Logo
Zpět

Phishing v online reklamě: Jak poznat podvodné e-maily v Google Ads a Facebooku

Phishing je jednou z nejčastějších forem internetových podvodů. Útočníci se vydávají za důvěryhodné značky (například Google nebo Meta) a snaží se vylákat citlivé údaje – přihlašovací jména, hesla nebo dokonce přístup k reklamním účtům. Pro firmy, které investují nemalé částky do online reklamy, to může mít fatální následky.

phishing google ads účtu

Proč je phishing nebezpečný?

Pokud útočníci získají přístup k vašemu účtu, mohou:

  • Utratit celý rozpočet během několika hodin.
     Podvodníci nastaví vlastní kampaně, často na podezřelé nebo nelegální produkty. Váš rozpočet se vyčerpá a výsledkem je nulový přínos pro váš byznys.
  • Trvale poškodit váš účet.
     Pokud se přes váš účet spustí nelegální reklamy, Google i Meta mohou účet natrvalo zablokovat. Obnovení je složité a v některých případech nemožné.
  • Zneužít vaše firemní údaje.
     Přístup k e-mailu a telefonnímu číslu umožňuje podvodníkům ověřovat další služby, čímž se otevírá cesta k dalším útokům.
  • Poškodit vaši značku.
     Pokud se přes váš účet zobrazí nevhodné reklamy, zákazníci si je spojí s vaší firmou. Důvěra se pak buduje velmi těžko zpět.

V posledních měsících jsme zaznamenali zvýšený počet phishingových pokusů právě v oblasti Google Ads a Facebook reklam. Přinášíme praktické příklady z praxe a doporučení, jak se proti nim chránit.

Phishing v Google Ads

Na první pohled může jít o běžnou pozvánku ke správě účtu. Podvodný e-mail dokonce kopíruje oficiální šablonu Googlu – jediný rozdíl je v adrese odesílatele. Místo @google.com byla v našem případě použita adresa @googlemail.com.

Jak phishing probíhal krok za krokem:

  1. Přišla pozvánka ke správě účtu Google Ads.
  2. Po kliknutí byl uživatel přesměrován na falešnou stránku Googlu.
  3. Stránka vyžadovala přihlášení a zadání dvoufázového ověření. Vše vypadalo jako běžné prostředí Google.
  4. Útočníci se tak mohli dostat nejen k e-mailu, ale i k telefonnímu číslu a následně k přístupovým kódům.

Na co si dát pozor, čeho jsme si všimli:

  • Vždy zkontrolujte adresu odesílatele (musí končit na @google.com).
  • Ověřujte, zda odkazy vedou na oficiální doménu Google. Pokud se po vás chce telefonní číslo, uvádí se “vyhvězdičkované” až na poslední 3 číslice (v našem podvodném případě bylo vyhvězdičkováno všech 9 čísel).
  • Načítání jednotlivých fází probíhalo nezvykle dlouho (útočník se pravděpodobně již paralelně snažil udělat pokud o přihlášení).

Běžná pozvánka ke Google Ads účtu:

Podvodná pozvánka ke Google Ads účtu:

Phishing ve Facebook reklamách

Další častá forma útoku míří na inzerenty ve Facebooku. Útočníci se vydávají za tým Meta for Business a posílají e-maily o tom, že vaše reklamy porušují pravidla. Text zprávy bývá naléhavý, s hrozbou, že účet bude do 24 hodin zablokován.

Typický příklad podvodného e-mailu:

  • Odesílatel: Meta for Business Team adam.barnett@gsd404.org
  • Předmět: Your advertising has violated terms of service
  • Tělo e-mailu vyzývá k okamžitému ověření identity a obsahuje tlačítko Verify s odkazem mimo doménu Meta.

Jak poznáte, že jde o phishing:

  • E-mailová adresa neodpovídá oficiální doméně Facebooku nebo Mety.
  • Komunikace obsahuje gramatické chyby nebo nepřirozené formulace.
  • Meta nikdy neřeší zásadní omezení reklam přes e-mail – vždy přímo v Business Manageru.

Jak se chránit?

  1. Ignorujte. Podezřelé e-maily neotvírejte, neklikejte na odkazy a rozhodně nikam nevkládejte přihlašovací údaje.
  2. Ověřujte přímo v účtu. Pokud dostanete varování, přihlaste se do Google Ads nebo Business Manageru a zkontrolujte stav přímo tam.
  3. Dvoufázové ověření. Mějte zapnuté dvoufázové ověření u všech reklamních účtů a používejte autentifikační aplikaci (ne SMS).
  4. Školení týmu. Ujistěte se, že vaši kolegové a zaměstnanci vědí, jak phishing rozpoznat.

Příklad podvodného e-mailu:

Závěr

Phishing se bude stále zdokonalovat a napodobovat oficiální komunikaci velkých platforem. Proto je klíčové zůstat obezřetný, pečlivě kontrolovat odkazy a mít interně nastavené procesy, jak reagovat na podezřelé zprávy.

V Next Vision se s těmito útoky setkáváme pravidelně, a proto klientům nejen spravujeme reklamní účty, ale také je edukujeme v oblasti bezpečnosti. Díky tomu můžeme společně růst bez zbytečných rizik.

Praktický checklist pro majitele e-shopů

Zkontrolujte e-mailovou adresu odesílatele – musí být oficiální (např. @google.com, @facebookmail.com).

Nikdy neklikejte na podezřelé odkazy v e-mailech. Do účtu se vždy přihlaste přímo přes oficiální stránku.

Používejte dvoufázové ověření přes aplikaci (např. Google Authenticator, Authy). SMS jsou snadněji zneužitelné.

Sledujte aktivitu účtu. Pokud si všimnete podezřelých změn nebo nových kampaní, okamžitě změňte heslo a zkontrolujte přístupy.

Omezte přístup jen na ověřené uživatele. Do reklamního účtu dávejte práva pouze lidem, které znáte a důvěřujete jim.

Školte svůj tým. I jeden nepozorný klik může znamenat ztrátu desítek tisíc korun.

Mějte připravený krizový plán. Vědět, na koho se obrátit (Google support, Meta support, vaše agentura), vám ušetří čas i peníze.

Blog

Team Leader Zuzana Slepánková

Jsme specialisté na svém místě

Certifikáty máme. Výsledky taky.