¿Te imaginas que administras cientos de clientes en tus cuentas de administrador de Google Ads (MCC)? ¿O su cuenta de Google y sus campañas publicitarias son secuestradas debido a un secuestro de MCC? Bueno, estas cosas suceden y pueden ser increíblemente aterradoras y dolorosas.
Craig Skalko publicó en LinkedIn que «todo el MCC de Google Ads de su empresa fue secuestrado a las 12:30 a. m.». Añadió que tenía dos factores en su cuenta y no está seguro de cómo puede suceder algo así.
Él escribió:
Ni yo ni nadie de mi equipo podemos acceder a él ni a ninguna de nuestras cuentas. Recibimos correos electrónicos de un usuario administrativo desconocido que se agregó. Luego, esta persona vinculó su propio MCC a muchas de nuestras cuentas. Eso es todo lo que sabemos.
Tenemos 2FA habilitado en todas las cuentas. No tengo idea de cómo sucedió esto. ¿Hay alguien que haya lidiado con esto y pueda ayudar?
He escuchado que esto sucede de forma intermitente durante el año pasado. Casi todas estas personas dijeron que tienen una configuración de dos factores y no saben cómo sucedió esto.
La sospecha es que se obtuvo a través de un correo electrónico de phishing que parece que está dando acceso a su cuenta por medios legítimos, pero en realidad es falso.
Alex Sanivsky respondió que recibió uno de estos intentos y compartió el correo electrónico falso. Él escribió:
¿Ves la dirección de correo electrónico? Parece que el acceso se envía desde Google, pero no es así.
Si su equipo le había pedido acceso a alguien que se estaba comunicando con usted para auditar su cuenta y le envió algo como esto, cuando hace clic en «aceptar», va a la «página de continuar» que se parece exactamente a la de Google, pero tiene una URL diferente: hace clic en continuar y luego le pide que inicie sesión en su cuenta de Google (aunque ya haya iniciado sesión): ingresa las credenciales de la cuenta a la que tiene acceso en su MCC y listo, si lo hizo, ahora recibieron sus credenciales (pero está diciendo que tenía 2 pasos, así que no estoy seguro).
Esto es algo que tuve hace unas semanas: se están volviendo más inteligentes…
Aquí está el correo electrónico:
Si miras el hilo de LinkedIn, verás toneladas de comentarios de anunciantes preocupados. Además, verás a otras personas que tuvieron el mismo problema.
Lo que probablemente suceda cuando se apoderen de su cuenta es que publiquen un montón de anuncios que conduzcan a malware u otros intentos de phishing. Gastan sus presupuestos y límites y ponen en riesgo toda su cuenta.
Aquí hay otro hilo reciente en los foros de Google Ads con una situación similar y esta publicación de Ben A. en LinkedIn. Hay muchos de estos hilos durante el año pasado con estas quejas, demasiados para vincularlos, pero aquí hay algunos en Reddit (más aquí). Incluso Adexchanger escribió esto hace 10 meses.
Diré que Ginny Marvin, enlace de Google Ads, respondió «Hola Craig, hice un seguimiento por mensaje directo». Pero eso fue casi 10 horas después de su publicación.
Qué pesadilla y tengo la sensación de que este no es un problema tan infrecuente para los anunciantes. La parte más aterradora es si alguien obtiene acceso pero puede publicar anuncios sin que usted se dé cuenta, durante semanas, meses o más. No estoy seguro de si eso le está pasando a alguien, pero es una situación aterradora.
Anoche le pedí a Craig una actualización, 16 horas después de que publicó por primera vez sobre la situación. Me dijo que en ese momento todavía no estaba resuelto. Él escribió:
1. Enviamos tickets de soporte y completamos el formulario de Cuenta comprometida, al igual que varios de nuestros clientes que poseen sus propios sub-MCC bajo nuestro MCC principal. Uno de ellos recibió un aviso de que escuchará algo antes del 2 de diciembre, por lo que todos estamos presionando para acelerarlo. Desafortunadamente, a otro cliente le dijeron que no había actividad fraudulenta en su cuenta, a pesar de que se presentaron todas las pruebas, por lo que no estamos seguros de qué debe hacer.
2. Hemos visto varias capturas de pantalla de clientes y de un representante de Google que pudieron ver algunas cosas en al menos algunas cuentas. Los piratas informáticos están ejecutando campañas fraudulentas en las cuentas existentes y acumulando decenas de miles de dólares en inversión publicitaria sólo en las últimas 24 horas.
3. Cancelé todas las tarjetas de crédito de la empresa y también desvinculé nuestro banco de nuestro perfil de pagos mensuales; sin embargo, todavía se están acumulando cargos y, sinceramente, no sé cómo detenerlos en este momento.
Google tiene este documento de ayuda llamado Qué hacer si su cuenta está comprometida, pero si se trata de una cuenta MCC, no creo que detenga la inversión publicitaria.
Hace aproximadamente una semana, Adesh, representante de Google Ads, publicó un hilo en el foro de ayuda de Google Ads titulado Mejores prácticas para mantener segura su cuenta. ¿Me pregunto por qué? Dice:
«Google tiene evidencia de que los malos actores están utilizando correos electrónicos de phishing y otras tácticas para robar credenciales de inicio de sesión. Con la ajetreada temporada navideña que se acerca, lo alentamos a revisar las tácticas de secuestro comunes e implementar las siguientes medidas de protección para proteger aún más sus cuentas:
- Intentos de phishing: Esté atento a las señales de alerta comunes, incluidos correos electrónicos o mensajes no solicitados, especialmente de remitentes sospechosos o desconocidos, que solicitan sus credenciales de inicio de sesión; Se han utilizado campañas que utilizan ofertas de trabajo y cursos de formación falsos de Google para engañar a usuarios desprevenidos.
- Cuentas inactivas: elimine las cuentas inactivas/inactivas (que están listas para ser secuestradas) y elimine los usuarios que ya no necesiten acceso a la cuenta (por ejemplo, los usuarios que abandonaron su empresa). Realizar auditorías periódicas.
- Inicios de sesión desde dispositivos nuevos o no reconocidos: estos pueden ser un indicador de que se ha producido un secuestro.
- Nuevos usuarios y cuentas de anuncios de Google agregados a MCC: esta actividad es común después de un secuestro.
Si nota actividad desconocida o cree que sus cuentas pueden haber sido secuestradas, debe seguir los pasos en esta página del Centro de ayuda para ayudar a detectar actividad sospechosa, recuperar su cuenta y hacerla más segura.
Para mayor seguridad, considere lo siguiente: Habilite la autenticación de dos factores (2FA): también conocida como MFA o 2SV, agrega una capa adicional de seguridad al requerir una segunda forma de verificación. Consulte la página del Centro de ayuda. ¡Gracias por mantener seguro el ecosistema de Google Ads!
Equipo de la comunidad de Google Ads»
No estoy 100% seguro de cómo obtienen acceso estos estafadores, pero sí creo que si uno de los titulares de la cuenta cae en el intento de phishing, obviamente le da las claves para acceder a todas las cuentas bajo MCC.
Foro de discusión en LinkedIn.
