Google Ads fiókok feltörése: módszerek és védekezés

A vállalkozások és marketingügynökségek Google Ads fiókjaiban gyakran jelentős hirdetési költségkeretek, fizetési adatok és üzleti információk találhatók. Nem csoda, hogy a kiberbűnözők értékes célpontnak tekintik ezeket a fiókokat. Az elmúlt években (2024–2025) számos eset rávilágított arra, hogyan próbálnak illetéktelenek hozzáférni mások Google Ads fiókjaihoz – akár technikai trükkökkel, akár pszichológiai manipulációval. A Google 2024-es biztonsági jelentése szerint drasztikusan nőtt az ilyen visszaélések miatti fiókletszámolás: több mint 39 millió hirdetői fiókot tiltottak le 2024-ben, ami háromszorosa az előző évinek. Ez is jelzi, hogy a támadók egyre gyakrabban próbálkoznak fiókok eltérítésével, csalárd hirdetések futtatásával és más visszaélésekkel. Emellett nyomozások feltárták, hogy létezik illegális feketepiaca a kompromittált hirdetési fiókoknak: 2024 végén több mint 100 újonnan regisztrált weboldal árusított előre hitelesített, „bejáratott” Google Ads fiókokat. Az ilyen idős fiókok különösen kapósak, mivel a csalók így könnyebben kerülik ki a Google új fiókokra vonatkozó szigorú ellenőrzéseit.

A következőkben áttekintjük, hogyan történnek a Google Ads fiókok feltörései, milyen módszerekkel élnek a támadók, hogyan védekezhetünk ellenük, és mit kell tenni, ha bekövetkezik a baj. Foglalkozunk továbbá a releváns jogi és adatvédelmi szempontokkal is. A cikkben valós 2024–2025-ös példákra és adatokra támaszkodunk, hogy a bemutatott tanácsok naprakészek és hitelesek legyenek.

A Google Ads fiókok feltörésének módszerei (technikai és pszichológiai trükkök)

A támadók változatos módszereket alkalmaznak a Google Ads fiókok kompromittálására. Általánosságban két fő kategóriát különböztethetünk meg:

• Technikai támadások: Ide tartoznak az olyan módszerek, amelyek szoftveres sebezhetőségeket vagy a felhasználó eszközét veszik célba (pl. malware telepítése, munkamenet-eltérítés).

• Pszichológiai támadások (social engineering): Az emberi figyelmetlenséget vagy bizalmat használják ki – például adathalász (phishing) e-mailek, hamis bejelentkezési oldalak, vagy telefonos trükkök formájában.

Alább bemutatjuk a leggyakoribb módszereket, és hogy miként működnek:

1. Adathalászat (phishing) és social engineering: Az egyik legelterjedtebb módszer az adathalász támadás, amelynek célja, hogy a felhasználót megtévesztve kicsalja a bejelentkezési adatait. A támadók gyakran hitelesnek tűnő e-maileket küldenek, melyekben a Google nevében lépnek fel – például arra figyelmeztetnek, hogy “ellenőriznünk kell a fiókját, különben felfüggesztjük”, és egy hamis linkre kattintva kérik a bejelentkezést. Valójában a Google soha nem kér jelszót vagy 2FA kódot e-mailben vagy telefonon, és mindig @google.com végű e-mailcímről kommunikál. A social engineering más formái is megjelenhetnek: előfordul, hogy csalók Google munkatársnak vagy üzleti partnernek adják ki magukat telefonon, és bizalmas adatokat próbálnak kicsikarni. Ilyenkor gyanakodni kell, ha jelszót, 2FA kódot vagy távoli hozzáférést kérnek – az ilyen hívásokat jelentsük és soha ne adjunk meg érzékeny információt.

2. Hamis bejelentkezési oldalak és hirdetések: Az adathalászat rafinált változata, amikor a támadók megtévesztő weboldalakat hoznak létre, melyek megszólalásig hasonlítanak a Google Ads bejelentkezési felületére. Friss példák mutatják, hogy 2024 végén a csalók még a Google saját hirdetési rendszerét is kihasználták ehhez: a Google kereső találatai között szponzorált hirdetésként jelenítették meg a hamis Google Ads bejelentkezési linket. Ha a gyanútlan felhasználó a Google-ben rákeres a “Google Ads” kifejezésre, könnyen belefuthatott egy megtévesztő hirdetésbe, amely látszólag a Google Ads hivatalos bejelentkezési oldala (ads.google.com) – valójában azonban egy átirányítással egy támadók által készített Google Sites oldalra visz. Ez az oldal a Google Ads honlapját utánozza, és onnan továbbküldi a felhasználót egy külső adathalász webhelyre, ahol a belépési email-címét, jelszavát és a kétlépcsős azonosításhoz tartozó kódját is megadhatja anélkül, hogy észrevenné a csalást. A támadók ezzel minden belépési adatot megszereznek, sőt egyes adathalász oldalak WebSocket kapcsolatot használva valós időben továbbítják az adatokat a támadók szerverére. Ez lehetővé teszi, hogy a tolvajok azonnal belépjenek a valódi Google fiókba a megszerzett jelszóval még a 2FA ellenére is, hiszen a felhasználó által beírt egyszeri kódot is látják. Fontos kiemelni, hogy 2024 végén kibontakozott kampányban a támadók legalább 2024. november közepe óta ilyen hamis Google Ads bejelentkezési hirdetésekkel vadásztak áldozatokra, és világszerte több bejelentés is érkezett fórumokon a jelenségről.

Egy tipikus Google Ads adathalász támadás folyamatábrája. A támadók Google keresőhirdetésként jelenítenek meg egy hamis bejelentkezési linket (fent balra), amely valójában egy Google Sites oldalon hosztolt ál-Google Ads kezdőlapra visz . Innen a felhasználót egy külső adathalász oldalra irányítják (jobb felső ábra), ahol a gyanútlan áldozat megadja Google-fiókos e-mailjét, jelszavát és akár a kétlépcsős kódot is. Ezek birtokában a támadó belép a valódi fiókba, majd az Account settings menüben új rendszergazda felhasználót ad hozzá saját magának (bal alsó ábra), hogy tartós hozzáférést szerezzen. Ezt követően az áldozat hirdetési keretét felhasználva rosszindulatú kampányokat futtatnak, amelyek további adathalász oldalakra terelik a felhasználókat – így egy ördögi körben a feltört fiókokkal még több áldozatot tudnak megszerezni .

3. Munkamenet-eltérítés (session hijacking): Még ha erős jelszót és kétlépcsős azonosítást használnánk is, a támadók technikai úton megkerülhetik a védelmet a session hijacking nevű módszerrel. Ennek lényege, hogy megszerzik a már bejelentkezett munkamenetünkhöz tartozó azonosítót (sütit), és ezzel úgy tudják kiadni magukat, mintha mi lennénk bejelentkezve. Ilyen session cookie lopást elérhetnek például rosszindulatú programok segítségével, melyek a böngészőben eltárolt adatokat kiolvassák, vagy akár egy jól kivitelezett adathalász támadással is (ún. adversary-in-the-middle technika, ahol a támadó a háttérben a valós Google szolgáltatáshoz is bejelentkezik, miközben a felhasználó a hamis oldalon keresztül adja meg a kódját). Egy sikeres session eltérítésnél a támadó anélkül fér hozzá a fiókhoz, hogy jelszót vagy 2FA kódot kellene megadnia – hiszen a rendszer úgy érzékeli, hogy már egy hitelesített munkamenet fut. A Google is felismerte ezt a veszélyt, ezért vezette be a “Confirm it’s you” (magyarul „Erősítse meg, hogy Ön az”) kihívásokat bizonyos érzékeny műveleteknél. Ezek a plusz megerősítő kérdések kifejezetten a cookie-lopás elleni védelmet szolgálják: hiába szerezné meg valaki a munkamenet azonosítónkat, a rendszer extra megerősítést kér például egy telefonra küldött kóddal egyes kritikus változtatások előtt.

4. Rosszindulatú programok (malware) és csatolmányok: Gyakran a technikai és a pszichológiai támadás együtt jelenik meg. A csalók sokszor megtévesztő csatolmányokkal vagy programokkal próbálnak kártevőt telepíteni a felhasználó gépére. Például előfordult, hogy online freelance platformokon vagy e-mailben ügyfélnek adták ki magukat, és egy ZIP fájlba csomagolt “briefet” vagy ajánlatot küldtek a gyanútlan PPC menedzsernek. A fájl valójában vírust tartalmazott, amely átvette a gép felett az irányítást, és így a támadó közvetlenül az áldozat saját számítógépéről tudott bejelentkezni a Google Ads fiókba. Mivel ebben az esetben a bejelentkezés egy regisztrált, megbízható eszközről történt, a kétlépcsős azonosítás sem nyújt védelmet – a Google joggal “hiszi el”, hogy a valódi felhasználó hajt végre műveleteket. A kártevők további kockázata, hogy billentyűleütés-naplózó (keylogger) funkcióval elláthatják őket, így a támadó ellophatja a jelszavakat, vagy telepíthet a böngészőbe egy olyan rejtett komponenst, ami a beírt adatokat továbbítja. Korábbi hasonló esetek történtek Facebook Business fiókokkal is, ahol lopakodó malware segítségével szereztek adminisztrátori hozzáférést, majd a feltört fiókokkal hamis hirdetéseket futtattak (pl. kártevőt terjesztő reklámokat). Ugyanez a módszer a Google Ads-nál is felbukkan: a támadók kártevővel megszerzett hozzáféréssel új adminisztrátort adnak a fiókhoz, és az áldozat pénzét költve futtatnak csaló kampányokat (pl. kriptovaluta átveréseket, adathalász oldalakra mutató hirdetéseket stb.).

5. Gyenge jelszavak és jelszó-újrafelhasználás: A legegyszerűbb módszer néha a leghatékonyabb a támadók számára: megpróbálják kitalálni vagy megszerezni a fiók jelszavát. Sok felhasználó használ még mindig könnyen kitalálható jelszót, vagy ugyanazt a jelszót több szolgáltatásban is. Az interneten rendszeresen szivárognak ki jelszó-adatbázisok; a támadók ezeket felhasználva megpróbálhatják automatikusan bejelentkeztetni magukat a Google rendszerébe. Ha valaki ugyanazt a jelszót használta máshol és az kiszivárgott, a Google Ads fiókja is veszélybe kerülhet. A Google szerencsére figyel az ilyen credential stuffing jellegű kísérletekre, és gyanús bejelentkezés esetén extra ellenőrzést kér vagy blokkolja a próbálkozást. Ugyanakkor kétlépcsős azonosítás nélkül egy kiszivárgott jelszó valóban azonnali teljes hozzáférést engedhet egy támadónak. Ide sorolható az is, amikor valaki lemond a biztonságról a kényelemért, és megosztja a jelszavát másokkal (pl. elküldi e-mailben egy kollégának), vagy nyilvános gépen lép be és nem jelentkezik ki – ezek mind kockázatos gyakorlatok, amiket a támadók kihasználhatnak.

Az alábbi táblázat összefoglalja a leggyakoribb támadási módszereket és azt, hogyan ismerhetjük fel vagy védhetjük ki őket:

A fiókbiztonság megerősítése – hogyan védekezzünk a támadások ellen?

Szerencsére számos konkrét lépést tehetünk annak érdekében, hogy a fent részletezett támadásokat megelőzzük vagy minimalizáljuk a kockázatukat. Az alábbiakban kitérünk a legfontosabb biztonsági intézkedésekre, amelyeket minden marketingesnek, cégvezetőnek vagy ügynökségnek ajánlott alkalmaznia a Google Ads fiókok védelme érdekében.

Kétlépcsős azonosítás (2FA) és bejelentkezési védelem

A kétlépcsős azonosítás (2-Step Verification, 2SV) az egyik leghatásosabb védelmi vonal a fiók megóvására. Engedélyezése esetén nem elég a jelszót ismerni a belépéshez, hanem szükség van egy második faktor megadására is – például egy telefonra küldött kódra, értesítésre vagy hardveres biztonsági kulcsra. Minden Google-fiókhoz kapcsolt szolgáltatásban, így a Google Ads-ben is alapvető bekapcsolni ezt a védelmet. A Google 2FA beállítása egyszerű, és drasztikusan csökkenti az esélyét, hogy egy adathalász által megszerzett jelszóval bárki hozzáférjen a fiókhoz. 2024 óta a Google egyre több felhasználót terel a 2FA használatára, bizonyos fióktípusoknál kötelezővé is tették (például nagy költésű hirdetési fiókok esetén vagy ügynökségi “Manager Account” szinten előírt lehet). Ügynökségek és nagyobb hirdetők számára fontos lehet megfontolni a Google Advanced Protection programját is, amely hardverkulcsos hitelesítést és további védelmet nyújt a kritikus fiókoknak.

A bejelentkezési folyamatnál alkalmazzunk erős jelszavakat is: legalább 12 karakteres, kis- és nagybetűket, számot és szimbólumot tartalmazó egyedi jelszót, amit sehol máshol nem használunk. Javasolt valamilyen jelszókezelő programot használni a komplex jelszavak tárolására és generálására, így nem kell megjegyeznünk, mégsem a böngészőben tároljuk titkosítatlanul. Rendszeresen ellenőrizzük a Google Fiokom biztonsági beállításai között, hogy történt-e adatvédelmi incidens (pl. a Jelszóellenőrzés funkció jelzi, ha a jelszavunk egy kiszivárgott listán szerepel). Ha igen, azonnal változtassuk meg.

A Google újabb biztonsági funkciói, mint a “Confirm it’s you” kihívás, automatikusan működnek a háttérben bizonyos érzékeny műveleteknél. Ennek ellenére mi magunk is tehetünk azért, hogy a támadóknak nehezebb dolguk legyen: például állíthatunk be a fiókunkhoz bejelentkezési riasztásokat (e-mail vagy telefon értesítést kapunk, ha új eszközről lépnek be), és ellenőrizzük a “Megbízható eszközök” listáját, törölve azokat, amiket már nem használunk.

Hozzáférések korlátozása szerepkörök szerint

Egy Google Ads fiókban lehetőség van több felhasználót is külön-külön hozzáféréssel felruházni – így soha ne adjuk ki a fő bejelentkezési adatainkat másnak. Ehelyett használjuk a Google Ads jogosultságkezelését, és minden személynek saját hozzáférést adjunk, megfelelő szintű szerepkörrel. Csak annak adjunk adminisztrátori jogot, akinek feltétlen muszáj! Mindenki másnak elegendő lehet korlátozottabb szerepkör (pl. Standard hozzáférés kampánykezeléshez, vagy csak olvasási jog, ha valaki csak riportokat néz). A legkisebb jogosultság elve (least privilege) szerint így minimalizáljuk, hogy egy esetleges kompromittált felhasználó túl nagy károkat okozhasson.

Ügynökségeknek és nagyobb hirdetői csoportoknak a Google bevezetett speciális biztonsági beállításokat is. Manager (MCC) fiókok szintjén elérhetők a Security Manager Account Mandates, melyekkel kötelezővé tehetjük az alsóbb szintű fiókok felhasználóinak a 2FA használatát, illetve megadhatunk engedélyezett email domain listát. Ez utóbbi azt jelenti, hogy például egy ügynökség beállíthatja: csak az ő vállalati @cegnev.hu domainjéről érkező Google fiókok hívhatók meg a kezelt hirdetési fiókokhoz. Így, ha egy támadó megpróbálna egy külső gmailes címet hozzáadni adminnak, azt a rendszer automatikusan blokkolja. Korlátozzuk a hozzáféréseket IP-cím vagy hely szerint is, ha lehetséges: bár a Google Ads maga nem kínál IP-whitelist funkciót, megoldható, hogy csak a cégünk által használt VPN-en vagy irodai hálózaton keresztül engedélyezzük a belépést (például böngészőbe épített biztonsági bővítményekkel, vállalati proxy beállításokkal). Legalább figyeljünk oda a bejelentkezési helyekre: ha azt látjuk, hogy egy szokatlan országból történt sikeres bejelentkezés, azonnal reagáljunk (jelszócsere, minden aktív munkamenet kiléptetése stb.). A Google rendszerint küld is figyelmeztetést, ha új eszközről vagy földrajzi helyről lépnek be – ezeket ne ignoráljuk.

Fontos a hozzáférések rendszeres auditálása is: időnként tekintsük át, kinek van hozzáférése a fiókhoz, és vonjuk meg azoktól, akiknek már nincs szükségük rá (pl. volt alkalmazottak, inaktív ügynökségi partnerek). Emellett ellenőrizzük a fiókhoz kapcsolódó linkelt fiókokat is: például Google Analytics, Third-party szoftverek API hozzáférései, vagy más Google szolgáltatások (Tag Manager, Optimize, stb.). Ha egy harmadik fél szolgáltatás már nem használatos, vonjuk vissza a hozzáférését a Google Ads fiókból. Minden extra kapcsolat potenciális támadási felület.

Biztonságtudatosság növelése és rendszeres óvintézkedések

A technikai védelem mit sem ér, ha a felhasználók figyelmetlenek vagy nincsenek tisztában az alapvető biztonsági higiénével. Képzések és irányelvek bevezetése ajánlott a marketingcsapat és minden fiókhoz hozzáférő személy számára arról, hogyan ismerjék fel a gyanús e-maileket, hívásokat. Például osszunk meg példákat a tipikus adathalász levelekről: helyesírási hibák, sürgető hangvétel, gyanús linkek (amelyek mögöttes URL-je valójában nem google.com, csak hasonló). Hívjuk fel a figyelmet arra is, hogy a Google sosem kér jelszót emailben vagy nem küld ismeretlen feladójú Drive-linket a fiók helyreállításához – viszont a csalók élhetnek ilyen trükkökkel.

Használjunk jelszómenedzsment eszközöket a szervezeten belül, hogy egyetlen dolgozónak se kelljen papírra írni vagy Word dokumentumban tárolni a belépési jelszavait. Egy jó jelszókezelő erős jelszavakat generál és biztonságosan tárol, ráadásul figyelmeztet, ha valamelyik jelszót érdemes megváltoztatni. Ezzel párhuzamosan legyen céges szabályzat a jelszavak megosztásának tilalmáról – ha valakinek hozzáférés kell, inkább adjuk meg neki rendes jogosultságként, semmiképp se küldjük el a saját belépőnket.

Minden eszközön, ahonnan Google Ads-be lépünk, legyen frissített vírusirtó és rendszerfrissítés. A kártékony programok sokszor kihasználják az elavult szoftverek sérülékenységeit. A dolgozók gépein kapcsoljuk be a tűzfalat, és állítsuk be, hogy csak megbízható forrásból telepíthessenek programokat. Érdemes megfontolni a böngészőbővítmények korlátozását is: csak ellenőrzött, munkához szükséges extensionök legyenek telepítve, mivel egy gyanús bővítmény is képes lehet adatokat kicsatornázni.

Ha gyakran dolgozunk utazás közben vagy nyilvános helyről, figyeljünk a hálózati biztonságra: nyilvános Wi-Fi hálózatokon soha ne jelentkezzünk be VPN védelem nélkül, mert egy közbeékelődéses támadással (MITM) akár a titkosított forgalomból is kinyerhetnek információkat a rosszindulatú hotspot-üzemeltetők. Inkább osszunk mobilnetet, használjunk megbízható VPN-t és ellenőrizzük, hogy a Google Ads-be való belépéskor a böngésző címsorában a 🔒 lakat ikon jelen van, a tanúsítvány a Google-é.

Végül pedig: készüljünk fel előre egy esetleges incidensre. Dolgozzunk ki egy alap incident response tervet a marketing osztályon belül arra az esetre, ha mégis feltörnék a fiókot. Osszuk ki, ki értesíti a Google-t, ki vizsgálja át a kampányokat, ki kommunikál az ügyfelekkel, stb. Legyenek meg a fontos telefonszámok (Google kapcsolattartó, ügynökségi IT biztonsági felelős, stb.), hogy pánik helyett gyorsan tudjunk cselekedni.

Teendők, ha megtörtént a baj (fiók visszaszerzése és kárenyhítés)

Bármennyire is körültekintőek vagyunk, előfordulhat, hogy mégis kompromittálódik a Google Ads fiókunk. Ilyenkor a gyors és szervezett reagálás kulcsfontosságú. Az alábbi lépések követésével minimalizálhatjuk a károkat és növelhetjük az esélyét, hogy hamar visszakapjuk az irányítást:

1. Azonnali hozzáférés megszüntetése a támadó számára: Disconnecteljünk minden gyanús munkamenetet. Lépjünk be a Google-fiókunkba (accounts.google.com) egy biztonságos eszközről, és jelentkeztessünk ki minden eszközön (Account -> Biztonság -> Az Ön eszközei -> Eszközök kezelése, majd “Kiléptetés”). Ezzel a lopott munkamenet sütik nagy részét érvénytelenítjük. Utána változtassuk meg a jelszavunkat a Google-fiókhoz, és ha ezt a jelszót máshol is használtuk, ott is azonnal módosítsuk. Kapcsoljuk be vagy erősítsük meg a kétlépcsős azonosítást, ha eddig nem volt aktív (ez szükséges lesz a további lépésekhez is).

2. Vírusellenőrzés és eszközök tisztítása: Mielőtt bármi mást tennénk, futtassunk egy teljes víruskeresést azon a számítógépen, amelyről a fiókot használtuk. Ha kártékony programot talál, távolítsuk el, vagy szükség esetén végezzünk teljes rendszerhelyreállítást. Ne feledjük: ha a támadó egy trójai programmal van jelen a gépünkön, akkor hiába szerezzük vissza a fiókot, újra ellophatja a belépési adatokat. Ugyanígy ellenőrizzük a böngésző kiegészítőit is és töröljünk minden gyanús plugint. Szükség esetén használjunk egy másik, tiszta számítógépet a következő lépésekhez.

3. A fiókhoz adott illetéktelen felhasználók eltávolítása: A támadók gyakran új felhasználót vagy rendszergazdát adnak a Google Ads fiókhoz miután hozzáfértek. Jelentkezzünk be a Google Ads felületére, menjünk a Hozzáférés és biztonság (Access) beállításokhoz, és nézzük át a felhasználói listát. Azonnal távolítsunk el minden ismeretlen e-mail címmel szereplő fiókot, illetve vegyük el a jogosultságát. Ugyanitt ellenőrizzük a kapcsolt fiókokat (Linked accounts) szekciót is: ha a támadó összekapcsolta a fiókot egy általa kontrollált Manager Accounttal, azt szüntessük meg (válasszuk le az MCC-ről). Ha a támadó módosította a számlázási beállításokat (pl. másik bankkártyát adott meg), jegyezzük fel a részleteket, majd állítsuk vissza a saját fizetési adatainkat.

4. A biztonsági incidens bejelentése a Google felé: Miután a saját eszközeink és hozzáféréseink terén elsősegélyt nyújtottunk, haladéktalanul értesíteni kell a Google-t a történtekről. A Google Ads súgójában található egy Account Security form (fiókbiztonsági űrlap) kifejezetten ilyen esetekre. Töltsük ki ezt a jelentést – adjuk meg, hogy illetéktelen hozzáférés történt, írjuk le a gyanúnkat, és hogy milyen lépéseket tettünk eddig. Emellett a Google javasolja, hogy használjuk a “Jelentse be a feltört Google Ads-fiókot” opciót is (a súgóban is elérhető). Ennek keretében a Google ideiglenesen felfüggesztheti a fiókot a vizsgálat idejére, hogy ne fussanak további hirdetések a támadó által. Ne feledjük el: ha van kijelölt fiókkezelő (ügynökség), őket is azonnal értesítsük a történtekről, hogy ők is tudják támogatni a visszaállítást (és saját rendszerükben is ellenőrizhessenek mindent).

5. Az incidens kivizsgálása és a fiók visszaállítása: Miután a Google felé jeleztük a problémát, jellemzően 2 munkanapon belül reagálnak. A Google szakemberei átvizsgálják a fióktevékenységet, és eltávolítják a jogosulatlanul végrehajtott módosításokat, például törlik a támadó által létrehozott kampányokat vagy felhasználókat. A fiókot ezt követően újra aktiválják, de csak akkor, ha mi is megtettük a szükséges biztonsági óvintézkedéseket (pl. engedélyeztük a kétlépcsős azonosítást a Google-fiókon, lásd 4. lépés). A Google kifejezetten kiemeli, hogy a kárenyhítés, például a jogosulatlan tevékenységek miatti költségek visszatérítése is ezen biztonsági lépések megtételéhez kötött. Ha mindent megtettünk, a Google visszatéríti a hackerek által okozott hirdetési költéseket és egy részletes jelentést is küld a vizsgálat eredményeiről. Fontos megjegyezni, hogy a Google ügyfélszolgálata ilyen esetekben általában segítőkész: céljuk nem a büntetés, hanem hogy a valódi hirdető visszakapja a fiókját és a rendszerben se fussanak csaló hirdetések.

6. Kommunikáció és további lépések: Ha a Google Ads fiók feltörése során érzékeny adatok is érintettek voltak (pl. a támadó hozzáférhetett ügyféladatokhoz, letöltött lead-űrlapokból személyes adatokat, vagy látott konverziókövetési adatokat), értesíteni kell az érintetteket. Belsőleg jelentsük az incidenst a cég vezetésének és az IT/security teamnek. Ügyfeleknek is jelezni kell, ha az ő fiókjuk vagy adataik kompromittálódtak (például ha ügynökségként kezeltük a fiókot). Minden esetben tanuljunk az esetből: elemezzük, hogyan történhetett a behatolás, és vezetünk-e be további intézkedéseket, hogy legközelebb elkerüljük. Sokszor érdemes jelszóresetet kérni minden felhasználótól, és kötelező tréninget tartani a csapatnak az esetről tanulságként.

7. Hivatalos szervek és jogorvoslat: Amennyiben anyagi kár érte a céget (például jelentős összegű hirdetési költséget sikerült a támadónak elégetnie, amit esetleg nem térít meg teljesen a Google), vagy bűncselekmény gyanúja áll fenn, tegyünk feljelentést a rendőrségen. A Google általában együttműködik a hatóságokkal, ha csalás történt a platformján. Még ha a tettesek külföldön is vannak és kicsi az esély a kézre kerítésükre, a feljelentés jogi szempontból fontos lehet (például biztosítási igény érvényesítéséhez is szükséges lehet a rendőrségi jegyzőkönyv). Ne feledjük, hogy egy Google Ads fiók illetéktelen használata több bűncselekményi kategóriát is kimeríthet: információs rendszer elleni bűncselekmény, csalás, esetleg személyes adatokkal visszaélés – ezek mind büntetőjogi következményekkel járnak a tettesek számára.

Jogi és adatvédelmi szempontok

A Google Ads fiókok feltörése kapcsán nem csak üzleti és technikai, hanem jogi és adatvédelmi kérdések is felmerülnek. Érdemes ezeket is szem előtt tartani, hiszen egy ilyen incidensnek jogi következményei is lehetnek, illetve adatvédelmi kötelezettségeket is keletkeztethet.

Adatvédelmi kötelezettségek (GDPR): Amennyiben a feltört fiókban személyes adatok is találhatók, a támadás adatvédelmi incidensnek minősül. A Google Ads önmagában főként hirdetési adatokat tartalmaz, de több módon is érinthet személyes adatot: például a Lead Form bővítményen keresztül begyűjtött ügyféladatok (név, email, telefonszám) a fiókon belül elérhetők, vagy a Customer Match (ügyféladat feltöltés) listák, esetleg a Google Analytics linkelés révén egyéni azonosítók is láthatók. Ha a támadó hozzáfért ilyen adatokhoz, akkor az incidens a GDPR (EU általános adatvédelmi rendelet) hatálya alá esik. Ez azt jelenti, hogy 72 órán belül be kell jelenteni az incidenst a megfelelő felügyeleti hatóságnak – Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) –, kivéve ha valószínűsíthetően nem jár kockázattal az érintettek jogaira nézve. Egy Google Ads hack esetén, ha pl. ügyfél lead adatok szivárogtak ki, az jellemzően bejelentendő kategória, hiszen a támadó visszaélhet azokkal (spammelheti, megkeresheti őket). Emellett, ha a kockázat magas (pl. pénzügyi adatok vagy érzékeny személyes adatok is érintettek), értesíteni kell magukat az érintett személyeket is haladéktalanul, közérthetően tájékoztatva őket a történtekről és a megteendő lépésekről.

Üzleti és szerződéses felelősség: Ha egy ügynökség kezeli az ügyfél Google Ads fiókját, a hack incidens az ügynökség reputációját és esetleg jogi felelősségét is érintheti. Fontos áttekinteni az ügyféllel kötött szerződéseket: tartalmaznak-e adatbiztonsági vagy titoktartási kikötéseket, és ezek megsértését hogyan kezelik. Előfordulhat, hogy a szerződés előírja az incidensek azonnali jelentését és a károk megtérítését. Ügynökségként a legjobb gyakorlat ilyenkor nyílt kommunikáció az ügyféllel: ismerjük el a történteket, vázoljuk a megoldási tervet és a megelőző lépéseket a jövőre nézve. A bizalom visszaszerzéséhez kulcsfontosságú, hogy az ügyfél érezze: komolyan vesszük az esetet és tanulunk belőle.

Büntetőjogi vonatkozások: Ahogy a fentiekben már említettük, a Google Ads fiók feltörése bűncselekmény. Magyarországon a Büntető Törvénykönyv több paragrafusa is foglalkozik ilyesmivel: például a Btk. 423. § (Információs rendszer vagy adat megsértése) vagy a Btk. 375. § (Csalás) attól függően, hogy anyagi kár is történt-e. A gyakorlatban a hatóságok nyomozása az ilyen ügyekben nehézkes lehet (az elkövetők gyakran külföldön, anonim módon tevékenykednek), de a feljelentés megtétele mindenképp javasolt súlyosabb esetekben. Nemcsak azért, mert ez szükséges lehet pl. biztosító felé (ha van cyber risk biztosítása a cégnek, az fedezhet bizonyos károkat), hanem azért is, mert a hatósági bejelentés nyomán a Google is hivatalos megkeresésre több információt adhat át (pl. IP-címek, belépési logok), ami segítheti a nyomozást.

Felelősség és gondatlanság kérdése: Jogilag felmerülhet, hogy kit terhel a felelősség a kárért. A Google Ads Általános Szerződési Feltételei általában kizárják a Google felelősségét a felhasználói fiókhibákért vagy biztonsági mulasztásokért – tehát ha a felhasználó hanyagsága vezetett a hackhez (pl. nem használt 2FA-t és adathalász áldozatául esett), a Google nem vállal érte felelősséget. Ugyanakkor, ahogy láttuk, a Google jófej módon visszatéríti a csalók által elköltött összegeket, ha bizonyítottan hack történt és a felhasználó együttműködik a biztonság megerősítésében. Ez inkább ügyfélszolgálati gesztus, mint jogi kötelezettség. Hosszú távon viszont a hirdető (vagy ügynökség) felelőssége, hogy megfelelően gondoskodjon a fiók védelméről. Ha mondjuk egy ügynökségi alkalmazott figyelmetlensége folytán törik fel a fiókot, előfordulhat, hogy belső felelősségre vonás történik, de extrém esetben akár kártérítési igény is felmerülhet az ügyfél részéről, ha a mulasztás egyértelmű és jelentős kárt okozott.

Összességében a legjobb jogi védekezés is a megelőzésben rejlik: ha betartjuk a biztonsági előírásokat, azzal nem csak a támadás esélyét csökkentjük, de egy esetleges incidens után is jobb helyzetben vagyunk (például a hatóságok felé is bizonyítható, hogy minden tőlünk telhetőt megtettünk, így nem vonható le, hogy mi hibáztunk súlyosan). A GDPR is előírja az adatkezelők számára a megfelelő biztonsági intézkedések alkalmazását – ha ezt elmulasztjuk (pl. nem használunk 2FA-t, nem képzettek a kollégák), akkor egy adatvédelmi incidensnél akár bírság is sújtható a cégre a hatóság részéről.

Záró gondolat: A Google Ads fiókok biztonsága 2025-ben már nem pusztán IT kérdés, hanem üzletfolytonossági és reputációs tényező. A támadók technikái folyamatosan fejlődnek – legyen szó kifinomult adathalász módszerekről vagy a hirdetési rendszer kreatív kijátszásáról –, de a védelmi eszköztárunk is bővült. A kétlépcsős azonosítás, a hozzáférések ésszerű korlátozása, a felhasználók oktatása és az incidenskezelési terv mind hozzájárul ahhoz, hogy egy marketinges, cégvezető vagy ügynökség magabiztosan használhassa a Google Ads-et anélkül, hogy a legrosszabbtól kellene tartania. Ahogy a Google magyar nyelvű súgója is fogalmaz: “Ha a fiókját feltörik, mindent megteszünk, hogy segítsünk. A fiók tartós biztonsága érdekében azonban azt javasoljuk, hogy minden lehetséges megoldást használjon fel a fiók védelméhez.” Ennek szellemében érdemes a most tanultakat mielőbb gyakorlatba ültetni.

Források: A fenti cikk valós eseményeken és hivatalos ajánlásokon alapul, beleértve biztonsági kutatások eredményeit 2024–2025-ből, Google által közölt adatokat és a Google Ads súgójának idevágó szekcióit. Biztonságos hirdetést kívánunk mindenkinek!

Ha tetszett a cikk, támogasd a blogomat és vedd meg a könyvem.