Google Ads Hijacks 2026 – dlaczego ataki rosną o 800% i jak agencje mogą się przed nimi zabezpieczyć?

Schemat ataków na konta Google Ads jest prosty i jednocześnie skuteczny (niestety). Hakerzy:

1. Przejmują konto pracownika agencji bądź firmy – poprzez przejęcie sesji (cookies) lub wyłudzenie danych za pomocą fałszywego mailingu lub okna do logowania Google.
2. Uzyskują dostęp do MCC.
3. Dodają nowego administratora i degradują obecnych adminów do użytkowników tylko z podglądem, lub całkowicie usuwają ich z konta.
4. Tworzą nowe MCC, przepinają kampanie reklamowe na nowe konto, zwiększają limity wydatków nawet kilkukrotnie.
5. Tworzą skrypty odpytujące ich kampanie: Periodic Check.
6. Uruchamiają kampanie phishingowe / scamowe.
7. Wydają budżety w krótkim czasie (nawet kilkaset tysięcy złotych w 48h).

Do przeprowadzania ataków hakerzy najczęściej wykorzystują infostealer, czyli złośliwe oprogramowanie (malware), którego głównym celem jest kradzież danych. Celem mogą być loginy i hasła, dane zapisane w przeglądarce, tokeny API czy pliki cookies aktywne podczas sesji, które mogą okazać się najgroźniejsze. Dlaczego?

Atak wymierzony w pliki cookies powoduje, że:

• atakujący przejmuje aktywną sesję,
• klucze sprzętowe typu yubikey są mniej skuteczne,
• system widzi „legalnego użytkownika”, więc atak staje się trudniejszy do zauważenia.

Hakerzy zwykle celują w większe firmy lub bezpośrednio w agencje marketingowe, z kilku prostych powodów:

• mają dostęp do wielu kont reklamowych, więc automatycznie stają się atrakcyjnym celem,
• operują dużymi budżetami miesięcznymi i dziennymi – nawet atak trwający jedynie 48h może spowodować straty na poziomie 200-800tys.zł,
• przechowują dane dostępowe w środowiskach przeglądarkowych, co ułatwia atakującym zadanie,
• jedno udane przejęcie = dostęp do wielu klientów.

Mówiąc krótko – agencje i większe e-commerce’y to łakome kąski dla hakerów i na podstawie doświadczeń osób, które dzielą się swoimi historiami odnośnie włamań, to właśnie takie podmioty najczęściej stają się ofiarami. Wystarczy wykraść jeden dostęp, aby zyskać dostęp do czasami kilkudziesięciu kont z budżetami rzędu kilkuset tysięcy, więc hakerzy wykorzystują luki w zabezpieczeniach i z tego korzystają.

Na LinkedInie można znaleźć wiele historii o przejęciu agencyjnych kont MCC i wszystkie przedstawiają bardzo zbliżony schemat działania, jak w poście poniżej:

Źródło: LinkedIn

Typowe sygnały alarmujące, które powinny zapalić czerwoną lampkę:

• Dodanie do konta nieznanego administratora,
• W konsoli administracyjnej konta pojawia się Periodic Check,
• Nagła zmiana danych rozliczeniowych i dziennych limitów wydatków,
• Pojawienie się nowych kampanii w obcym języku,
• Logowania z nietypowych lokalizacji (chociaż hakerzy potrafią się przed tym zabezpieczyć, tunelując działania poprzez IP państwa, które jest siedzibą atakowanej firmy, przez co Google nie zauważa nieprawidłowości),
• Komunikaty o wygaśnięciu sesji bez powodu,
• Alerty bezpieczeństwa z Google – w konsoli administracyjnej i na mailu.

Należy zachować szczególną ostrożność przy otrzymywaniu jakichkolwiek maili, które mogą podawać się za Google Ads. Częstą metodą oszustów jest wysyłka zaproszenia do uzyskania dostępu do konta klienta – specjalista z automatu klika w łudząco podobną do oryginału wiadomość i tym jednym kliknięciem może doprowadzić do utraty konta. Poniżej przykład fałszywego zaproszenia:

Źródło: Search Engine Land

Gdy tylko zauważysz coś podejrzanego – reaguj. Zanim podejmiesz procedurę odzyskiwania konta, zacznij od powstrzymania dalszego wycieku pieniędzy. Od razu po zauważeniu nieprawidłowości na koncie:

1. Zablokuj karty płatnicze podpięte do kont. Jeśli dotyczy to klientów Twojej agencji, od razu dzwoń, zamiast pisać maile, bo każda minuta to uciekające pieniądze.
2. Jeśli konto jest rozliczane przez fakturowanie miesięczne – zablokuj automatyczne pobieranie środków z konta bankowego.
3. Odepnij konta klientów od konta MCC, aby uniemożliwić hakerom wprowadzanie zmian na kontach pozostałych klientów.
4. Jeżeli nadal dysponujesz dostępem do panelu lub powiązanego adresu e-mail:
   1. Zmień hasła
   2. Wyloguj wszystkie aktywne sesje
   3. Usuń nieznanych użytkowników i aplikacje
5. Twórz dokumentacje – rób zrzuty ekranu fałszywych kont dodawanych jako administratorzy, kampanii tworzonych przez hakerów czy wszelkich innych zmian na koncie. To posłuży jako dowody przy zgłaszaniu sprawy do Google.
6. Skontaktuj się z Google w celu uzyskania wsparcia, za pomocą dedykowanego formularza. W tym celu przygotuj:
   1. Numery identyfikacyjne (CID) zainfekowanych kont
   2. Dokładną datę i godzinę wykrycia ataku
   3. Zrzuty ekranu potwierdzające włamanie

Jasno zaznacz w zgłoszeniu do Google, że środki zostały wydane w wyniku przejęcia konta i domagasz się pełnego zwrotu (chargeback) za nieautoryzowane kliknięcia.

Więcej na temat postępowania w takim przypadku przeczytasz na stronie Google: https://support.google.com/google-ads/answer/9355975?hl=pl

Jeśli padłeś ofiarą takiego ataku – spokojnie, tak jak wspomnieliśmy, Google posiada opracowany proces na zwrot środków wykorzystanych w wyniku nieautoryzowanych kampanii. Google zdaje sobie sprawę z globalnej skali tego problemu i starają się rozpatrywać wszystkie zgłoszenia – chociaż na podstawie historii innych osób dotkniętych atakami, czasami trzeba uzbroić się w cierpliwość.

Po przesłaniu zgłoszenia przez wcześniej wspomniany formularz, Google analizuje logi i załączoną dokumentację, a następnie rozpatruje zgłoszenie. Dlatego tak ważne jest jak najszybsze zgłoszenie problemu i robienie screenów każdej podejrzanej aktywności – im więcej dowodów, tym większa szansa na pozytywne rozpatrzenie sprawy.

• Pierwsze i bardzo istotne – strata dostępu do konta,
• W nawiązaniu do punktu pierwszego – strata czasu, potrzebnego na odzyskanie konta lub jego odbudowę na nowo i ponowną naukę kampanii,
• Strata pieniędzy, czasami bardzo dużych, które hakerzy wydają na ustawione przez siebie kampanie, zwłaszcza, że reakcja Google na zgłoszenie może trwać nawet tygodnie.

Po pierwsze, stosuj zasadę najmniejszych uprawnień. Ograniczaj liczbę użytkowników z uprawnieniami administratora na głównym koncie MCC. Im mniej użytkowników, tym mniejsze ryzyko włamania. Zamiast tego, możesz stworzyć konta typu “Sub-MCC” dla poszczególnych specjalistów, aby w razie przejęcia konta zminimalizować skalę ataku.

Po drugie, edukuj swój zespół. Przeprowadzaj regularne szkolenia z zakresu cyberbezpieczeństwa, przekaż swojemu teamowi, aby ignorowali wszelkie linki w mailach od “Google”. Każda prośba o dostęp, powiadomienie o blokadzie czy problemach z płatnościami należy weryfikować po samodzielnym zalogowaniu się bezpośrednio do panelu Google Ads, a nie z poziomu maila. Właśnie w ten sposób hakerzy mogą podsunąć nam fałszywą stronę do logowania do konta Google, gdzie łatwo przechwycą dane do logowania.

Po trzecie, cyklicznie usuwaj nieaktywnych użytkowników z firmowych kont Google Ads i weryfikuj zewnętrzne aplikacje połączone z kontem Google, które mają uprawnienia do zarządzania reklamami.

Inne dobre praktyki:

• Brak zapisywania haseł w przeglądarce.
• Wprowadzenie uwierzytelniania dwuskładnikowego (2FA) lub wieloskładnikowego (MFA) i założenie kluczy sprzętowych dla adminów MCC.
• Regularna rotacja haseł, np. wymuszona raz w miesiącu.
• Przeprowadzanie audytów dostępów do konta MCC co 30-60 dni, w tym analiza nietypowych zachowań.

• Znaczenie dobrych praktyk w zakresie cyberbezpieczeństwa rośnie jeszcze bardziej w dobie AI i przy rosnącej skali ataków.
• Ataki typu hijacks na konta Google Ads to powszechne zjawisko, dziejące się na różnych rynkach.
• Celem ataków będą najczęściej agencje marketingowe i duże firmy typu e-commerce, które zarządzają wysokimi budżetami.
• Szybka reakcja w przypadku włamania może znacząco zminimalizować straty – zapisz sobie naszą checklistę działań na wszelki wypadek.
• Pamiętaj o dokumentowaniu podejrzanej aktywności w związku z przejęciem konta.
• Zgłoś prośbę o pomoc i zwrot utraconych środków do Google.
• W myśl zasady lepiej zapobiegać, niż leczyć – stosuj dobre praktyki z zakresu bezpieczeństwa i przeprowadzaj w firmie szkolenia z cybersecurity.

Źródła:

• https://searchengineland.com/google-ads-mcc-hijacks-are-surging-465186
• https://www.seroundtable.com/google-ads-account-hijacks-40491.html
• https://pushsecurity.com/blog/google-search-malvertising-campaign-continues-now-impersonating-ahrefs
• https://www.linkedin.com/posts/vivien-bresson-34641a32_our-google-ads-mcc-was-taken-over-5-days-activity-7410161858013364224-U24q/