Безопасность при настройке рекламы: как защитить кабинеты Meta и Google от взлома и кражи денег

Большинство предпринимателей и начинающих маркетологов при самостоятельном запуске рекламы думают только о креативах, ставках и лидах. Вопросы кибербезопасности обычно откладывают на потом. Но в сфере digital-маркетинга «потом» слишком часто превращается в «уже поздно».

Как только вы публикуете первое объявление в Facebook, Instagram или Google Ads, вы автоматически попадаете на радары хакеров и мошеннических ботов. Если ваши аккаунты не подготовлены, вы рискуете в один момент потерять и доступ к бизнес-менеджеру, и огромные суммы на банковских картах.

С некоторыми из моих клиентов все это уже на себе проверили. В этой статье собрала весь опыт и отдаю вам рекомендации, которые обязан внедрить каждый, кто запускает рекламу сам.

Чек-лист проактивной защиты: настроить ДО запуска рекламы

Безопасность рекламного кабинета держится на двух столпах: защита доступа к профилю и защита платежных данных. Пройдите по этим пунктам еще до того, как нажмете кнопку «Опубликовать» на первой кампании. В крайнем случае сразу после.

0. В профиле должны быть указаны ваше настоящее имя и фамилия, дата рождения.

Во-первых, после запуска рекламной кампании в Мета, в рекламном кабинете может появиться сообщение с просьбой пройти верификцию — нужно отправить скан документа. Имя в профиле и паспорте должны совпасть. Фото в профиле должно быть реальным, четким, глаза открыты, челка не должна закрывать половину лица. Иначе, сам Мета может заблокировать кабинет.

Во-вторых, в случае, если ваш кабинет будет взломан, Мета так же может попросить отправить удостоверение личности. И если имя и дата рождения не совпадут с тем, что указано в профиле, у вас будут проблемы с восстановлением аккаунта (и в Фейсбуке и в Инстаграме).

Profile-Meta

1. Двухфакторная аутентификация (2FA) — это закон!

Two-factor-authentication

Это базовый рубеж обороны. Двухфакторная аутентификация должна быть включена абсолютно у всех, кто имеет доступ к вашей бизнес-странице или Business Manager (у вас, у вашего партнера, у дизайнера, ppc-специалиста, бухгалтера).

  • Правило безопасности. Используйте не SMS-коды (их можно перехватить через дубликат SIM-карты), а специальные приложения-аутентификаторы (Google Authenticator или Duo Mobile).
  • Если вы отключаете 2FA ради каких-то технических интеграций (например, подключаете CRM), никогда не оставляйте аккаунт в таком состоянии — верните защиту максимум через час.

Как включить двухфакторную аутентификацию — подробная инструкция.

2. Правильная платежная карта: только дебетовая и «белая»

Никогда, ни при каких обстоятельствах не привязывайте к рекламным кабинетам Meta или Google свои личные карты или карты с кредитным лимитом.

  • Откройте под рекламу отдельную дебетовую карту. Это полезно делать даже не с целью защиты, а чтобы не потратить эти деньги на обычные бытовые расходы и реклама не остановилась.
  • Держите на ней баланс в размере месячного бюджета (например, $300–$500). На старте запуска рекламы даже рекомендую, чтобы это была сумма не больше недельного бюджета (например, $50–$100).
  • В банковском приложении установите дневной лимит на интернет-покупки в размере $300 или строго под бюджет одного дня.
  • Пополняйте карту только перед плановым списанием, если переживаете, что могут списаться деньги. Для большого бизнеса, с большим бюджетом это не удобно. Для малого бизнеса на старте может быть.

*Мой клиент из США сказал, что ему лучше привязать кредитную карту, так как у нее больше защиты. Исключения могут быть.

3. Защита от фишинга: игнорируйте пугающие уведомления

Через 24–48 часов после старта первой рекламной кампании в Фейсбуке вам гарантированно придут сообщения в Директ или на почту от профилей с логотипами Meta и страшными заголовками: «Ваш бизнес-аккаунт заблокирован за нарушение авторских прав. Подтвердите личность по ссылке в течение суток».

Как распознать обман?

Если вы посмотрите на имя отправителя, это будет обычное имя человека (или случайный набор букв). Поддержка никогда не пишет в личные сообщения с личных аккаунтов. Удаляйте такие письма и отправляйте их в спам.

Phishing-protection

4. Опасность «фото-вирусов» в мессенджерах

Если в любой из мессенджеров (Telegram, WhatsApp, Messenger) от незнакомого профиля приходит файл, замаскированный под картинку (например, «скриншот ошибки» или «пример товара»), НЕ нажимайте на него. Современные хакерские скрипты воруют сессионные куки (cookies) вашего браузера за долю секунды. Хакер зайдет в ваш рекламный кабинет без ввода пароля и прохождения двухфакторной аутентификации, потому что система посчитает его вами.

Что бывает, если проигнорировать защиту?

Кейсы из практики

Чтобы понять, насколько изобретательны мошенники и почему стандартные методы защиты иногда дают сбой, разберем реальные ситуации, с которыми мы столкнулись в работе.

Кейс 1. ИИ-поддержка при DOS-атаке делает ситуацию неразрешимой

Ситуация. Мы 4 года вели проект: 8000 товаров, ручная оптимизация, отличные результаты ($0,65 за лид). В один из дней сайт компании подвергся мощной DOS-атаке. Компании-клиенту удалось ее отбить, но в этот же момент боты ударили по привязанным аккаунтам Facebook и Instagram.

Результат. Искусственный интеллект Meta (системы безопасности автоматического фреймворка) распознал резкую смену активности как критическую угрозу. В итоге алгоритм полностью и безвозвратно удалил Бизнес-менеджер, рекламный кабинет и весь Commerce Manager с каталогами товаров. Живая поддержка ничем не смогла помочь. Автоматические чаты просто зависали с ошибкой.

DOS-attack

Если вам заблокировали доступ к аккаунту, но вы все еще в бизнес менеджере есть, как администратор — вы почти в 100% случаев сможете вернуть аккаунт. Если вас сам Фейсбук удалил из администраторов, то вы уже ничего не сможете сделать, так как не сможете просто отправить заявку.

Вывод. Meta или Google — это не ваш личный бизнес. Это их платформы. Если вы строите маркетинг только вокруг одной соцсети, вы уязвимы. Всегда диверсифицируйте риски, собирайте контакты клиентов в независимую CRM-систему и делайте регулярные бэкапы.

Кейс 2. Ловушка банковских токенов. Почему перевыпуск карты не помог?

reissue-a-bank-card

Ситуация. Рекламный аккаунт клиента был взломан. Владелец бизнеса отреагировал быстро — заблокировал и полностью перевыпустил в банковском приложении две карты разных банков (ПриватБанка и monobank), получив новые номера и CVV.

Результат. Через 10 дней с абсолютно новой, свежей карты monobank деньги снова начали списываться. Владелец заметил это только после 7-го списания, так как по бизнесу шло много автоматических оплат и платежи были всего на 27 долл. Банк ответил, что транзакции официальные, а поддержка Meta подтвердила, что списания проводил сам Фейсбук в счет долга взломанного кабинета.

С картой ПриватБанка все было хорошо.

В чем причина? Диджитал-банки используют технологию «торговых токенов». При перевыпуске карты банк автоматически обновляет данные для доверенных мерчантов (которым ранее разрешались регулярные платежи). Фейсбук для банка — доверенная система.

Вывод. При взломе мало просто перевыпустить карту. Нужно связаться с поддержкой банка и жестко потребовать запретить любые списания по токенам и заблокировать транзакции без авторизации для данного мерчанта. Если банк отказывается это сделать, закройте счет полностью и откройте новый. Как бы болезненно это не было.

Финансовая безопасность: 4 правила при списаниях

Если реклама уже запущена, придерживайтесь жестких правил контроля бюджета:

  1. Контролируйте скачки расходов. Любое резкое списание, не соответствующее вашим дневным лимитам — повод проверить ситуацию. Например, в рекламном кабинете Google Ads, возможно, прошел клик по дорогому запросу, так бывает, тогда все хорошо. Однако, если вы не понимаете почему дневной бюджет превышен более чем в 2 раза, проверьте списание.
  2. Установите Лимит затрат аккаунта (Account Spend Limit). В настройках биллинга Мета задайте жесткий потолок (например, $200). Как только кампания потратит эту сумму, она остановится. Даже если вас взломают, мошенники не смогут открутить рекламу на тысячи долларов.
  3. Используйте роль «Финансовый аналитик». Если вы привлекаете подрядчиков или дизайнеров, никогда не давайте им права Администратора Бизнес-менеджера. Для работы с рекламой достаточно стандартных доступов, а для бухгалтерии — роли аналитика.
  4. Единственный безопасный бан кабинета. Помните, есть только один тип блокировки, который не должен вас пугать: когда Фейсбук попытался списать деньги за открученную рекламу, а на вашей карте пусто. Кабинет замораживается. Вы просто заходите, пополняете карту на нужную сумму, проводите платеж вручную (мануально), и показы возобновляются.

Защита аккаунтов — это не разовая настройка, а постоянная гигиена вашего бизнеса.

Краткая памятка: что делать, если вас все-таки взломали

  • Срочно заблокируйте карту и свяжитесь с оператором банка для отмены токенизированных платежей.
  • Отключите все активные рекламные кампании, если сохранили доступ в Ads Manager.
  • Напишите в техподдержку платформы (Фейсбука или Инстаграма, если запускали рекламу из кабинета именно Инстаграма).
  • Обратитесь в банк или киберполицию с заявлением о мошенничестве. Помните: расследования со стороны рекламных платформ могут длиться месяцами, поэтому безопасность ваших денег — это исключительно ваша прерогатива.
A-quick-reminder-when-your-meta-account-is-hacked

Шпаргалка: как включить двухфакторную аутентификацию (2FA) за 2 минуты

Не откладывайте это на вечер. Прямо сейчас откройте настройки и защитите свои профили, с которых запускается реклама.

Инструкция для Meta (Facebook и Instagram)

Поскольку сейчас управление личными страницами и бизнес-кабинетами объединено, настройка делается в одном месте:

  1. Откройте приложение Facebook или Instagram на смартфоне и перейдите в свой профиль.
  2. Откройте Меню (три полоски или шестеренка в правом верхнем углу) и выберите «Настройки и конфиденциальность» $\rightarrow$ «Настройки».
  3. Нажмите на блок «Центр аккаунтов» (Meta Accounts Center) на самом верху экрана.
  4. Перейдите в раздел «Пароль и безопасность».
  5. Нажмите «Двухфакторная аутентификация» и выберите нужный аккаунт.
  6. Выберите рекомендуемый метод: «Приложение для аутентификации» (например, Google Authenticator или Authy).

Отсканируйте QR-код и введите проверочные цифры.

Важно: в этом же меню обязательно скачайте и сохраните в надежное место Резервные коды (Recovery codes). Если вы потеряете телефон, только эти коды помогут вам войти в рекламный кабинет.

Инструкция для Google Ads

Реклама в Google привязана к вашей общей учетной записи Google (Gmail). Защитив её, вы автоматически защитите рекламный бюджет.

  1. Перейдите на страницу myaccount.google.com (аккаунт Google).
  2. В меню слева (или сверху, если вы с телефона) выберите вкладку «Безопасность» (Security).
  3. Прокрутите вниз до блока «Как вы входите в аккаунт Google» и выберите «Двухэтапная аутентификация».
  4. Нажмите кнопку «Начать» и подтвердите свой текущий пароль.
  5. Привяжите основной способ защиты — приложение-аутентификатор или подтверждение от Google на вашем смартфоне.