Безпека при налаштуванні реклами: як захистити кабінети Meta та Google від злому та крадіжки грошей

Більшість підприємців і маркетологів-початківців при самостійному запуску реклами думають тільки про креативи, ставки і ліди. Запитання кібербезпеки зазвичай відкладають на потім. Але у сфері digital-маркетингу «потім» дуже часто перетворюється на «вже пізно».

Як тільки ви публікуєте перше оголошення в Facebook, Instagram або Google Ads, ви автоматично потрапляєте на радари хакерів та шахрайських ботів. Якщо ваші облікові записи не підготовлені, ви ризикуєте в один момент втратити і доступ до бізнес-менеджера, і величезні суми на банківських картках.

З деякими моїми клієнтами все це вже на собі перевірили. У цій статті зібрала весь досвід і надаю вам рекомендації, які зобов'язаний запровадити кожен, хто запускає рекламу сам.

Чек-лист проактивного захисту: налаштувати ДО запуску реклами

Безпека рекламного кабінету тримається на двох стовпах: захист доступу до профілю та захист платіжних даних. Пройдіть по цих пунктах ще до того, як натиснете кнопку «Опублікувати» на першій кампанії. У крайньому випадку одразу після.

0. У профілі мають бути вказані ваше справжнє ім’я та прізвище, дата народження.

По-перше, після запуску рекламної кампанії в Мета, у рекламному кабінеті може з'явитися повідомлення з проханням пройти верифікцію — потрібно надіслати скан документа. Ім'я у профілі та паспорті мають збігтися. Фото у профілі має бути реальним, чітким, очі відкриті, волосся не повинно закривати половину обличчя. Інакше сам Мета може заблокувати кабінет.

По-друге, у випадку, якщо ваш кабінет буде зламаний, Мета також може попросити надіслати посвідчення особи. І якщо ім'я та дата народження не збігатимуться з тим, що зазначено у профілі, у вас будуть проблеми з відновленням акаунту (у Фейсбуці та в Інстаграмі).

1. Двофакторна автентифікація (2FA) – це закон!

Це базовий рубіж оборони. Двофакторна автентифікація повинна бути включена абсолютно у всіх, хто має доступ до вашої бізнес-сторінки або Business Manager (у вас, вашого партнера, дизайнера, ppc-фахівця, бухгалтера).

  • Правило безпеки. Використовуйте не SMS-коди (їх можна перехопити через дублікат SIM-картки), а спеціальні автентифікатори (Google Authenticator або Duo Mobile).
  • Якщо ви відключаєте 2FA заради якихось технічних інтеграцій (наприклад, підключаєте CRM), ніколи не залишайте обліковий запис у такому стані — поверніть захист максимум через годину.

Як увімкнути двофакторну автентифікацію — докладна інструкція.

2. Правильна платіжна картка: тільки дебетова та «біла»

Ніколи не прив'язуйте до рекламних кабінетів Meta або Google свої особисті картки або картки з кредитним лімітом.

  • Відкрийте окрему дебетову карту під рекламу. Це корисно робити навіть не з метою захисту, а щоб не витратити ці гроші на звичайні побутові витрати, через що реклама просто зупиниться.
  • Тримайте баланс у розмірі місячного бюджету (наприклад, $300–$500). На старті запуску реклами навіть рекомендую, щоб це була сума не більша за тижневий бюджет (наприклад, $50–$100).
  • У банківському додатку встановіть денний ліміт на інтернет-покупки у розмірі $300 або лише під бюджет одного дня.
  • Поповнюйте картку тільки перед плановим списанням, якщо переживаєте, що гроші можуть списатися. Для великого бізнесу з великим бюджетом це не зручно. Для малого бізнесу на старті можливо.

* Мій клієнт зі США сказав, що йому краще прив'язати кредитну картку, оскільки має більше захисту. Винятки можуть бути.

3. Захист від фішингу: ігноруйте лякаючі повідомлення

Через 24–48 годин після старту першої рекламної кампанії у Фейсбуці вам гарантовано надійдуть повідомлення до Директу або на пошту від профілів з логотипами Meta та страшними заголовками: «Ваш бізнес-аккаунт заблокований за порушення авторських прав. Підтвердіть особу за посиланням протягом доби».

Як розпізнати обман?

Якщо ви подивитеся на ім'я відправника, це буде звичайне ім'я людини (або довільний набір букв). Підтримка ніколи не пише в особистих повідомленнях з особистих облікових записів. Видаляйте такі листи та надсилайте їх у спам.

4. Небезпека «фото-вірусів» у месенджерах

Якщо у будь-який з месенджерів (Telegram, WhatsApp, Messenger) від незнайомого профілю приходить файл, замаскований під картинку (наприклад, «скриншот помилки» або «приклад товару»), НЕ натискайте на нього. Сучасні хакерські скрипти крадуть сесійні куки (cookies) вашого браузера за секунду. Хакер зайде до вашого рекламного кабінету без введення пароля і проходження двофакторної автентифікації, тому що система вважатиме його вами.

Що буває, якщо проігнорувати захист?

Кейси із практики

Щоб зрозуміти, наскільки винахідливими є шахраї і чому стандартні методи захисту іноді дають збій, розберемо реальні ситуації, з якими ми зіткнулися в роботі.

Кейс 1. ШІ-підтримка при DOS-атаці робить ситуацію нерозв’язною

Ситуація. Ми 4 роки вели проект: 8000 товарів, ручна оптимізація, чудові результати ($0,65 за лід). В один із днів сайт компанії зазнав потужної DOS-атаки. Компанії-клієнту вдалося її відбити, але в цей момент боти вдарили по прив'язаних акаунтах Facebook і Instagram.

Результат. Штучний інтелект Meta (системи безпеки автоматичного фреймворку) розпізнав різку зміну активності як критичну загрозу. У результаті алгоритм повністю та безповоротно видалив Бізнес-менеджер, рекламний кабінет та весь Commerce Manager з каталогами товарів. Жива підтримка нічим не змогла допомогти. Автоматичні чати просто зависали помилково.

Якщо вам заблокували доступ до облікового запису, але ви все ще в бізнес-менеджері є як адміністратор — ви майже в 100% випадків зможете повернути обліковий запис. Якщо вас сам Фейсбук вилучив із адміністраторів, то ви вже нічого не зможете зробити, тому що не зможете просто надіслати заявку.

Висновок. Meta чи Google — це не ваш особистий бізнес. Це їхні платформи. Якщо ви будуєте маркетинг тільки навколо однієї соцмережі, ви вразливі. Завжди диверсифікуйте ризики, збирайте контакти клієнтів до незалежної CRM-системи та робіть регулярні бекапи.

Кейс 2. Пастка банківських токенів. Чому перевипуск картки не допоміг?

Ситуація. Рекламний обліковий запис клієнта був зламаний. Власник бізнесу відреагував швидко — заблокував і повністю перевипустив у банківському додатку дві картки різних банків (ПриватБанку та monobank), отримавши нові номери та CVV.

Результат. Через 10 днів із абсолютно нової, свіжої карти monobank гроші знову почали списуватися. Власник помітив це лише після 7-го списання, оскільки по бізнесу йшло багато автоматичних оплат і платежі були лише на 27 дол. Банк відповів, що транзакції офіційні, а підтримка Meta підтвердила, що списання проводив сам Фейсбук у рахунок боргу зламаного кабінету.

З карткою ПриватБанку все було гаразд.

У чому причина? Діджитал-банки використовують технологію "торговельних токенів". При перевипуску картки банк автоматично оновлює дані для довірених мерчантів (яким раніше дозволялися регулярні платежі). Фейсбук для банку — довірена система.

Висновок. При взломі мало просто перевипустити карту. Потрібно зв'язатися з підтримкою банку та жорстко вимагати заборонити будь-які списання по токенам та заблокувати транзакції без авторизації для цього мерчанта. Якщо банк відмовляється це зробити, закрийте рахунок повністю та відкрийте новий. Як би болісно це не було.

Фінансова безпека: 4 правила при списанні грошей

Якщо реклама вже запущена, дотримуйтесь жорстких правил контролю бюджету:

  1. Контролюйте стрибки витрат. Будь-яке різке списання, яке не відповідає вашим денним лімітам, — привід перевірити ситуацію. Наприклад, у рекламному кабінеті Google Ads, можливо, пройшов клік на дорогий запит, так буває, тоді все добре. Однак, якщо ви не розумієте, чому денний бюджет перевищено більш ніж у 2 рази, перевірте списання.
  2. Встановіть Ліміт витрат облікового запису (Account Spend Limit). У налаштуваннях білінгу Мета встановіть жорстку стелю (наприклад, $200). Щойно кампанія витратить цю суму, вона зупиниться. Навіть якщо вас зламають, шахраї не зможуть відкрутити рекламу на тисячі доларів.
  3. Використовуйте роль "Фінансовий аналітик". Якщо ви залучаєте підрядників або дизайнерів, ніколи не давайте їм права адміністратора бізнес-менеджера. До роботи з рекламою досить стандартних доступів, а бухгалтерії — ролі аналітика.
  4. Єдиний безпечний бан кабінету. Пам'ятайте, є лише один тип блокування, який не повинен вас лякати: коли Фейсбук спробував списати гроші за відкручену рекламу, а на вашій карті пусто. Кабінет заморожується. Ви просто заходите, поповнюєте картку на потрібну суму, проводите платіж вручну (мануально) та покази відновлюються.

Захист облікових записів — це не разове налаштування, а постійна гігієна вашого бізнесу.

Коротка пам’ятка: що робити, якщо вас таки взламали

  • Терміново заблокуйте картку та зв'яжіться з оператором банку для скасування токенізованих платежів.
  • Вимкніть усі активні рекламні кампанії, якщо зберегли доступ до Ads Manager.
  • Напишіть у техпідтримку платформи (Фейсбука або Інстаграма, якщо запускали рекламу з кабінету саме Інстаграма).
  • Зверніться до банку чи кіберполіції із заявою про шахрайство. Пам'ятайте: розслідування з боку рекламних платформ можуть тривати місяцями, тому безпека ваших грошей – це виключно ваша прерогатива.

Шпаргалка: як увімкнути двофакторну аутентифікацію (2FA) за 2 хвилини

Не відкладайте на вечір. Зараз відкрийте налаштування та захистіть свої профілі, з яких запускається реклама.

Інструкція для Meta (Facebook та Instagram)

Оскільки зараз управління особистими сторінками та бізнес-кабінетами об'єднане, налаштування здійснюється в одному місці:

  1. Відкрийте програму Facebook або Instagram на смартфоні та перейдіть у свій профіль.
  2. Відкрийте Меню (три смужки або шестерні у верхньому правому куті) і виберіть «Налаштування та конфіденційність» $\rightarrow$ «Налаштування».
  3. Натисніть на блок «Центр облікових записів» (Meta Accounts Center) на самому верху екрана.
  4. Перейдіть до розділу «Пароль та безпека».
  5. Натисніть «Двофакторна автентифікація» та виберіть потрібний обліковий запис.
  6. Виберіть рекомендований метод: «Аутентифікація» (наприклад, Google Authenticator або Authy).

Відскануйте QR-код і введіть цифри для перевірки.

Важливо: у цьому меню обов'язково скачайте і збережіть у надійне місце Резервні коди (Recovery codes). Якщо ви втратите телефон, лише ці коди допоможуть вам увійти до рекламного кабінету.

Інструкція для Google Ads

Реклама в Google прив'язана до вашого спільного облікового запису Google (Gmail). Захистивши її, ви автоматично захистите рекламний бюджет.

  1. Перейдіть на сторінку myaccount.google.com (обліковий запис Google).
  2. У меню зліва (або зверху, якщо ви телефонуєте) виберіть вкладку «Безпека» (Security).
  3. Прокрутіть вниз до блоку "Як ви входите до облікового запису Google" і виберіть "Двоетапна автентифікація".
  4. Натисніть кнопку «Почати» та підтвердіть свій поточний пароль.
  5. Прив'яжіть основний спосіб захисту — автентифікатор програми або підтвердження від Google на вашому смартфоні.