Serangan Phishing pada Google Ads MCC Meningkat – Begini Cara Kerja Penipuan Ini
Peningkatan Serangan Phishing yang Canggih
Serangan phishing yang semakin canggih memungkinkan penipu untuk mengambil alih akun Google Ads Manager (MCC) sepenuhnya. Hal ini memberikan mereka akses instan ke ratusan akun klien dan kemampuan untuk menghabiskan puluhan ribu dolar dalam waktu singkat tanpa terdeteksi.
Berita Terbaru
Banyak agensi yang melaporkan peningkatan kasus pengambilalihan MCC di platform seperti LinkedIn, Reddit, dan forum resmi Google. Bahkan, tim yang menggunakan autentikasi dua faktor pun tidak luput dari serangan ini. Senjata utama para penyerang adalah email phishing yang sangat mirip dengan undangan akses akun Google.
Cara Kerja Serangan
Para korban melaporkan bahwa para peretas menambahkan pengguna admin palsu, menghubungkan MCC mereka sendiri, dan segera meluncurkan kampanye iklan palsu dengan anggaran tinggi. Dalam beberapa kasus, tiket dukungan memerlukan waktu berhari-hari untuk ditangani sementara dana terus mengalir keluar. Salah satu agensi melaporkan pengeluaran iklan "puluhan ribu" dalam waktu 24 jam.
Bagaimana Cara Serangan Ini Bekerja
Penipuan ini tampak seperti undangan akses klien standar – dengan merek, format, dan salinan yang sama – namun tautan yang diberikan mengarahkan pengguna ke halaman Google Sites yang berpura-pura menjadi layar login Google. Setelah kredensial dimasukkan, para penyerang mendapatkan akses penuh ke MCC.
Mengapa Situasi Ini Semakin Buruk
Para pengiklan mengungkapkan bahwa upaya phishing sekarang hampir tidak dapat dibedakan dari pesan resmi Google. Beberapa agensi mengakui bahwa mereka mungkin akan mengklik tautan tersebut jika tidak ada perbedaan kecil dalam domain pengirim atau URL login.
Dampak dari Serangan ini
- Anggaran Habis: Iklan palsu langsung dijalankan.
- Paparan Malware: Iklan sering kali mengarahkan ke situs berbahaya.
- Kerusakan Akun: Aktivitas tidak valid dapat menyebabkan bendera, penolakan, dan masalah kepercayaan yang berlarut-larut.
- Kekacauan Operasional: Agensi kehilangan akses ke setiap akun klien di bawah MCC.
Pernyataan dari Google
Tim Komunitas Google Ads telah mengeluarkan dokumen bantuan mengenai apa yang harus dilakukan jika akun Anda terkompromi, memperingatkan pengiklan tentang peningkatan pencurian kredensial selama musim liburan. Namun, mereka belum mengakui skala peningkatan pengambilalihan MCC yang terjadi.
Mengapa Ini Penting
Pengambilalihan MCC bukan hanya masalah keamanan yang terisolasi – ini adalah ancaman finansial dan operasional langsung yang dapat menghabiskan anggaran, mengkompromikan setiap akun klien, dan memerlukan waktu berhari-hari bagi Google untuk menanganinya. Dengan penyerang yang kini dapat melewati autentikasi dua faktor melalui phishing yang hampir sempurna, bahkan tim yang paling terjamin pun menjadi rentan. Jika hanya satu anggota tim yang lengah, seluruh portofolio akun – termasuk pengeluaran, kinerja, dan kepercayaan klien – dapat langsung terancam.
Rekomendasi dari Para Ahli
Marc Walker, pendiri dan direktur utama Low Digital Ltd, memberikan beberapa rekomendasi untuk menjaga keamanan akun Anda dari serangan ini. Pastikan untuk selalu memeriksa keaslian email, menggunakan autentikasi dua faktor, serta melakukan pelatihan keamanan secara berkala untuk seluruh anggota tim Anda. Dengan langkah-langkah pencegahan yang tepat, Anda dapat melindungi diri dari serangan phishing yang semakin meningkat ini.
