W ostatnich miesiącach temat bezpieczeństwa kont Google Ads wracał wielokrotnie. Sam nieraz publikowałem wpisy dotyczące phishingu, kluczy dostępu (passkeys), zabezpieczeń kont Google czy ryzyka związanego z pozostawianiem nieaktualnych dostępów. Mam jednak wrażenie, że dla wielu osób są to zagrożenia, które dotyczą „kogoś innego”. Ostatnie wydarzenia pokazują, że problem jest bardzo realny i może dotknąć zarówno małych reklamodawców, jak i agencje zarządzające setkami kont klientów. Co więcej, czasami wystarczy pozostawiony przed laty dostęp do konta, aby konsekwencje były bardzo poważne. Poniższa historia wydarzyła się naprawdę w ciągu ostatnich kilku dni. To jednocześnie dobre przypomnienie, dlaczego regularny przegląd dostępów, odpowiednie zabezpieczenia oraz wdrożenie kluczy dostępu nie są już opcjonalnym dodatkiem, ale koniecznością dla każdego, kto korzysta z Google Ads.
Według informacji, które do mnie dotarły, dwie polskie agencje padły ofiarą ataku phishingowego i utraciły dostęp do swoich kont menedżerskich Google Ads (MCK). W praktyce oznaczało to, że osoby trzecie uzyskały dostęp nie tylko do samych kont agencji, ale również do części kont klientów, które były podpięte pod przejęte MCK. To właśnie jest jeden z powodów, dla których przejęcie konta menedżerskiego jest tak niebezpieczne. Jedno skuteczne włamanie może otworzyć drogę do dziesiątek, setek, a czasem nawet tysięcy kont reklamowych.
Problem dotknął również jednego z moich klientów
W całej tej historii najbardziej zaskakujące jest to, że jeden z moich klientów nigdy nie rozpoczął współpracy z jedną z przejętych agencji. Około dwa lata temu dodał ją jedynie do swojego konta Google Ads, aby poznać ofertę prowadzenia kampanii reklamowych. Ostatecznie strony nie podjęły współpracy, ale dostęp do konta nie został odebrany. Przez kolejne dwa lata konto menedżerskie agencji pozostawało podpięte do konta Google Ads klienta. I właśnie ten nieużywany dostęp okazał się problemem.
Co wydarzyło się po przejęciu MCK?
Po przejęciu konta menedżerskiego przez osoby trzecie na koncie klienta wykonano kilka działań. Przede wszystkim zmieniono profil płatności. Konto zostało przełączone z automatycznych płatności klienta na fakturowanie miesięczne przypisane do agencji. Następnie utworzono nową kampanię reklamową kierującą ruch na strony związane z hazardem i pornografią. Co szczególnie niebezpieczne, nie został ustawiony żaden limit budżetu w płatnościach.
Gdyby taka kampania mogła działać przez kilka lub kilkanaście godzin, koszty mogłyby bardzo szybko osiągnąć poziom kilku, kilkunastu, a nawet kilkudziesięciu tysięcy złotych, szczególnie, że budżet dzienny został ustawiony na poziomie 20000 zł. Na szczęście Google wykrył podejrzaną aktywność stosunkowo szybko i zablokowało konto. Łączne wydatki wyniosły około 200 zł.
Paradoksalnie klient miał trochę szczęścia. Brzmi to dość absurdalnie, ale w tej historii można znaleźć jeden pozytywny element. Ponieważ atakujący zmienili profil płatności, ewentualne koszty nie byłyby naliczane klientowi, lecz agencji, której fakturowanie zostało przypisane do konta. Oczywiście nie zmienia to faktu, że sytuacja jest bardzo poważna. Konto zostało zablokowane, pojawiły się nieautoryzowane zmiany, a teraz konieczne jest przejście przez cały proces odwołania, odzyskania pełnej kontroli nad kontem i usunięcia wszystkich skutków ataku.
Skąd atakujący mogli pozyskać dane?
Kilka dni wcześniej sam otrzymałem wiadomość, która wyglądała bardzo wiarygodnie. Mail informował, że zostałem wybrany do udziału w wywiadzie Ads On Air.
W treści znajdował się link prowadzący rzekomo do szczegółów wydarzenia. Po kliknięciu użytkownik trafiał jednak na stronę niemal idealnie imitującą ekran logowania Google. Na pierwszy rzut oka wszystko wyglądało prawidłowo. Logotypy, układ strony, komunikaty – identycznie jak prawidłowa strona (https://adsonair.withgoogle.com/). Jedynie adres URL witryny był inny (widoczny na poniższym zrzucie ekranu w lewym dolnym rogu).
Jedynym celem tej strony było przejęcie danych logowania użytkownika. Nie mam pewności, czy właśnie ten schemat był źródłem opisanych problemów, ale warto zachować szczególną ostrożność wobec podobnych wiadomości.
Jeżeli otrzymacie podobne zaproszenie:
- nie klikajcie w linki zawarte w wiadomości,
- nie logujcie się przez stronę otwartą z maila,
- zgłaszajcie takie wiadomości jako spam lub phishing.
Dlaczego 2FA przestaje wystarczać?
Przez wiele lat uwierzytelnianie dwuskładnikowe było uznawane za jedno z najlepszych zabezpieczeń kont Google. Dzisiaj sytuacja wygląda nieco inaczej. Nowoczesne ataki phishingowe coraz częściej potrafią przechwytywać nie tylko login i hasło, ale również jednorazowe kody wykorzystywane podczas logowania.
Dlatego Google coraz mocniej promuje klucze dostępu (passkeys), czyli klucze dostępu
Klucze dostępu (passkeys) wykorzystują kryptografię i są odporne na większość współczesnych ataków phishingowych. Nawet jeśli użytkownik trafi na fałszywą stronę logowania, klucz dostępu nie zostanie przekazany oszustowi. Jeżeli jeszcze nie korzystacie z kluczy dostępu, warto wdrożyć je jak najszybciej.
Co powinni zrobić właściciele kont Google Ads i MCK?
Po pierwsze, sprawdźcie listę użytkowników posiadających dostęp do kont. Po drugie, przejrzyjcie wszystkie podpięte konta menedżerskie. Po trzecie, zweryfikujcie profile płatności oraz uprawnienia administracyjne.
Szczególną uwagę zwróćcie na:
- stare agencje,
- byłych pracowników,
- byłych freelancerów,
- nieużywane konta menedżerskie,
- osoby, które od dawna nie pracują przy kampaniach.
W przypadku właścicieli MCK warto dodatkowo poinformować klientów o konieczności wdrożenia kluczy dostępu oraz regularnej kontroli dostępów.
Wszystko jest dobrze… do momentu włamania
Największym problemem w kwestii bezpieczeństwa jest to, że przez większość czasu nie widać żadnego zagrożenia. Konto działa poprawnie. Kampanie generują wyniki. Wszystko wydaje się bezpieczne. Aż do dnia, w którym ktoś przejmuje dostęp do MCK. Jeżeli pod swoim kontem menedżerskim macie kilkadziesiąt, kilkaset lub kilka tysięcy kont klientów, skutki jednego skutecznego ataku mogą być katastrofalne zarówno dla Was, jak i dla Waszych klientów. Dlatego zachęcam do wykonania prostego zadania jeszcze dziś. Zalogujcie się do Google Ads, przejrzyjcie wszystkie dostępy i usuńcie te, które nie są już potrzebne. W wielu przypadkach może to być najprostszy sposób na uniknięcie bardzo poważnych problemów w przyszłości.
Jednocześnie chciałbym przypomnieć o 2 wpisach na temat bezpieczeństwa kont Google Ads, które opublikowałem na tym blogu:
- 25 porad jak zabezpieczyć swoje konto Google Ads przed włamaniem
- Advanced Protection Program – najsilniejsza ochrona konta Google
Zachęcam do lektury i sprawdzenia swoich zabezpieczeń.
| WSPÓŁPRACA ZE MNĄ |
| Od 2011 roku jako specjalista Google Ads zajmuję się prowadzeniem i optymalizacją kampanii w systemie reklamowym Google. Dotychczas przeprowadziłem ponad 2300 kampanii, których budżet przekroczył już 30 mln zł. Jeśli szukasz kogoś komu chcesz zlecić prowadzenie swoich kampanii, napisz do mnie. Pracuję tylko z firmami, które poważnie podchodzą do tematu, dlatego zapoznaj się proszę z moimi zasadami współpracy. Jeśli je akceptujesz, wyślij mi wiadomość :) Jeśli interesuje Cię audyt kampanii Google Ads lub konsultacje, również mogę pomóc w tej kwestii. |
