5 Ocak gece yarısı bilgisayar korsanları Google Ads Yönetici Hesabımızı (MM) ele geçirdi. Yalnız değildik. Kesin bir sayı elde etmek zor olsa da binlerce olmasa da yüzlerce ajans saldırılardan etkilendi.On binlerce hesabı etkiliyor.
Bu deneyimi en büyük düşmanımızın başına gelmesini istemesem de, bu deneyimi yaşamış biri olarak, aynı deneyimin MM hesabınızın başına gelmesini önlemenize yardımcı olabileceğini umduğum bazı öngörülerim var.
Nasıl hacklendik
İki faktörlü kimlik doğrulama (2FA) ve izin verilen alan adlarının etkin olmasına rağmen, bilgisayar korsanları bir çalışanın e-posta adresi aracılığıyla hesabımıza girmeyi başardılar. Bunun hedefli bir saldırı olduğu açık: Saldırının gerçekleştiği gece, bilgisayar korsanları üçüncüsünde başarılı olmadan önce şirketimizdeki diğer iki e-posta hesabı üzerinden girmeye çalıştılar.
Kimlik avı veya ele geçirilmiş şifreler onları sisteme girmiş olsa da - hangisi olduğunu hala bilmiyoruz - daha sonra bilgisayar korsanlarının kullandığı hesabın aylardır ele geçirildiğini ve başından beri kullandıkları kendi 2FA'larını oluşturduklarını öğrendik.
Hesabımıza erişim sağladıktan sonra bilgisayar korsanları diğer herkesin MM'ye erişimini kaldırdı. Daha sonra izin verilen alanı Gmail olarak değiştirdiler ve bir düzineden fazla kişiye erişim izni verdiler. Bilgisayar korsanları daha sonra şirketimizin adına yeni bir MM oluşturdular ve müşterilerimizin çoğunu davet ettiler. Şans eseri hiçbiri kabul etmedi.
MCC'de bulundukları birkaç saat içinde bilgisayar korsanları kaos yaratmaya başladı. Bazı hesaplardaki tüm kullanıcıları kaldırdılar, bazılarında ise ödeme yöntemini değiştirdiler. Yalnızca birkaç hesapta yeni kampanyalar başlattılar, ancak bir şekilde diğer iki hesapta da yarım milyon dolarlık kredi kartı çekimleri yapmaya çalıştılar (bu hesaplarda herhangi bir reklam yayınlamamalarına rağmen).
Bildiğiniz SEO araç seti ve ihtiyacınız olan AI görünürlük verileri.
Hack'ten sonra ne oldu?
Biz çok şanslıydık. Bilgisayar korsanları sekiz saat içinde kilitlendi ve biz de bir haftadan biraz uzun bir süre içinde yeniden erişim sağladık. MM genelinde yalnızca 100 ABD doları harcadılar. Çılgın kredi kartı ödemelerinin hiçbiri gerçekleşmedi. İki hafta içinde hackten tamamen kurtulduk. Bunu nasıl yaptık? Attığımız adımlara bir göz atalım.
1. Adım: Google ile iletişime geçtik
Saldırıya uğradığımızda hemen Google temsilcilerimizle iletişime geçtik. Üç yılı aşkın süredir birlikte çalıştığımız biri de dahil olmak üzere, uzun süredir devam eden ilişkiler kurduğumuz harika Google temsilcilerine sahip olduğumuz için inanılmaz derecede şanslıyız.
Bu uzun vadeli ilişkiler yardımcı oldu ve temsilcilerimiz bizim için mücadele etti. Destek vakaları çözülene kadar baskı yapmaya devam ettiler ve ihtiyaç duyduğumuz kaynaklara ulaşmamıza yardımcı oldular. Herkesin kendi temsilcisi yoktur ancak bu adımları kendi başınıza da atabilirsiniz.
Adım 2: Formları doldurun
Google temsilcilerimiz bizi hemen "Hesabınızın güvenliği ihlal edilirse ne yapmalısınız?” kaynak. Oradan dosyaladıkHesap Devralma FormlarıGoogle'ı saldırı konusunda uyarıyor. Saldırıya uğrayan hesaplarımızın her biri için bir form doldurmamız istendi.
O zamanlar formda bu formun MM'ler için kullanılmaması gerektiği söylenmesine rağmen ilk olarak MM'miz için bir başvuruda bulunduk. Görünüşe göre o zamandan beri dil değiştirilmiş ve bu harika; bu adımı atlamayın. MM'ye geri dönmek, bildirimde bulunmak ve her hesap için erişimi koordine etmek yerine tüm sorunların çözülmesini kolaylaştırır.
3. Adım: Müşterilerle iletişime geçin
Aynı zamanda, hesaplarına hâlâ erişimi olan tüm müşterilerimize, MM'mizle olan bağlantılarını kesmeleri ve güvenliği ihlal edilmemiş bir e-posta hesabına erişim izni vermeleri yönünde talimat verdik. Bu şekilde hesapları güvence altına alabildik, üzerinde çalışabildik ve olası zararları anında azaltabildik. Ayrıca hangilerine hâlâ erişebildiğimizi ve hangilerine erişim izni olan yönetici kalmadığını belirlemek için hesaplarımızı önceliklendirebildik.
4. Adım: Faturalandırmayı sıfırlayın
MM'mizle bağlantının kesilmesi çok önemli bir adım oldu. Bunun nedeni, hesaplarımızın MM ile bağlantısı kesildiğinde, ödeme yöneticisini düzenleyerek ve bilgisayar korsanlarının yarattığı tüm ödeme kaosunu ortadan kaldırarak faturalandırmayı kolayca sıfırlayabildik. Daha sonra onları sorunsuz bir şekilde yeniden bağlayabildik.
5. Adım: Değişiklik geçmişini kontrol edin
Sonunda hesaplara geri döndüğümüzde, daha fazla hız için MM düzeyinde yapabildiğimiz değişiklik geçmişini hemen kontrol ettik. Bilgisayar korsanlarının bu süre zarfında yaptığı tüm değişiklikler, zaman damgalarıyla birlikte oradaydı; bu, saldırının zaman çizelgesini oluşturmamıza ve kalan sorunları düzeltmemize olanak tanıyor.
Saldırının ardından kurtarmaya yönelik en iyi uygulamalar
Tüm bu faaliyetler sırasında, hesabı kurtarma ve hasarı azaltma konusundaki başarımız açısından birkaç şey özellikle kritik öneme sahipti. Akılda tutulması gereken en iyi uygulamaların kısa bir özetini burada bulabilirsiniz.
Müşterilerin erişime sahip olduğundan emin olun
Bu sadece en iyi uygulama değil, aynı zamanda etik nedenlerden dolayı her zaman böyle olması gerektiğine inandığımız bir şey. Hesapta ek yöneticilerin olması, MM'ye erişimimizin engellenmesine rağmen anında yeniden erişim kazanmamıza ve sorunları zaman veya hız kaybetmeden düzeltmemize olanak tanır.
Google ayrıca mevcut bir yöneticinin onayı olmayan tüm erişim veya faturalandırma değişikliklerini de geri çekti; dolayısıyla hesaplarda hâlâ kişilerin bulunması kritik önem taşıyordu.
MM'nizi temiz tutun
Artık kullanmadığınız araçlara ilişkin eski istemcileri ve diğer MM'leri kaldırın. Bunu biz yapmadık, keşke yapsaydık. Bunu, ileriye dönük hesaplarımız için en iyi uygulama haline getirdik.
Ekip erişimini sınırlayın
Ekibinizin yalnızca ihtiyaç duydukları minimum erişime sahip olduğundan emin olun. Standart erişim mükemmeldir. Yönetici erişimi mümkün olduğunca az kişiye ayrılmalıdır. Güvenliği ihlal edilen hesap, yönetici düzeyinde erişime ihtiyacı olmayan genç bir ekip üyesine aitti.
Bu, daha kıdemli bir ekip üyesinin hesabına giremeyecekleri anlamına gelmiyor - daha önce de belirtildiği gibi, başarılı olmadan önce birkaç tanesine girmeye çalıştılar - ancak bu, riski azaltacaktı.
Kredi kartı veya fatura kullanın
Asla banka hesaplarınızı MM'nize bağlayın. Aynı tür hacklemelerle yüzbinlerce dolar kaybeden şirketlerin de olduğunu duyduk. Müşterilerimizin hepsi ya fatura ya da kredi kartı kullandığından, bilgisayar korsanları hesaplarını etkileyecek şekilde parayı hızlı bir şekilde harcayamıyorlardı.
Daha önce de belirtildiği gibi, kredi kartı şirketleri, bilgisayar korsanlarının yapmaya çalıştığı yarım milyon dolarlık şüpheli harcamaları reddetti ve kredi kartı sahiplerine durumu bildirdi. Faturalandırdığımız müşterilerden hiçbir zaman ücret alınmadı ve her şey faturalandırmadan önce faturalara kaydedildi.
İlişkilere yatırım yapın
Google temsilcileriniz ve ajans sahipleriyle olan ilişkilerinize yatırım yapmanız önemlidir. Bize yardım eden, hatta bu yolda bize acıyan herkese inanılmaz derecede minnettarız. Bu deneyimi tek başımıza yaşamak zorunda kalsaydık daha da acı verici olurdu.
Hacklenmeyi nasıl önleyebilirim?
Henüz hacklenmemiş olanlar için tebrikler! Bunu böyle tutmaya çalışalım. Hesaplarınızın başına bu durumun gelme olasılığını azaltmak için yapabileceğiniz bazı şeyleri burada bulabilirsiniz.
Temiz bir sıfırlamayla başlayın
Her bir kullanıcıyı hesabınızdan atarak başlayın ve hesaplardaki herkesin şifrelerini sıfırlamasını sağlayın. Herkesin, her cihazda bulunduğu her oturumdan çıkış yaptığından emin olun.
Bilgisayar korsanlarımız, MCC'yi devraldıkları geceden önce iki aydan fazla bir süre boyunca otomatik olarak oturum açarak oturumlarını açık tutuyorlardı. Eğer sıfırlamaya zorlasaydık ve herkesin oturumunu kapatsaydık, farkına bile varmadan erişimlerini kaldırmış olurduk.
2FA'yı ve izin verilen alanları etkinleştirin
Kişi başına yalnızca bir 2FA olduğundan emin olun. Kimlik doğrulayıcıları veya fiziksel anahtarları kullanan 2FA'lar, bir cihaza ping göndermekten daha iyidir. Bilgisayar korsanları, çalışanlarımızın hesaplarına girmek için kendi 2FA'larını oluşturmuştu ve bunun gerçekleştiğine dair hiçbir fikrimiz bile yoktu.
Erişimi denetleyin ve sınırlandırın
Minimum sayıda kişinin MM'ye ihtiyaç duydukları minimum erişime sahip olduğundan emin olun. Bu riskinizi azaltır.
Çok taraflı onayı etkinleştir
Googlebu yeni özelliği kullanıma sundukhesabın ele geçirilmesini önlemeye yardımcı olmak için yakın zamanda. Temel olarak bu özellik, ikinci bir yöneticinin büyük değişiklikleri gerçekleşmeden önce doğrulamasını gerektirir. Bu özellik hakkında daha fazla bilgi edinmek isterseniz, çok taraflı onayı tanıtan harika bir kılavuzu burada bulabilirsiniz.
Hesaplarınızı yedekleyin
Google Ads Editör aracılığıyla hesaplarınızı kopyalayıp tercih ettiğiniz e-tablo uygulamasına yapıştırabilirsiniz. Bunu periyodik olarak yapmayı bir alışkanlık haline getirin, böylece her zaman bir saldırı durumunda işlerin nasıl olduğuna dair bir kopyaya sahip olursunuz. Yedeklemeler sayesinde ihtiyaç duyduğunuzda kolayca geri dönebilirsiniz.
Güçlü şifreler kullanın
Başka hiçbir yerde kullanılmayan benzersiz şifreler kullanmak önemlidir. Bu şekilde, bir site saldırıya uğrasa bile MM'niz hâlâ risk altında değildir. Bilgisayar korsanlarının kendi 2FA'larını oluşturabilmek için ilk şifre aşamasını nasıl geçtiklerinden hala emin değiliz.
Güvenlik izlemeye yatırım yapın
Daha dikkatli olmak istiyorsanız, sisteminizi izleyecek bir güvenlik yazılımına ve/veya bir siber güvenlik uzmanına yatırım yapın. Şimdi bunu yaptık ve bunu yaptığımızdan bu yana geçen altı hafta içinde kaç tane kimlik avı girişiminin yakalandığını görmek şaşırtıcı (ve korkutucu) oldu.
Müşteriler için bir not:Müşteriyseniz ve Google Ads'ünüzü başka bir ekip yönetiyorsa beklemediğiniz Google Ads MM erişim isteklerini kabul etmeyin. Lütfen kime ve neye erişim izni verdiğinizi her zaman bildiğinizden emin olun. Şüpheye düştüğünüzde hesabınızı yöneten ekiple tekrar kontrol edin. Biraz dikkatli olmak uzun bir yol kat edebilir.
Tek platformdan Google ve AI aramalarını takip edin, optimize edin ve kazanın.
Orada güvende kalın
İyi haber şu ki, Google bu sorunları biliyor ve saldırıları önlemek için sistemlerini sıkılaştırmanın yollarını aktif olarak buluyor. Bu arada umarım bu yazı bizim kaybımızı sizin kazancınız haline getirmemize yardımcı olmuştur. Bir ons önleme ile muhtemelen bir kiloluk acıyı önleyebilirsiniz.
