חשבון מודעות פרוץ בפייסבוק - מקרה בוחן אמיתי

לפני מספר שבועות קיבלנו פנייה מלקוח, בעל חנות נעליים אינטרנטית, שמנהל בעצמו את הפרסום בפייסבוק כבר כמה שנים. העסק עבד בצורה מסודרת, תקציבי הפרסום היו ידועים, וללקוח היו שותפים בודדים בניהול החשבון. יום אחד, תוך כדי בדיקת דוחות, שם לב הלקוח לפרט תמוה: למרות שהקמפיינים נראו תקינים, כמות המכירות לא השתנתה, ולמעשה ירדה. לא היה שינוי בנראות המודעות או בטקסטים שלהן – אבל ההכנסות מהקמפיינים ירדו בצורה משמעותית.

לאחר בדיקה מהירה התגלה שהקישור שמופיע במודעות הממומנות השתנה – במקום להפנות לאתר של החנות, הוא הפנה לאתר חיצוני לא מוכר. באופן טבעי, בעל העסק היה בטוח שמדובר בתקלה טכנית – אולי טעות בהגדרות. אבל כאשר נכנס לבדוק את היסטוריית השינויים בחשבון הפרסום, הבין שמישהו ביצע את השינוי הזה במודע.

איך זה קרה?

בשלב זה פנינו לחקירה מעמיקה. עברנו על הגדרות הניהול של החשבון וגילינו תופעה מוכרת: אחד מהמשתמשים שאושרו בעבר כבעלי גישה לחשבון העסקי נפרץ על ידי האקר. אותו האקר, באמצעות הגישה של המשתמש החוקי, הצליח להיכנס לחשבון העסקי בפייסבוק – מבלי לעורר התראה או חשד מצד פייסבוק או בעלי החשבון.

ההאקר לא יצר קמפיינים חדשים, לא שינה קריאייטיבים, לא העלה תמונות או טקסטים חדשים – אלא פשוט שינה את הקישור המוביל מתוך המודעות לאתר חיצוני שבשליטתו. באופן זה, כל הכסף שהושקע בפרסום הופנה לקידום אתר זדוני – לעיתים אתר פישינג, לעיתים חנות מתחזה – מבלי שבעל העסק שם לב לכך בזמן אמת.

למה זה כל כך מתוחכם?

ההתקפה הזו חכמה במיוחד מכמה סיבות:

• ההאקר משתמש בגישה קיימת: אין צורך "לפרוץ" ישירות לחשבון העסקי או להפעיל כלי תקיפה מורכבים. מספיק לחדור לחשבון של אחד המנהלים.
• לא נגרמת פגיעה ישירה במערכות: לא נמחקים קמפיינים, אין שינוי בטקסטים, התמונות נשארות זהות – כלפי חוץ הכל נראה תקין.
• קשה לשים לב: רוב בעלי העסקים לא בודקים כל יום לאן המודעות שלהם מפנות – במיוחד אם אין שינוי בהמרות או בפניות.
• הכסף ממשיך לזרום: התקציב של העסק מופנה לטובת האקר – ומי שמשלם על הכל הוא בעל העסק.

הנזק הכלכלי – ופייסבוק מתנערים מאחריות

הפגיעה הכלכלית במקרה הזה לא הסתכמה רק באובדן לידים או ירידה בהכנסות – החשבון של הלקוח חויב בכ-60,000 ש"ח בתקופה שבה המודעות הפנו לאתר של ההאקר. למעשה, כל תקציב הפרסום החודשי של העסק נשרף לטובת אתר מתחזה, בלי תועלת ממשית עבור העסק.

כשהלקוח הבין מה קרה, הוא פנה לפייסבוק בדרישה להחזיר את הכספים. להפתעתו (ולצערו), פייסבוק סירבו. לטענת נציגי החברה, "לא נמצאו סימנים לפריצה" – כיוון שהשינוי נעשה מתוך משתמש מורשה בחשבון העסקי, ולכן מבחינת פייסבוק לא מדובר בפריצה או שימוש לא חוקי.

כאן מתחילה הבעיה השנייה: ללקוח לא נותרה ברירה, והוא פנה לחברת האשראי במטרה להכחיש את העסקה ("צ'רג'בק"), כדי לנסות ולהציל את כספו. זהו צעד שנראה מתבקש – אבל הוא יוצר השלכות נוספות.

הסיכון שבהכחשת עסקה מול פייסבוק

כשהבנק מקבל בקשת הכחשת עסקה בסכומים גדולים כמו 60,000 ש"ח, הוא פונה לחברת פייסבוק לקבל את עמדתה. פייסבוק כמעט תמיד מתעקשת שזו עסקה חוקית – וכשהם מגלים שמדובר בבקשת הכחשה של תשלום, הם נוקטים בצעד חד־צדדי: סוגרים לצמיתות את חשבון הפרסום של הלקוח.

כעת בעל העסק מוצא את עצמו במצב בעייתי במיוחד:

• מצד אחד, הוא מנסה להחזיר את הכסף האבוד –
• מצד שני, פייסבוק סוגרת לו את הדלת ומונעת ממנו להמשיך לפרסם – לפעמים לתמיד.

בעולם שבו פרסום דיגיטלי הוא צינור החמצן של עסקים קטנים, המשמעות היא אובדן מקור ההכנסה העיקרי. מעבר להפסד הכספי הישיר, מדובר בפגיעה אנושה ביכולת העסק להתקיים ולהתחרות בשוק.

מסר לבעלי עסקים

המקרה הזה ממחיש כמה חשוב להקפיד על אבטחת חשבונות, להפעיל בקרה שבועית על מודעות והגדרות חשבון, ולבחון באופן שגרתי את כל המשתמשים ובעלי הגישה. זכרו: לפייסבוק אין תמריץ להחזיר לכם כסף על טעות כזו, ואם תפעלו מול חברת האשראי תיתכן פגיעה בלתי הפיכה בחשבון העסקי.

הדרך הנכונה להתמודד עם מצבים כאלה היא מניעה, בקרה, ושקיפות פנימית.

היעזרו באנשי מקצוע בתחום, הפעילו התראות על כל שינוי, אל תשאירו גישות לאנשי צוות שלא צריכים, והדריכו את כל העובדים על הסכנות שבפישינג וסייבר.

אז מה עושים? כללים מעשיים להגנה על חשבון הפרסום

בדקו בקביעות את כתובת היעד במודעות

אחת לשבוע בצעו בדיקה יזומה לכל המודעות הפעילות – עברו על כל קמפיין וודאו שכל מודעה מפנה לאתר או לדף הנכון. ניתן גם להשתמש בכלים אוטומטיים שמנטרים שינויים בקישורים.

בחנו את רשימת המשתמשים ובעלי התפקידים בחשבון העסקי

עברו על כל בעלי ההרשאות – כולל שותפים, עובדים, ספקים, ואפילו אפליקציות חיצוניות. הסירו כל משתמש לא מוכר או כזה שאינו נחוץ עוד. שימו לב במיוחד ל"משתמשי מערכת" או "שותפים" שנוספו לחשבון.

הפעילו חובה לאימות דו-שלבי (2FA) לכל המשתמשים

ודאו שכל מי שיש לו גישה לחשבון מחויב להפעיל אימות דו-שלבי, הן בפייסבוק והן באימייל.

הדריכו את העובדים והשותפים על זיהוי פישינג והונאות סייבר

רוב הפריצות מתבצעות דרך מיילים שנראים אמיתיים, שמפתים את המשתמש להקליד סיסמה או ללחוץ על קישור זדוני. הדרכה בסיסית יכולה למנוע נזקים עצומים.

בדקו חיבורים ואינטגרציות של אפליקציות צד שלישי

לעיתים יש אפליקציות ישנות או לא רלוונטיות שעדיין מחוברות לחשבון העסקי – הסירו את כל מה שלא נחוץ.

הפעילו התראות לשינויים בקמפיינים

בפייסבוק ניתן להגדיר התראות לכל שינוי בקמפיין, במודעה או בתקציב. כך תגלו מהר אם בוצע שינוי לא מורשה.

עברו על יומן הפעילות (Activity Log) באופן סדיר

זהו הכלי המרכזי שמאפשר לכם לבדוק בדיוק מי שינה מה, מתי ואיך. חפשו במיוחד שינויים בכתובות היעד, הוספת משתמשים והרשאות, והוספת אמצעי תשלום.

השתמשו באפשרות "רק בעלי גישה" בפיקסל ובנכסים רגישים

בפייסבוק קיימת אפשרות להגביל שליחה של אירועים מהפיקסל רק לאתרים ספציפיים – הגדירו allow-list של כתובות ה-URL שלכם בלבד.

המלצה חשובה – איך למזער את הסיכון הכלכלי

מעבר לכללי האבטחה והבקרה, יש עוד שני צעדים פשוטים שיכולים להציל אתכם מנזק כלכלי כבד במקרה של פריצה לחשבון הפרסום:

1. השתמשו בחשבון פייפאל לתשלומים לפייסבוק
   אחת הדרכים היעילות להגן על עצמכם היא לשלם על פרסום בפייסבוק באמצעות חשבון PayPal. לפייפאל יש שירות לקוחות מעולה, והם נלחמים על הזכויות של הלקוחות שלהם – הרבה יותר מפייסבוק. אם תיתקלו בפריצה או בחיוב לא תקין, פייפאל מאפשרים לפתוח מחלוקת ולקבל את כספכם בחזרה בקלות יחסית. בניגוד לכך, פייסבוק כמעט תמיד מסרבים להחזיר כסף, גם אם תציגו להם הוכחות מובהקות לפריצה.
2. שלמו עם כרטיס אשראי נטען בלבד
   אפשרות נוספת – להשתמש בכרטיס אשראי נטען (Prepaid), עם מסגרת נמוכה מראש. כך, גם אם האקר ישתלט על החשבון, הוא לא יוכל למשוך יותר כסף מהסכום שהטענתם מראש. כרטיס כזה מאפשר שליטה מלאה על תקציב הפרסום, ומפחית את הסיכון לנזק כספי משמעותי.