Як не втратити бізнес в інтернеті: практики з кібербезпеки для маркетингових елементів у МСБ. Частина 2

У першій частині статті, присвяченій практикам з кібербезпеки для малого та середнього бізнесу, ми розглянули, як захистити домен, хостинг та пошту.

У другій частині ми поговоримо про те, як захистити профіль Google My Business, адмінпанель сайту, кабінети та профілі Meta Business Manager, Facebook, Instagram.

Захист профіля Google My Business

Google Мій Бізнес (Google My Business) — це важливий інструмент для локального бізнесу. В Україні його досі трохи недооцінюють, хоча в Європі та США він є ключовою точкою контакту з клієнтами. Деякі бізнеси взагалі не мають сайту, а працюють виключно через GMB: заповнюють профіль, додають фото, відгуки, і цього достатньо для залучення клієнтів.

Останнім часом ми стикалися з кількома кейсами, коли бізнес втрачав доступ до свого профілю. На щастя, процес відновлення тут простіший, ніж у випадку з доменом чи хостингом. Але якщо ви не маєте контролю над своїм профілем, це потрібно вирішити якомога швидше.

Як відновити доступ до профіля Google My Business

1. Заявка на відновлення. Ви заходите в Google Мій Бізнес і додаєте локацію компанії. Якщо бізнес уже існує в системі, з’явиться можливість заявити права на нього.
2. Підтвердження через пошту або SMS. Залежно від ринку та історії акаунту Google може запропонувати підтвердження через SMS або надіслати лист із кодом поштою.
3. Перевірка існуючого власника. Якщо профіль уже кимось керується, Google покаже підказку:
   • першу і останню букву email-а власника;
   • домен пошти (наприклад, ***@gmail.com).
   • Це може допомогти згадати, хто саме реєстрував акаунт. Якщо власник не реагує протягом трьох днів, доступ можна отримати через Google Support.
4. Якщо власник акаунта блокує запити. У деяких випадках доступ до GMB був зареєстрований на колишнього маркетолога чи співробітника, який може просто натискати «Відхилити запит» на кожній спробі відновлення. Тоді доведеться звертатися у службу підтримки Google. Останнім часом після масових скорочень у компанії відповіді можуть займати більше часу, тому краще вирішувати це питання завчасно.

Рівні доступу в Google Мій Бізнес

Google дозволяє налаштовувати різні рівні доступу до профілю:

• Primary Owner (Головний власник) — найвищий рівень прав, який повинен бути у директора, власника або керуючого партнера.
• Owner (Власник) — має всі права, крім можливості видалити профіль.
• Manager (Менеджер) — може керувати відгуками, публікувати новини та оновлювати інформацію, але не може видалити акаунт або змінювати права інших користувачів.

Важливо: головний власник повинен бути власником бізнесу, а не маркетологом чи фрилансером.

Одна з найбільш поширених помилок — це реєстрація GMB на «ліву» пошту. В Україні часто трапляються випадки, коли співробітники створюють акаунти на особисті Gmail-адреси, наприклад:

• [email protected]
• [email protected]

З часом, коли ці співробітники змінюються або залишають компанію, доступ втрачається, і відновлення стає складнішим.

Як правильно реєструвати Google Мій Бізнес?

1. Тільки на пошту власника або офіційний корпоративний email.
2. Якщо використовуєте безкоштовний Gmail, він повинен бути під контролем директора.
3. Ще краще — зареєструвати профіль на корпоративну пошту, підключену до Google Workspace (наприклад, [email protected]).
4. Головний власник (Primary Owner) має бути виключно власником бізнесу або керівником.

Якщо ви втратите доступ, конкурент або колишній співробітник може просто змінити інформацію, відповісти на відгуки від імені компанії або навіть видалити профіль.

Захист в адмінпанелі сайту

Адмінпанель сайту — це ключова точка управління, особливо, якщо ваш сайт працює не на хмарній платформі, а на CMS типу WordPress, Magento або OpenCart. Головна помилка, яку допускають власники сайтів — це неконтрольований розподіл доступів.

Якщо у вас WordPress, кожен користувач повинен мати окремий акаунт із відповідним рівнем доступу:

• Контент-менеджер — доступ тільки до створення і редагування контенту, без можливості змінювати налаштування сайту.
• Маркетингова агенція — доступ до аналітики, рекламних інтеграцій, але без права встановлювати або видаляти плагіни.
• Розробники — обмежений доступ до технічних налаштувань, тільки якщо це необхідно.

Проблема в тому, що WordPress дозволяє встановлювати небезпечні плагіни, які можуть надати користувачам доступ до конфіденційних даних або навіть серверних файлів.

Чому небезпечні плагіни можуть стати загрозою?

WordPress має стандартні редактори коду (File Editor), які дозволяють змінювати CSS та PHP-файли сайту прямо з адмінпанелі. Якщо користувач отримує доступ до цих інструментів, він може змінити вигляд сайту, зламати його або встановити бекдор (невидимий доступ).

Окремо варто звернути увагу на плагіни, які зберігають конфіденційні дані. Наприклад, якщо у вас встановлений Contact Form 7 + CFDB7, усі надіслані форми зберігаються у базі даних. Якщо людина, яка не повинна мати доступ до лідів, отримає повний доступ до WordPress, вона зможе бачити всі контактні дані клієнтів.

Ще небезпечніший сценарій — встановлення плагіна, який дозволяє редагувати файли на сервері (File Editor або аналогічні). Через нього можна отримати доступ до файлу wp-config.php, у якому містяться:

• логін і пароль до бази даних;
• IP-адреса сервера бази даних;
• конфігурація підключення до FTP.

Якщо хтось отримає ці дані, він зможе зайти у вашу базу даних через PHPMyAdmin і внести будь-які зміни напряму. У найгіршому випадку — видалити важливі дані або змінити паролі адміністраторів.

Як контролювати безпеку адмінпанелі?

• Кожен користувач повинен мати свій акаунт із відповідними правами.
• Видаляти непотрібні акаунти — якщо співробітник або підрядник більше не працює з сайтом, його обліковий запис потрібно видалити.
• Обмежити можливість встановлення плагінів — встановлювати плагіни повинні тільки ті, хто дійсно відповідає за технічне обслуговування.
• Контролювати логіни та дії адміністраторів — існують плагіни, які ведуть журнал змін (наприклад, WP Security Audit Log), і дозволяють бачити, хто заходив у панель і що змінював.

Якщо ваша маркетингова агенція чи контент-менеджер працюють із сайтом, їм достатньо доступу тільки до своїх завдань, а не до всіх налаштувань WordPress.

Захист кабінетів та профілів Meta Business Manager, Facebook, Instagram

Facebook і Instagram працюють через Meta Business Manager — платформу, яку Meta запровадила близько чотирьох років тому для управління рекламними акаунтами, сторінками та доступами. Формально бізнес-менеджер дає змогу налаштовувати права доступу без передачі логінів і паролів між співробітниками чи підрядниками.

Однак багато компаній досі неправильно налаштовують Meta Ads Кабінет, що створює ризики втрати акаунта або навіть блокування бізнес-менеджера.

Основні помилки при налаштуванні Meta Business Manager

Одна з найпоширеніших помилок — створення фейкового акаунта, наприклад «Ivan Company Name», і використання його для управління бізнес-менеджером. Власники бізнесів часто не хочуть вникати в технічні деталі, тож замість того, щоб додати себе як адміністратора, вони передають управління такому «боту».

Якщо Meta запідозрить підозрілу активність або попросить верифікацію, вас можуть попросити підтвердити особу за допомогою документа. Але якщо акаунт фейковий, довести, що ви його власник, буде неможливо. Якщо акаунт буде заблокований, ви втратите доступ до всіх рекламних акаунтів і сторінок компанії.

Щоб уникнути цієї проблеми, власник бізнесу має бути доданий у бізнес-менеджер як реальний користувач Facebook. Навіть якщо він не бере активної участі в управлінні рекламою, він повинен мати повний адміністративний доступ, щоб у разі проблем можна було відновити акаунт.

Поширені помилки

• Відсутність бізнес-менеджера. Деякі компанії досі працюють без Meta Business Manager, надаючи підрядникам і співробітникам доступ напряму через рекламний кабінет. Це ризиковано, тому що керувати правами доступу та аналізувати безпеку в такому випадку набагато складніше.
• Передача логінів і паролів від Facebook або Instagram. Це величезний ризик безпеки. Усі доступи повинні видаватися через бізнес-менеджер, а не через передачу особистих акаунтів.
• Наявність тільки одного адміністратора. Якщо в акаунті тільки один адміністратор, і він втрачає доступ, компанія може повністю втратити контроль над бізнес-менеджером. Мінімум два користувачі повинні мати повний адміністративний доступ.
• Використання неправильних або сторонніх даних. У налаштуваннях компанії повинна бути реальна інформація. Якщо бізнес-менеджер буде заблокований, і у вас вказані вигадані дані, довести право власності буде майже неможливо.
• Фішингові атаки та неінформованість співробітників. Один із наших клієнтів втратив доступ через те, що SMM-спеціаліст натрапив на фішинговий сайт, ввів свій логін і пароль, а зловмисники одразу отримали доступ. Проблему можна було б вирішити за два дні, якби її помітили вчасно. Але співробітник нічого не сказав, і тільки на п’ятий день компанія зрозуміла, що акаунт захоплений. Щоб уникнути такого сценарію, важливо навчати співробітників не переходити за підозрілими посиланнями та налаштувати двофакторну автентифікацію для всіх адмінів.
• Запити логіна і пароля для Instagram. Деякі SMM-фахівці просять надати їм логін і пароль від Instagram, щоб вони могли постити контент. Це застаріла і небезпечна практика. Замість цього доступ повинен надаватися через Meta Business Suite, де можна розмежовувати рівні прав. Так, навіть Reels та Stories останні 3 роки можна постити саме з Meta Business Suite.

Як правильно налаштувати доступи?

1. Додати власника бізнесу як адміністратора. Він не обов’язково повинен брати участь в управлінні рекламою, але повинен мати повний доступ, щоб у разі проблем мати можливість відновлення.
2. Призначити мінімум двох адмінів. Якщо один втрачає доступ, другий може його відновити.
3. Перевірити рівень доступів у Business Manager. Важливо, щоб у кожного співробітника були тільки ті права, які йому дійсно потрібні.
4. Не передавати логіни і паролі. Доступ до акаунтів Facebook, Instagram та рекламних кабінетів надається виключно через бізнес-менеджер, а не через передачу акаунтів вручну.
5. Навчити співробітників уникати фішингових атак. Жоден справжній співробітник Meta ніколи не надішле вам повідомлення із запитом пароля або коду доступу. Якщо вам надходять такі повідомлення, це 100% шахрайство.

Сучасні можливості Meta Business Manager дозволяють створювати та керувати контентом у Facebook і Instagram без необхідності передавати логіни та паролі особистих акаунтів. Усі процеси можна налаштувати безпечно, якщо правильно використовувати інструменти бізнес-менеджера.

Що можна робити через Meta Business Suite?

• Створювати публікації для Facebook та Instagram безпосередньо з адмінпанелі.
• Керувати історіями та рилсами — тепер для цього не потрібно передавати логін і пароль від акаунту Instagram.
• Додавати SMM-фахівців, маркетологів або підрядників без доступу до особистого акаунту, використовуючи налаштування ролей.

Як правильно видавати доступи в Meta Business Manager?

Раніше для публікації контенту в Instagram маркетологи часто запитували логін і пароль від акаунту. Зараз у цьому немає потреби — Meta дозволяє додавати користувачів через панель керування.

1. Додайте акаунт Instagram у Meta Business Manager. Спочатку потрібно підключити акаунт Instagram. Єдине місце, де доведеться ввести логін і пароль від Instagram — це Meta Business Suite.
2. Призначте права доступу. Після підключення Instagram можна розподілити доступи. Наприклад, одному користувачеві дати право публікувати контент, іншому — доступ до аналітики.
3. Переконайтеся, що у когось є резервний доступ. Щоб уникнути ситуацій, коли єдиний адміністратор втрачає доступ, в бізнес-менеджері має бути мінімум двоє адмінів, які можуть відновити контроль у разі проблем.

Переконайтеся, що SMM-спеціаліст розуміє правила безпеки. Не варто клікати на підозрілі посилання або намагатися входити в акаунт Instagram напряму. А також перевірте, чи акаунт Instagram пов’язаний із бізнес-менеджером. Усі налаштування потрібно робити через Meta Business Suite, щоб уникнути втрати доступу.

Далі стежте за активністю. Якщо у Facebook чи Instagram є активний акаунт компанії, бажано, щоб у нього заходили кілька користувачів — це підвищує рівень безпеки.

Історія, що трапилась з нами

Отже, як і обіцяв продовження історії. Одразу з проєктними менеджерами ми з’ясували, що це новий вид скаму: до нас постукався «‎новий клієнт» на послугу таргетингу в соціальних мережах.

Раніше ми брали доступи двома способами: вказували на Meta Business ID, щоб клієнт видав сам доступ до його облікового запису, сторінки, пікселя каталогу тощо через Business Manager, або просили додати нас до їхнього акаунту Business Manager.

«‎Клієнт» вдав, що не може розібратись, як це видати, і одразу запросив рахунок на оплату, щоб краще втертись в довіру.

Лист «з доступом до його Business Manager‎» виявився скамним, і двохфакторна автентифікація не врятувала. Факт взлому виявили за 6 годин, змінили пароль, але були вкрадені файли сookie, і скамери змогли додати ще одного адміністратора до нашого Business Manager.

З нашої сторони першою справою‎ змінили пароль, потім знову скамери скинули нам пароль і змогли в режимі реального часу пакостити. Оскільки у нас було декілька адміністраторів в Business Manager, ми змогли видалити скамера, а також прибрати доступи нашого адміністратора до всіх наявних ресурсів.

Кожному клієнту написали повідомлення вигляду:

Meta Business Manager, що мав доступ до реклами, скамнули, ми:

• оперативно за 3 години виявили та відновили Business Manager;
• протягом 6 годин відновили доступ до облікового запису;
• протягом доби перевірили кожен обліковий запис та усунили некоректності.

Причина «stolen session cookies» — спосіб обходити двофакторну автентифікацію. Це глобальна проблема 2023-2024, над цим активно працює Google з новим Device Bound Session Credentials (DBSC) та Apple з Microsoft.

Скамери витратили $1 437,36. Підкажіть, будь ласка, на яку картку/рахунок повернути рекламний бюджет.

Ми видалили кампанію через те, що вона порушувала правила модерації. Глобально — це збій Meta, що можна масово запустити рекламу на ту ж сторінку стороннього сайту, який не доданий в домен Meta Business Manager. Ми паралельно стежимо та готуємо запит в Meta Ads.

Ми як партнери Meta провели декілька телефонних розмов з підтримкою, засабмітили групове повернення та повідомлення про скам, а також декілька окремих, і подали на ваш обліковий запис Meta.

Номера кейсів: XXXXXXXXXXXXXXX, та від мене запит XXXXXXXXXXXXXXX та кейс XXXXXXXXXXXXXXX.

Зараз на розгляді, тримаємо вас в курсі. Повернення може зайняти від декількох днів до декількох тижнів зі сторони Meta.

На карту Visa · 3301 мали б повернути:

• $731.31 від XXXXXXXXXXXXXXX-XXXXXXXXXXXXXXX від Jul 28, 2024, 6:27 AM (Reference number XXXXXXXXXXXXXXX).
• $714.17 за Transaction ID XXXXXXXXXXXXXXX-XXXXXXXXXXXXXXX від Jul 26, 2024, 11:45 PM Reference number (XXXXXXXXXXXXXXX).
• За скамний Ad set ID XXXXXXXXXXXXXXX.

Зі 112 облікових записів постраждало 22, першою справою дослідили масштаб проблеми.

Зв’язались по кожному з власником бізнесу та підтримкою, з 22 постраждалими від рук скамерів — 15 вдалось повернути кошти за 1-2 дні за допомогою підтримки Meta, а також видалити скамні оголошення, а ось з 7 — вирішували питання протягом місяця, а двом компенсували самі, щоб не витрачати час на спілкування з підтримкою.

Висновок: навіть з 2FA, навіть з доданими доменами в Meta Business Manager все одно можливі сками. Будьте уважні, не лише змінюйте паролі системно, а й вилогінюйтесь на всіх пристроях. Ставте лише необхідні рівні доступу необхідним людям. Не нехтуйте порадами безпеки, реєструйте повні адміндоступи лише на власників бізнесу.

Висновок

Безпека бізнесу в інтернеті починається з контролю доступів — усі критично важливі акаунти (домен, хостинг, корпоративна пошта, Meta Business Manager) повинні бути зареєстровані на власника або відповідальну особу з обов’язковою двофакторною автентифікацією.

Домен потрібно реєструвати тільки на корпоративну пошту власника бізнесу, а не на розробників або підрядників, які можуть втратити або забрати доступ.

Хостинг і сайт потребують регулярного оновлення, адже застарілі плагіни у WordPress чи погано захищені сервери стають слабким місцем, через яке бізнес може втратити контроль над своїми даними.

Meta Business Manager та рекламні акаунти Facebook і Instagram мають налаштовуватися без передачі логінів і паролів — доступи видаються лише через Business Manager, щоб уникнути фішингових атак і втрати контролю.

Захист даних — це не одноразове рішення, тому потрібно стежити за налаштуваннями, використовувати хмарні сервіси безпеки (Cloudflare), обмежувати права доступу для підрядників та регулярно перевіряти безпеку акаунтів, видаляти «мертві душі» колишніх співробітників та навіть клієнтів, з якими не працюєте.