Триллер для владельцев бизнеса, маркетологов и специалистов по контексту. Рассказываем, как у нас украли 500 000 ₽ из рекламного кабинета Директа и что делать, чтобы с вами такого не случилось.
Как произошла кража
Последние дни года — это всегда пожар. Много остановок кампаний и срочных правок, все адаптируют работу к праздничным дням, на этом и срезались.
Вечером 25 декабря специалисту нужно было остановить кампании одного клиента: сотрудник был не дома и выключал кампании с телефона → ввел в поиске яндекс-директ → вошел, получил код из смс и авторизовался под своими доступами → успешно все выключил.
Вот скриншот окна авторизации. Видите подвох?
Я кликнула на одну из первых ссылок в рекламном блоке выдачи и попала на сайт один-в-один по интерфейсу. После ввода пароля меня незаметно перенаправило на сайт Яндекса и я спокойно внесла изменения в кампании.
Когда «все самое плохое» произошло, именно благодаря скрину, по которому я просила пароль у руководителя, мы поняли, что доступы утекли к мошенникам — заметили ошибку в адресе.
В какой-то момент от Яндекса пришла смс о начале удаления номера телефона, специалисты связались друг с другом и выяснили, что это не их работа. Попытались зайти в рабочий аккаунт, но пароль уже был сменен.
Чем все закончилось
Повезло, что мошенники оставили большинство кампаний нетронутыми. В одной из них сменили настройки на крипто-кошелек MetaMask (один из самых популярных криптовалютных кошельков в мире) с географией РФ+СНГ.
За 12 часов мошенники потратили потратили около 500 000 ₽ с учетом НДС, какую-то часть бонусами, но от этого не легче.
Цель была налить как можно больше трафика за как можно меньший период. Если бы мы не спохватились вовремя, то к понедельнику потери были бы где-то 2 млн. ₽.
Почему все могло закончиться еще хуже
В агентстве такая иерархия аккаунтов:
специалисты работают из под аккаунтов представителей с правами редактирования кампаний;
наш основный аккаунт является главным представителем для всех рабочих аккаунтов и имеет приоритет по внесению любых изменений.
Благодаря этому руководитель смог зайти в наш самый главный аккаунт, выкинуть оттуда мошенников и вернуть специалистам доступы.
Тут был один очень странный момент. У двух клиентов сменили главного представителя, и мы до сих пор не понимаем, как это возможно.
Хорошо, что мы все равно сохранили приоритетные права и смогли все вернуть как было. Мошенники могли расширить уровень прав, сменить контакты и получать все уведомления по кабинету. Теоретически они могли бы даже открепить кабинет от агентского (но это не точно, ждем разъяснений от Яндекса).
Если бы мы слили доступы к самому главному аккаунту, могли совсем потерять и его, и деньги клиентов.
Как предотвратить кражу средств из аккаунтов рекламных систем
История получилась максимально неприятная, но сам специалист настоял на том, чтобы мы о ней рассказали не только другим сотрудникам, но и клиентам, и рынку. В такой ситуации мог оказаться кто угодно, даже клиенты, которые сами любят регулярно проверять свои рекламные кампании.
Если вам скажут, что ваш специалист по контексту до****б — я соглашусь, но я никогда никогда в жизни в таких ситуациях не оказывалась. Я вообще не знала, что такие схемы работают в контекстной рекламе, не знала, на что стоит обратить внимание.
Чтобы не потерять деньги клиентов, обязательно расскажите сотрудникам, что такое бывает и на что обращать внимание, чтобы не оказаться на нашем месте. В идеале стоит скачать официальные приложения рекламных систем и вносить правки только в них.
Что будет дальше
Мы понимаем, что виноваты. Потери клиенту компенсируем, вину загладим.
Также ведем переговоры с Яндексом, но до нового года уже ничего не решим. Вопрос в том, как рекламные кампании мошенников прошли модерацию, поэтому есть надежда, что площадка поможет компенсировать часть средств.
Если кто-то из вас знает, что еще можно сделать, пожалуйста поделитесь в комментариях. Подозреваем, что идти с заявлением на владельцев крипто-кошелька — потеря времени, но вдруг есть еще какие-то пути.
Мошенники до сих пор работают, 29 декабря наблюдали их рекламу в Гугле, поэтому берегите себя и деньги своих клиентов, особенно в напряженные дни перед праздниками. Будем рады, если наш печальный опыт поможет кого-то уберечь.
Адрес в объявлении мошенников другой, но редиректит все на тот же yanclex.
Капец зашквар, вы слово специалист после такого только в кавычках писать наверное должны....
Я кликнула на одну из первых ссылок в рекламном блоке выдачи и попала на сайт один-в-один по интерфейсу."зашла с телефона в кабинет". А чего не с микроволновки? А телефон не у подружки или у прохожего одолжила? Наверное и пароли в куках хранятся или где-то в файлике на гугл диске или на бумажке. Есть же как минимум приложение для работы с директом. Будь вашим клиентом, забрал бы все деньги, аккаунты и никогда больше не вернулся бы.
Специалист по контексту (уже бывший?)
Я же правильно понимаю, что вы за свою карьеру допустили ровно ноль ошибок?
вот таких глупых, да, ноль ни разу не сливал паролей и ни разу не сливал ин чей бюджет
Не отрицаем, ошибка дурацкая. Повторять не планируем и сделаем все, чтобы на клиенте потери не отразились. Потому и делимся, что даже опытный специалист может накосячить, а если ты вообще не сталкивался с чем-то подобным, ощущение опасности притупляется и инструкции забываются.
Вам надо прописать регламент по цифровой безопасности, серьезно.
Хранение паролей, одобренные менеджеры для хранения паролей, регулярная замена паролей, по регламенту.
Запрет на установку софта на рабочих компах, только через админа и только централизовано. Обновление тоже через него. Заявка с её фиксацией и одобрением вышестоящего руководителя. Регулярная очистка куки. Расширения и плагины в браузерах тоже только одобренные и только через админа.
Хранение мастер паролей и ограничение круга лиц с доступом к ним.
С каких устройств можно входить и работать.
Уровни доступа к кабинетам, к клиентским, к агентству, с ограничением доступа к финансам там где это возможно.
и так далее и тому подобное.
99% этого всего не делает, что рано или поздно получатся дорого.
Ну ну. Разведи бюрократию на рабочем месте с установкой софта через админа и парализуй работу отдела контекста или ещё какого. Руководителю делать больше нечего, кроме как заявки на установку всякого одобрять. Он же ничем не занят больше.
Бюрократии не хочется совсем. Придется искать какой-то баланс.
Как минимум, у нас даже не было семинаров по компьютерной безопасности.
Да на кой шут они нужны, семинары эти? Банально можно одним файликом обойтись с рекомендациями. А то тут уже чуть ли не по сетчатке глаза вход в директ советуют сделать у вас)
Описаны банальные вещи, основы цифровой гигиены, которые принято соблюдать там, где идёт работа с деньгами. При чем совершенно поверхностные, там и рядом про сетчатку глаза ничего нет. Это вы не видели как работают там, где деньги побольше или данные по важнее. Телефоны и электронные устройства в ящик на входе, нет USB портов на компах и так далее и том у подобное. Как выше заметил Николай, надо соблюдать баланс. И файлик, который все прочтут и забудут про него, тут не поможет. Как минимум людям, которые пользуются компом на прикладном уровне, для решения своих рабочих задач, как зубной щеткой, не думая как это внутри работает и каких дел можно наворотить по незнанию, надо рассказывать простым языком об информационной безопасности, чтобы не было такого как "я чето нажала и все пропало". Одно дело знать и не делать и другое не знать вообще. А потом нытьё про угон аккаунтов в телеге или в инсте, вместе с доменами и потерянные деньги, часто большие.
Регламент есть, но очевидно правила регулярно нужно освежать в памяти, особенно в моменты перегруза, как перед НГ.
тема информационной безопасности явно недооценена
Приложение есть так то..
ПНЕВМОСЛОН - Серега
Не о вас песня написана?
🤣👍
Про него, про него) однозначно, я прямо обеими руками поддерживаю.
Можете опубликовать ФИО сотрудницы, ищущей Яндекс в Яндексе, чтобы её больше не взяли никуда по ошибке, когда вы уволите?
Мое личное мнение: если исправить ситуацию, признать ошибку и компенсировать последствия, можно сохранить доверие заказчика и дальше все будет в порядке. Если в диджитале увольнять каждого, кто хоть раз косячил, и больше никуда не брать, все будем без работы сидеть.
Выросло поколение людей, которые не пользуются адресами, юрлами, а вбивают название сайта в поиске, это прям очень печалит. При мне техник ростелекома, тянувший витую пару активировал соединение следующим образом : в адресной строке хрома вбил "яндекс", в открывшейся поисковой выдаче гугла открыл яндекс и в нем вбил "ростелеком личный кабинет", и в выдаче яндекс нашёл личный кабинет, так он попал на сайт ростелекома который lk.rt.ru. Техник, устанавливающий интернет. Поэтому я не удивлён, что похожие манипуляции проделывает директолог. Пусть с него спишут убытки, и он на всю жизнь запомнит, что на сайт надо заходить немного по другому.
К сожалению да, когда я в обсуждении с коллегами иногда говорю, что в РФ яндекс = интернет, с точки зрения профильного кругозора люди этого не понимают и отрицают, да ну не может быть. А обычные рядовые пользователи именно так интернетом и пользуются в больше чем половине случаев.
Это вам повезло еще что мошенники довольно глупые попались и начали тратить все на медийку с максимально широким охватом, а могли бы в какой-то группе закопать поглубже свои объявления и бабки тонкой струйкой уходили бы, пока ваш специалист с куриными мозгами на отчетности в конце месяца не заметил бы. А может и в конце года, а может никогда.
Я бы с адвокатом проконсультировался, и если с юридической точки зрения есть основания для уголовного дела, я бы обязательно обратился в полицию!
Согласен, займёмся
Похоже они работают давно, домен зареган еще в 11 году. В гугл написать, заблочат сайт в поиске и рекламе.
Второй день читаю статьи и удивляюсь. Сначала qr коды у тинькофф работают при отмене, теперь фишинг яндекса.
Два восклицательных знака — нельзя, а вот фишинговые РК — пожалуйста
Мы написали в саппорт GA, но пока молчат.
Даа, вроде и смешно и тупо выглядит, но на самом деле могло бы случиться почти с каждым
Мы стали забывать про старый-добрый фишинг!
Спасло адекватное разграничение прав в рабочих аккаунтах. А если бы в такой ситуации оказался не аккаунт агентства, можно было бы все потерять. Потому и делимся опытом.
Мы можем давать оценку действиям специалиста и качеству его мозгов, вы — нет. Ну вернее да, можете в комментариях понабрасывать. Ну понабрасывайте, полегчает.
Почему это нет? По моему порядок описанных действий, вполне себе лакмусовая бумажка.
Шифрую на своей рабочей станции excel-файлы по работе и иногда думаю - не параноик ли я? Фух, спасибо, отпустило... :)
Написать заявление в полицию - вовсе не нулевой шанс дать делу ход. Деньги есть деньги. Они вон даже кражу танков и персонажей в игре расследовали успешно. И вернули!
Простой фишинг. Глупо попались конечно. Обычно на такие уловки попадаются совсем далёкие от интернета люди.
Так-то оно так, но это не помешало моей коллеге заказать на сайте фотоаппарат и получить в итоге шиш, потому что ровно на следующий же день сайт уже был недоступен. Заявление в полицию было написано, но, если меня память не подводит, ничем это не закончилось. Поэтому тут никто не застрахован.
Николай, вам бы изначально нужно было рассказать вашим сотрудникам, что все переходы в какие-либо аккаунты должны осуществляться исключительно из заранее сохранённых вкладок и не важно на мобильном или лэптопе, ну никак не по ссылке из поисковой выдачи. Ну прям как дети...
Это понятно)
Но я уверен, что даже в крупных агентствах правила безопасности могут быть не проговорены, либо про них все забыли. Поэтому решили вынести в паблик
Мне кажется, что в том то и проблема, что когда режим работы штатный, никто никаких правил не нарушает, но когда в субботу ты едешь в такси с новогодними подарками для родных, а тебе проджект пишет «срочно отключай», есть риск допустить ошибку.
Слава богу, что все можно как-то исправить.
Делегировать задачу тому, кто в офисе или у рабочего компа? Меня в целом дико бесит, когда начинается какая-то паника в нерабочее время. Понятно, что это издержки профессии, но отключения клиентов на праздники должно быть запланировано. А уж дёргать специалиста в выходной день, когда он у чёрта на рогах...ну такое)) Надеюсь, что виновников (истинных) найдут и дадут им по шапке.
Нет тут издержек профессии. Тут тупой менеджмент. Все уважающие себя и клиентов специалисты за несколько дней до праздников рассылают клиентам сообщение с просьбой указать режим показа. Сообщая что кто не сообщит будет по любому отключен на это время. 14 лет ведем клиентов в контекстных системах и НИКОГДА подобной ситуации не возникало, да и не может возникнуть.
Мы тоже стараемся к 25 числу уже от всех получить графики показов в праздники. Ну и опять же повторюсь - делегирование никто не отменял. Одного специалиста всегда может подстраховать другой, если нужно прям срочно-давка-паника.
Отключение должно было быть "плановым", новый год и праздники были известны за ранее, если проджект в принципе чтото пишет в такое время, значит уже косяк и работа не по плану. и тут большой вопрос в организации работы...
С акаунта Яндекс нельзя украсть деньги потому что даже при выводе средств они переводятся на ту карту или счёт с которого вы платили . Поэтому мошенники и не охотятся за ними особо
Но можно слить чужой бюджет на получение трафика туда, куда нужно мошенникам.
Никакого триллера или детектива, банальная невнимательность.
И эти люди управляют РК на миллионы! При этом не могут просто ввести адрес direct.yandex.ru! Какая-то полная деградация зумеров и иже с ними 🤦 На месте клиентов тотчас бежал бы от них как можно дальше!
Я даже не одного отзыва не встречал что бы кто то зашёл в чужой РК Яндекс и вывел от туда деньги . Баны были и прочее но такого что бы прям перекинули деньги на другой счёт с РК Яне слышал
В том то и дело: деньги не перекидывались. Просто потратились на нужды злоумышленников на аккаунте клиента
Комментарий удален модератором
Комментарий удален модератором
Чот я не понял. Что значит "перенаправило на сайт"? А на настоящем яндекс.директе разве не надо вводить логины-пароли и код из смс?
Воооот, это самое интересное. Не пришлось вводить дважды логин-пароль, даже достаточно одной смс: чтобы войти и специалисту, и мошеннику. Очень удобно!
"ввел в поиске яндекс-директ"
это вообще больница, терминальная стадия.
как выглядит браузер здорового человека, который работает с директом:
Все люди делятся на две категории, первые адрес руками вписывают в адресную строку (по крайней мере пытаются, и если это специалист то скорее всего все нужные адреса уже будут в подсказках), а вторые даже, чтобы открыть "главную Яндекс", будут в гугл писать яндекс, чтобы он выдал им ссылку для перехода. ХЗ, как это объяснить? По мне так вторые проф. не пригодны, но это IMHO
УК РФ Статья 293. Халатность
http://www.consultant.ru/document/cons_doc_LAW_10699/33ed8a9caec9cd5b4c329b9a17409a19c583d4d4/
очень жаль, что "специалистКА" трохец не дотянула до крупных размеров.