V poslední době roste počet útoků na online účty. Sami jsme útoky zažili, a proto bychom chtěli varovat a poradit řešení.
Útoky, které jsme sami zažili
Klient příliš nepoužíval svůj Facebook účet a nepamatoval si, kdy se na něj naposledy přihlásil. Ale tento účet měl přístup do reklamního účtu. Pravděpodobně probouráním hesla bez dvoufázového ověření se útočníkovi povedlo utratit značný obnos. Tento útok se stal před dvěma lety a problém se povedl s Facebookem vyřešit.
„Ještě pár let zpět jsme dokázali problém s Facebook podporou vyřešit díky live chatu. Teď vnímáme my i další specialisté z marketingových skupin, že se odezva podpory zhoršila a domoci se odvolání je nadlidský úkol.“
Jitka Sochorová, Facebook specialista v Marketing Makers
I přes dvoufázové ověření se povedlo útočníkovi dostat do Google Ads účtu. Nejspíš měl klient zavirovaný počítač. Útočník nastavil reklamy na velmi nevkusný produkt a trvalo skoro 45.000 Kč než Google reklamy i účet bez možnosti odvolání zamítnul. Podobný incident jsme zažili i na Facebooku, ale s menší ztrátou. Dvoufázové ověření je vždy jen tak silné, jako je bezpečné zařízení, z kterého se přihlašujete.
„Pouze jednou se nám povedlo získat útočníkem utracené peníze zpět od Facebooku. U Google jsme ale bohužel neuspěli a stržené peníze klient zpátky nezískal. “
Michal Blažek, CTO a PPC specialista v Marketing Makers
Účet na Facebooku bývalého zaměstnance byl ukraden a tento účet byl nejvyšším adminem stránky na Facebooku. Stránka tedy připadla někomu neznámému, který na ni mohl skoro měsíc dělat cokoliv, dokud se nepovedlo účet získat zpět přes notářsky ověřený zápis.
A s příběhy bychom mohli pokračovat…
Checklist bezpečného účtu
Bezpečnostních incidentů u našich klientů i ostatních v současné době přibývá. A zároveň jsou stále důmyslnější. A reklamní platformy jsou stále méně ochotné vynahrazovat ztráty a komunikovat. Takže každý útok znamená zablokování účtu, spoustu nepříjemností, finanční ztráty za kredit a rovněž za práci agentury, pokud spolupracuje na nápravě. Není to příjemné. Útoky jsou záludné i tím, že se většinou stanou v průběhu noci nebo o víkendu.
- Ujistěte se, že do účtů nemá přístup žádný bývalý zaměstnanec, minulá agentura nebo nějaký obecný účet – buďte důslední a nemilosrdní. Některé útoky, co jsme zažili, šly od nejvyšších lidí ve firmě – jelikož nikdo si je netroufl konfrontovat se zabezpečením účtu. Doporučuji i odebírat přístupy tehdy, když je spolupráce konzultační. Přístup nasdílet znovu je otázkou chvilky.
- Vždy používejte dvoufázové ověření. Trvejte na tom u všech, kdo mají přístup k účtu a vynuťte to pro všechny uživatele. Jak zapnout dvoufázové ověření na Facebooku, Seznamu a Googlu.
- Neukládejte si hesla v prohlížeči.
- V žádném případě si neukládejte hesla ve Wordu nebo sdíleném Google Sheetu. Použijte raději KeePass, LastPass nebo podobnou aplikaci.
- Nastavte si limit u Facebook účtu – bude to pro vás náročnější, musíte limit pravidelně resetovat. Návod najdete zde.
- Nastavte si limity na kartě – reklamní platformy dělají nepříjemnou věc. Pokud platíte pravidelně, tak stále zvyšují částku, kterou z karty strhávají. Hezky to eliminuje byrokracii. Ale lepší je dát menší limit a jednou např. za týden zaplatit ručně, aby se na konci měsíce nemusela strhávat velká částka. Limity na kartě a limity účtu jsou také důležité kvůli lidské chybě. I nám se stalo, že jsme si spletli koruny ai eura. Vše jsme samozřejmě uhradili a brzy se na to přišlo, ale toto přesně dokáže limit na kartě a v účtu také zarazit.
- Zkontrolujte rozšíření v prohlížeči – pozor na různé lišty nebo jednoúčelové aplikace jako YouTube Downloader, PDF spojovače atd. (viz tento článek o rozšířeních se škodlivým kódem od Avast) – odstraňte vše, co nepotřebujete.
- Odstraňte z mobilu aplikace, co neznáte – hlavně pozor na cokoliv, co nepochází z oficiálních obchodů.
- Pokud nějaký účet nepoužíváte, odstraňte kartu. Zkusíte např. propagaci na Twitteru, zjistíte, že to nefunguje, kartu tam nenechávejte.
- Ujistěte se, že jste vlastníky účtů, že už není nikdo nad vámi. Hlavně u Facebooku se často stává, že bývalý zaměstnanec (většinou omylem) založil Facebook pod svým Business Managerem, který je vlastníkem. Vy jste jenom správci.
- Odstraňte ze svého Facebook a Google účtu všechny aplikace, hry a propojení, které vyloženě nepoužíváte a neznáte jejich autora.
- Zaregistrujte se na Haveibeenpwned.com – přijde vám upozornění, pokud někdo někam uloží vaše informace.
- Ve všech službách nechte maximálně 1 – 2 administrátory s nejvyššími právy. Ostatní zpravidla vysoká práva dlouhodobě ani nepotřebují.
Nebudeme vám lhát. Projít vše, co je napsáno nahoře může být časově náročné. Ale stojí to za to úsilí. Protože řešit s podporou jakékoliv online platformy zneužití účtu, to opravdu nechcete.
