adresu mailowego w innych witrynach, aplikacjach lub sklepach online, to w przypadku wycieku danych będziesz narażony/a na potencjalną utratę dostępu do konta Google.

2. Regularnie skanuj komputer pod kątem złośliwego oprogramowania. Dodatkowo ustaw ochronę w czasie rzeczywistym.

3. Jeśli chcesz udzielić komuś dostępu do swojego konta Google Ads, zawsze rób to z poziomu zakładki DOSTĘP I BEZPIECZEŃSTWO -> UŻYTKOWNICY/MENEDŻEROWIE. Nigdy nie podawaj swojego hasła (wiem, że brzmi to banalnie, ale nadal spotykam się z „nadawaniem” dostępu w taki sposób).

4. Usuwaj nieaktywnych użytkowników, którym kiedyś został przyznany dostęp, ale obecnie z niego nie korzystają. Często spotykam się z sytuacją, że do konta Google Ads podpięte są adresy mailowe agencji czy specjalistów Google Ads, którzy nie prowadzą kampanii od dobrych kilku lat. Jeśli utracą dostęp do swojego konta menedżera, Ty również możesz ponieść tego konsekwencje,

5. Włącz weryfikację dwuetapową na koncie Google, które wykorzystujesz do logowania się do panelu. Funkcja ta przy próbie logowania się, wymusza weryfikację tożsamości, np. w formie podania kodu z aplikacji Google Authenticator, kodu SMS, połączenia głosowego czy kodu zapasowego. Weryfikację dwuetapową ustawisz tutaj.

6. Na koncie Google Ads w zakładce 'Bezpieczeństwo’ (sekcja NARZĘDZIA I USTAWIENIA -> DOSTĘP I BEZPIECZEŃSTWO) jako metodę uwierzytelnienia również ustaw weryfikację dwuetapową.

7. W tej samej zakładce przejdź do sekcji DOZWOLONE DOMENY i wpisz tam adresy witryn, których adresy mailowe mają lub będą mieć dostęp do Twojego konta Google Ads. Jeśli korzystasz z Gmaila, rozważ zmianę adresu na ten w Twojej domenie, aby zminimalizować ryzyko podpięcia kont w domenie gmail.com.

8. Dodaj przynajmniej 2 administratorów do konta. W razie zablokowania jednego konta, z poziomu drugiego nadal będzie możliwy dostęp do konta Google Ads.

9. Sprawdź jakie aplikacje mają dostęp do Twojego konta Google i usuń te, z których już nie korzystasz lub nie wiadomo czy są bezpieczne – szczegóły tutaj.

10. Zablokuj ekran, by chronić urządzenie przez nieuprawnionym użyciem – instrukcja tutaj.

11. Pamiętaj, aby przeglądarki, aplikacje i system były zawsze zaktualizowane. Ignorowanie aktualizacji może skutkować sytuacją, w której oszuści wykorzystają luki w bezpieczeństwie.

12. Przejrzyj rozszerzenia, z których korzystasz w przeglądarce i usuń te, które są nieaktualne lub które mogą być niebezpieczne.

13. Przy logowaniu się do panelu Google Ads zawsze sprawdzaj, czy domena główna to google.com – jeśli się różni, jest to próba wyłudzenia Twojego hasła i loginu.

14. W sieci nadal pojawia się wiele reklam z darmowymi kuponami Google Ads – wiele z nich to czysty scam, więc nie klikaj takich reklam i nie loguj się do panelu.

15. W ustawieniach konta Google zawsze podawaj numer telefonu, pomocniczy adres e-mail oraz pytanie zabezpieczające – dzięki temu łatwiej uzyskasz dostęp do utraconego konta Google.

16. Jeśli obawiasz się, że ktoś włamał się na Twoje konto, wypełnij ten formularz i zmień hasło do swojego konta Google. Dodatkowe instrukcje znajdziesz w artykule Dominika – tutaj.

17. Oddziel konto Google Ads od prywatnej skrzynki e-mail.

Jeśli logujesz się do Google Ads z prywatnego maila, który:

• jest używany do rejestracji w wielu serwisach,
• trafia do wycieków danych,
• jest podpięty do social mediów,

zwiększasz ryzyko przejęcia konta.

Najbezpieczniejszym rozwiązaniem jest oddzielny adres e-mail tylko do Google Ads, bez użycia go w innych usługach.

18. Sprawdzaj historię logowań i alerty bezpieczeństwa Google.

Google udostępnia informacje o:

• nowych urządzeniach,
• nietypowych lokalizacjach logowania,
• próbach zmiany zabezpieczeń.

Regularnie zaglądaj do sekcji Bezpieczeństwo konta Google i nie ignoruj alertów mailowych – wiele włamań zaczyna się od zlekceważonego ostrzeżenia.

19. Ogranicz dostęp administratora tylko do osób absolutnie niezbędnych.

Wielu reklamodawców nadaje dostęp Administrator zbyt szeroko.

Dla większości agencji i specjalistów wystarczający jest poziom Standardowy.

Administrator to:

• zmiana metod płatności,
• usuwanie innych użytkowników,
• reset zabezpieczeń.

Im mniej administratorów, tym mniejsze ryzyko.

20. Kontroluj zmiany w metodach płatności.

Jednym z pierwszych działań po włamaniu jest:

• dodanie nowej karty,
• zmiana istniejącej metody płatności,
• zwiększenie limitów.

Regularnie sprawdzaj:

• historię zmian płatności,
• daty dodania kart,
• nietypowe próby obciążeń.

21. Uważaj na fałszywe e-maile od „Google Support”.

Ataki phishingowe coraz częściej:

• idealnie odwzorowują layout Google,
• używają poprawnej terminologii Google Ads,
• straszą zawieszeniem konta lub naruszeniem zasad.

Zasada jest prosta:

• Google nigdy nie prosi o hasło ani kody 2FA w mailu,
• każdy link w takiej wiadomości traktuj jako potencjalnie niebezpieczny.

22. Zablokuj możliwość logowania na niezaufanych urządzeniach.

Jeśli pracujesz:

• na laptopie współdzielonym,
• w kawiarniach,
• na komputerach firmowych bez kontroli IT,

rozważ dodatkowe zabezpieczenia:

• klucze bezpieczeństwa (Security Key),
• ograniczenie sesji,
• ręczne wylogowywanie ze wszystkich urządzeń.

23. Monitoruj nietypowe zmiany w kampaniach.

Włamania bardzo często objawiają się:

• nagłym uruchomieniem kampanii Search lub Performance Max,
• dziwnymi URL-ami docelowymi,
• wysokimi stawkami i szerokim targetowaniem.

Jeśli widzisz zmiany, których nikt z zespołu nie wprowadzał, reaguj natychmiast. Możesz do tego wykorzystać ten skrypt.

24. Ustal wewnętrzną procedurę bezpieczeństwa.

Jeśli konto obsługuje więcej niż jedna osoba:

• ustal kto i kiedy nadaje dostępy,
• kto może zmieniać płatności,
• kto reaguje na alerty bezpieczeństwa.

Brak procedury = chaos w sytuacji kryzysowej.

25. Regularnie eksportuj dane i ustawienia konta.

W przypadku przejęcia konta:

• kampanie mogą zostać usunięte,
• struktura zmieniona,
• dane utracone.

Warto okresowo:

• eksportować ustawienia,
• zapisywać struktury kampanii,
• robić kopie kluczowych konfiguracji.

Eksport najłatwiej wykonać za pomocą Edytora Google Ads.

Poniżej znajdziesz gotową listę zadań dotyczącą tego, jak zabezpieczyć konto Google Ads przed włamaniem.

Dostęp i hasła

✅  Ustaw unikalne, silne hasło do konta Google (nieużywane nigdzie indziej)
✅  Nie udostępniaj nikomu hasła – dostęp nadaj wyłącznie przez panel Google Ads
✅  Rozważ oddzielny adres e-mail tylko do Google Ads
✅  Dodaj co najmniej 2 administratorów jako zabezpieczenie awaryjne
✅  Ogranicz rolę Administrator tylko do absolutnie niezbędnych osób

Weryfikacja i uwierzytelnianie

✅  Włącz weryfikację dwuetapową (2FA) na koncie Google
✅  Włącz 2FA również jako metodę uwierzytelnienia w Google Ads
✅  Uzupełnij numer telefonu, e-mail zapasowy i metody odzyskiwania konta
✅  Rozważ użycie klucza bezpieczeństwa (Security Key)

Użytkownicy i domeny

✅  Usuń nieaktywnych użytkowników i stare dostępy agencji / specjalistów
✅  Sprawdź, kto ma dostęp do konta co najmniej raz na kwartał
✅  Skonfiguruj Dozwolone domeny (preferowana własna domena zamiast gmail.com)

Urządzenia i środowisko pracy

✅  Zabezpiecz komputer hasłem i blokadą ekranu
✅  Regularnie skanuj urządzenie pod kątem malware
✅  Aktualizuj system operacyjny, przeglądarkę i aplikacje
✅  Unikaj logowania się na niezaufanych lub publicznych urządzeniach
✅  Wylogowuj się z konta Google na wszystkich nieużywanych urządzeniach

Przeglądarka i aplikacje

✅  Usuń niepotrzebne lub podejrzane rozszerzenia przeglądarki
✅  Sprawdź, jakie aplikacje zewnętrzne mają dostęp do konta Google
✅  Cofnij dostęp aplikacjom, z których nie korzystasz

Płatności i finanse

✅  Regularnie kontroluj metody płatności w Google Ads
✅  Sprawdzaj historię zmian kart i prób obciążeń
✅  Reaguj natychmiast na każdą nieautoryzowaną zmianę płatności

Kampanie i zmiany na koncie

✅  Monitoruj nietypowe zmiany w kampaniach (nowe kampanie, URL-e, stawki)
✅  Sprawdzaj historię zmian, jeśli coś wygląda podejrzanie
✅  Regularnie eksportuj i archiwizuj ustawienia kampanii i konta

Phishing i scam

✅  Zawsze sprawdzaj, czy logujesz się na google.com
✅  Nie klikaj reklam ani maili z „darmowymi kuponami Google Ads”
✅  Ignoruj wiadomości podszywające się pod „Google Support”
✅  Pamiętaj: Google nigdy nie prosi o hasło ani kody 2FA

Monitoring i reakcja

✅  Regularnie sprawdzaj alerty bezpieczeństwa Google
✅  Reaguj na logowania z nowych urządzeń lub lokalizacji
✅  W razie podejrzenia włamania:

• natychmiast zmień hasło
• odłącz podejrzane urządzenia
• usuń nieznanych użytkowników
• wypełnij formularz odzyskiwania konta Google

Procedury wewnętrzne

✅  Ustal, kto nadaje i usuwa dostępy
✅  Określ, kto odpowiada za płatności i bezpieczeństwo
✅  Miej jasny plan działania na wypadek przejęcia konta

Powyższe punkty potraktuj jako checklistę i zabezpiecz się na przyszłość, aby uniknąć niemiłej sytuacji, jaką jest utrata dostępu do konta Google Ads.