Ночью 5 января злоумышленники получили доступ к Google Ads Manager Account (MCC) одного агентства — и это не единичный случай. По оценкам, сотни, возможно тысячи агентств пострадали, а число затронутых клиентских аккаунтов исчисляется десятками тысяч. Разбор инцидента даёт практический чек-лист для быстрого реагирования и профилактики подобных взломов.
Основные детали новости
Атака была целевой: злоумышленники поочерёдно пробовали несколько корпоративных почтовых ящиков и в итоге взломали третий. Несмотря на включённую двухфакторную аутентификацию (2FA) и ограничения по разрешённым доменам, атакующие действовали через уже скомпрометированный аккаунт, который, как выяснилось позже, был под контролем злоумышленников месяцами. Они даже добавили собственный 2FA и использовали его для входа.
Первое, что сделали хакеры, — заблокировали доступ остальных пользователей к MCC, поменяли разрешённый домен на Gmail и пригласили в доступ более десятка аккаунтов. В панике они создали новый MCC с именем компании и отправили приглашения большинству клиентов — но, к счастью, никто из клиентов их не принял.
За несколько часов присутствия в системе злоумышленники удалили пользователей из отдельных аккаунтов, поменяли методы оплаты и запустили несколько кампаний; на двух аккаунтах были попытки списаний на полмиллиона долларов, хотя рекламы на этих аккаунтах почти не запускали. Суммарно по MCC прошло около $100 расходов, а подозрительные крупные платежи не прошли — эмитенты карт их отклонили.
Что сделали и что сработало
Команда восстановила контроль: хакеров вывели из MCC за 8 часов, доступ в систему вернули чуть больше, чем через неделю, а полное восстановление заняло около двух недель. Ключевые шаги, которые помогли:
- Немедленный контакт с менеджерами Google — долгие отношения с представителями Google ускорили процесс и открыли доступ к нужным каналам поддержки.
- Заполнение форм по захвату аккаунта (Account Takeover Forms) для каждого пострадавшего аккаунта, включая сам MCC — это помогло централизовать восстановление.
- Запрос к клиентам, у которых всё ещё оставался доступ: отключить аккаунты от скомпрометированного MCC и предоставить доступ с надёжных почтовых ящиков.
- Сброс биллинга через отключение от MCC и редактирование менеджера платежей — это позволило быстро вернуть корректные настройки оплаты.
- Анализ Change History на уровне MCC для составления таймлайна действий злоумышленников и восстановления исходных настроек.
Дополнительные факты и практические рекомендации
Из набора мер, которые сработали или оказались полезны в процессе, выделяются следующие правила:
- Убедитесь, что у клиентов есть собственные админы в аккаунтах — это не только этично, но и даёт запасной вариант доступа при взломе MCC.
- Поддерживайте MCC «чистым»: удаляйте старые клиенты и неиспользуемые менеджер-аккаунты.
- Минимизируйте права сотрудников: админский доступ должен быть у как можно меньшего числа людей. В данном случае скомпрометированный аккаунт принадлежал младшему сотруднику, у которого не должно было быть прав администратора.
- Не подключайте банковские счета к MCC — используйте кредитные карты или счёт-фактуры; в описанном случае это предотвратило крупные потери.
- Регулярно бекапьте конфигурации аккаунтов через Google Ads Editor — экспорт в таблицу даёт возможность быстро восстановить структуру кампаний.
Почему это важно для специалистов по рекламе и SEO
Для агентств и внутренних команд по рекламе такие инциденты — не просто техническая проблема. Потеря доступа к MCC угрожает бизнес-процессам клиентов, приводит к рискам финансовых списаний и подрывает доверие. Даже если текущие убытки малы (в описанном случае — ~$100), попытки крупного мошенничества и скомпрометированные 2FA показывают, что уязвимость может быстро перерасти в серьёзную катастрофу.
Отсюда практические выводы для рынка: приоритеты безопасности должны быть встроены в операционные процессы. Это включает аудит прав доступа, строгие пароли, переход на аппаратные ключи или приложения-аутентификаторы (а не push-уведомления), введение многостороннего подтверждения крупных изменений (multi-party approval), мониторинг безопасности и прямые контакты с представителями платформы. Клиентам важно помнить: не принимайте приглашения в MCC без верификации отправителя.
Атака на MCC — звонок к действию: систематизируйте доступы, проверьте биллинг и настройте процессы восстановления. Чем быстрее команда подготовится, тем меньше будет риска, что следующая попытка уйдёт из-под контроля.
