Что делать если взломали рекламный кабинет Яндекс.Директ

Основано на реальных событиях, содержит очевидные рекомендации, поможет не растеряться в неожиданной ситуации.

10 апреля около 18 вечера обнаружил, что не могу войти в свой рекламный кабинет Яндекс.Директ. Выяснилось, что моя почта была взломана, а главный представитель изменен на аккаунт взломщика. Сразу же составил обращение в клиентский сервис Яндекса, решение вопроса заняло трое суток.

Теперь подробнее, оказывается лишиться своего рекламного кабинета очень просто. Конечно в этом есть и моя вина, Яндекс требует для каждого кабинета создать отдельный почтовый адрес и создавая его более двух лет назад я не уделил внимания двухфакторной авторизации, но пароль был надежный и я нигде его не светил. Саму же почту рекламного аккаунта проверял раз в неделю-две, на нее кроме Директа никто не пишет. Все это и привело к проблеме.

Оказывается еще 5 апреля на адрес аккаунта пришло письмо от Яндекс, что был произведен вход с другого устройства, но я на него не отреагировал. С другой стороны если злоумышленник уже вошел, то сменить пароль он сможет за пару минут и слать уведомление о взломе на тот же ящик особого смысла нет, а вот почему бы Яндексу не послать смс на привязанный номер телефона, мне не ясно. Кроме того, если реакция владельца на сообщения не последовала, было бы логично сразу блокировать аккаунт до момента объявления владельца.

События развивались следующим образом (восстанавливаю по истории действий и почтовому журналу событий Яндекса):

С 5 апреля взломщик заходил в аккаунт каждый день по несколько десятков раз с разных устройств, как мобильных так и почтовых приложений и браузера ПК, судя по десяткам разных IP он активно пользовался VPN, но периодически выходил и из Саратова - это важно.

Наконец 9 апреля он в 17 и 19 часов добавил два дополнительных телефонных номера к моему аккаунту, Яндекс их показывает мне в таком виде: +7 987 ***-**-17 и +7 987 ***-**-13, делал он это из Саратова с ip 188.232.28.224. Опять же уведомлений об этом я не получал, их нет и в почтовом ящике.

9 апреля в это же время взломщик произвел замену главного представителя и удаление всех обычных представителей. Примечательно, что несмотря на то, что рекламный кабинет это деньги и важный инструмент привлечения клиентов, Яндекс позволяет легко и просто сменить его владельца в пару кликов в интерфейсе Директа, без каких-либо подтверждений, просто присылая уведомление на почту бывшего главного представителя. Кстати это письмо взломщик удалил из ящика, о нем осталась только запись в журнале событий.

В тоже время 9 апреля и на следующий день 10 апреля мне на личную почту на gmail, которая никак не связана с данным аккаунтом Яндекс, приходит несколько сообщений от Яндекс.Еда с заказами, отменой заказов, а затем и чеками от Яндекс.ОФД, где в качестве получателя является некий Дима, с номером телефона +7 (987) ***-**-13 и адресом доставки в г. Энгельс... т.е. Саратовская область. Здесь цифры телефона и адрес скрываю специально. На тот момент я не придал значения этим сообщениям, думая, что произошел какой-то сбой при отправке. Теперь прослеживается странная связь, но не понятно зачем это было сделано.

10 апреля около 18 вечера я решил проверить в Директ статистику за неделю и столкнулся с тем, что мой аккаунт почты заблокирован, а восстановив пароль с помощью своего номера телефона увидел, что моего рекламного кабинета в Директ у как не бывало.

Первым делом сразу позвонил в контактный центр Яндекс Директ. По телефону смогли только подтвердить, что я больше не являюсь главным представителем и направить на форму обращения, которая запрятана глубоко в недрах Яндекс Справки.

В ответ на обращение пришло письмо:

"Никита, добрый день! Благодарим за обращение.

Верно мы понимаем, что у Вас есть подозрения о взломе Вашего логина в Директе?

На основании оригиналов заявлений от всех плательщиков мы можем перенести рекламные кампании Директа с одного логина на другой новый логин (назначить нового главного представителя). В качестве нового главного представителя может быть назначен только тот логин, который никогда не использовался в коммерческих сервисах Яндекса..."

и далее описание того как должно выглядеть заявление, а отправить его нужно на бумаге в адрес офиса Яндекса, и это в век ЭДО и цифровых подписей.

Получается, что для решения срочной проблемы, связанной с приличной суммой денег и недополученной прибылью из-за остановки рекламных кампаний, нужно воспользоваться почтовым отправлением.

Затем мною было написано еще несколько писем с просьбой временно заблокировать аккаунт и быстрее решить проблему, сделано еще пару звонков, но все безуспешно. Спустя почти сутки никаких действий со стороны Яндекс предпринято не было.

На следующий день 11 апреля написал сообщения на аккаунты Яндекса в facebook и vk, и только в fb, спустя 30 минут мне дали ответ, а еще через час пришло письмо, что аккаунт временно заблокировали и со мной обязательно свяжутся в ближайшее время.

Спустя еще три часа пришел ответ, что Яндекс провел расследование и установил, что все кампании были остановлены, а новых не было запущено, однако к восстановлению доступа к аккаунту приступить смогут не ранее понедельника.

В понедельник 13 апреля к обеду Яндекс прислал подтверждение, что можно отправить письмо не на бумаге, а через ЭДО. И наконец спустя 5 часов после отправки и еще одного письма мне вернули доступ к рекламному кабинету.

Что странно, взломщик часть кампаний перенес в архив, а часть просто остановил. Какая была реальная цель взломщика мне не ясно, то ли происки конкурентов, то ли планировал позже докрутить наш бюджет на свои нужды.

В результате действий взломщика, моей не внимательности к безопасности и неспешных действий клиентского сервиса Яндекс, мы упустили около 20 потенциальных клиентов, а Яндекс не открутил объявлений на 20 тысяч рублей.

Не допускайте моих ошибок, подключайте сразу двухфакторную авторизацию, почаще проверяйте ящик на предмет важных сообщений, настройте вторую почту для восстановления, как оказалось на нее тоже приходят важные уведомления.

А если все-таки такое произошло, сразу трубите во все трубы, звоните в клиентский сервис 8 800 234-24-80, оставляйте заявку через форму по ссылке, пишите Яндексу по всем возможным каналам и договаривайтесь об отправке заявления на восстановление через ЭДО, это все значительно ускорит решение вопроса.

Сотрудникам Яндекс хочу сказать спасибо, что все-таки решили вопрос в разумные сроки, хотя и считаю, что блокировка взломанного аккаунта должна происходить быстрее, уведомления о подозрительном входе необходимо дублировать на привязанный мобильный номер, а в случае молчания владельца аккаунта на сообщения о взломе нужно проводить автоматическую блокировку. И конечно нужно быстрее реагировать на все вопросы касающихся денег клиентов и заработка самого Яндекса.