Ошибка стоимостью в полмиллиона. Как крадут деньги из рекламных кабинетов и как этого избежать

Триллер для владельцев бизнеса, маркетологов и специалистов по контексту. Рассказываем, как у нас украли 500 000 ₽ из рекламного кабинета Директа и что делать, чтобы с вами такого не случилось.

Как произошла кража

Последние дни года — это всегда пожар. Много остановок кампаний и срочных правок, все адаптируют работу к праздничным дням, на этом и срезались.

Вечером 25 декабря специалисту нужно было остановить кампании одного клиента: сотрудник был не дома и выключал кампании с телефона → ввел в поиске яндекс-директ → вошел, получил код из смс и авторизовался под своими доступами → успешно все выключил.

Вот скриншот окна авторизации. Видите подвох?

Адрес сайта — https://passport.yanclex.net/, легко не заметить с телефона, если специально не обратить внимание.
Адрес сайта — https://passport.yanclex.net/, легко не заметить с телефона, если специально не обратить внимание.

Я кликнула на одну из первых ссылок в рекламном блоке выдачи и попала на сайт один-в-один по интерфейсу. После ввода пароля меня незаметно перенаправило на сайт Яндекса и я спокойно внесла изменения в кампании.

Когда «все самое плохое» произошло, именно благодаря скрину, по которому я просила пароль у руководителя, мы поняли, что доступы утекли к мошенникам — заметили ошибку в адресе.

Специалист по контексту

В какой-то момент от Яндекса пришла смс о начале удаления номера телефона, специалисты связались друг с другом и выяснили, что это не их работа. Попытались зайти в рабочий аккаунт, но пароль уже был сменен.

Чем все закончилось

Повезло, что мошенники оставили большинство кампаний нетронутыми. В одной из них сменили настройки на крипто-кошелек MetaMask (один из самых популярных криптовалютных кошельков в мире) с географией РФ+СНГ.

За 12 часов мошенники потратили потратили около 500 000 ₽ с учетом НДС, какую-то часть бонусами, но от этого не легче.

Цель была налить как можно больше трафика за как можно меньший период. Если бы мы не спохватились вовремя, то к понедельнику потери были бы где-то 2 млн. ₽.

Почему все могло закончиться еще хуже

В агентстве такая иерархия аккаунтов:

  • специалисты работают из под аккаунтов представителей с правами редактирования кампаний;

  • наш основный аккаунт является главным представителем для всех рабочих аккаунтов и имеет приоритет по внесению любых изменений.

Благодаря этому руководитель смог зайти в наш самый главный аккаунт, выкинуть оттуда мошенников и вернуть специалистам доступы.

Тут был один очень странный момент. У двух клиентов сменили главного представителя, и мы до сих пор не понимаем, как это возможно.

Хорошо, что мы все равно сохранили приоритетные права и смогли все вернуть как было. Мошенники могли расширить уровень прав, сменить контакты и получать все уведомления по кабинету. Теоретически они могли бы даже открепить кабинет от агентского (но это не точно, ждем разъяснений от Яндекса).

Специалист по контексту

Если бы мы слили доступы к самому главному аккаунту, могли совсем потерять и его, и деньги клиентов.

Как предотвратить кражу средств из аккаунтов рекламных систем

История получилась максимально неприятная, но сам специалист настоял на том, чтобы мы о ней рассказали не только другим сотрудникам, но и клиентам, и рынку. В такой ситуации мог оказаться кто угодно, даже клиенты, которые сами любят регулярно проверять свои рекламные кампании.

Если вам скажут, что ваш специалист по контексту до****б — я соглашусь, но я никогда никогда в жизни в таких ситуациях не оказывалась. Я вообще не знала, что такие схемы работают в контекстной рекламе, не знала, на что стоит обратить внимание.

Специалист по контексту

Чтобы не потерять деньги клиентов, обязательно расскажите сотрудникам, что такое бывает и на что обращать внимание, чтобы не оказаться на нашем месте. В идеале стоит скачать официальные приложения рекламных систем и вносить правки только в них.

Что будет дальше

Мы понимаем, что виноваты. Потери клиенту компенсируем, вину загладим.

Также ведем переговоры с Яндексом, но до нового года уже ничего не решим. Вопрос в том, как рекламные кампании мошенников прошли модерацию, поэтому есть надежда, что площадка поможет компенсировать часть средств.

Если кто-то из вас знает, что еще можно сделать, пожалуйста поделитесь в комментариях. Подозреваем, что идти с заявлением на владельцев крипто-кошелька — потеря времени, но вдруг есть еще какие-то пути.

Мошенники до сих пор работают, 29 декабря наблюдали их рекламу в Гугле, поэтому берегите себя и деньги своих клиентов, особенно в напряженные дни перед праздниками. Будем рады, если наш печальный опыт поможет кого-то уберечь.

<p>Адрес в объявлении мошенников другой, но редиректит все на тот же yanclex.</p>

Адрес в объявлении мошенников другой, но редиректит все на тот же yanclex.

3434
50 комментариев

Капец зашквар, вы слово специалист после такого только в кавычках писать наверное должны....
"зашла с телефона в кабинет". А чего не с микроволновки? А телефон не у подружки или у прохожего одолжила? Наверное и пароли в куках хранятся или где-то в файлике на гугл диске или на бумажке. Есть же как минимум приложение для работы с директом. Будь вашим клиентом, забрал бы все деньги, аккаунты и никогда больше не вернулся бы.

Я кликнула на одну из первых ссылок в рекламном блоке выдачи и попала на сайт один-в-один по интерфейсу.Специалист по контексту (уже бывший?)

12

Я же правильно понимаю, что вы за свою карьеру допустили ровно ноль ошибок?

18

ПНЕВМОСЛОН - Серега
Не о вас песня написана?

3

Можете опубликовать ФИО сотрудницы, ищущей Яндекс в Яндексе, чтобы её больше не взяли никуда по ошибке, когда вы уволите?

12

Мое личное мнение: если исправить ситуацию, признать ошибку и компенсировать последствия, можно сохранить доверие заказчика и дальше все будет в порядке. Если в диджитале увольнять каждого, кто хоть раз косячил, и больше никуда не брать, все будем без работы сидеть.

6

Выросло поколение людей, которые не пользуются адресами, юрлами, а вбивают название сайта в поиске, это прям очень печалит. При мне техник ростелекома, тянувший витую пару активировал соединение следующим образом : в адресной строке хрома вбил "яндекс", в открывшейся поисковой выдаче гугла открыл яндекс и в нем вбил "ростелеком личный кабинет", и в выдаче яндекс нашёл личный кабинет, так он попал на сайт ростелекома который lk.rt.ru. Техник, устанавливающий интернет. Поэтому я не удивлён, что похожие манипуляции проделывает директолог. Пусть с него спишут убытки, и он на всю жизнь запомнит, что на сайт надо заходить немного по другому.

10

К сожалению да, когда я в обсуждении с коллегами иногда говорю, что в РФ яндекс = интернет, с точки зрения профильного кругозора люди этого не понимают и отрицают, да ну не может быть. А обычные рядовые пользователи именно так интернетом и пользуются в больше чем половине случаев.

3