Facebook Reklam Hesabımın Hacklenmesi ve Çıkarılacak Dersler
Geçen hafta başıma esrarengiz bir dolandırıcılık ve hacklenme olayı geldi, hala da tam sonuçlanmış değil. Aynısını yaşamamanız için anlatıyorum:
Fazla kullanmadığım bir Facebook Business hesabım ve ona bağlı bir reklam hesabım var. En son reklam vereli 1 seneyi geçmiş ve hesaba tanımlı başka kullanıcı yok. Fakat geçen ay, benimle tamamen alakasız bir reklam kampanyası başlıyor bu hesaptan.
FB’tan ne bir email, ne bir SMS geliyor. “Uzun zamandır yoktunuz, bir anda limitsiz kampanya başladı, n’oluyor” demiyorlar. Pek aktif olmadığım için birikmiş notification’ların arasına gömülen sıradan bir mesaj var sadece.
Ben de bir şey farketmiyorum çünkü hesabın kalanında hacklenmeye dair bir emare yok. Abuk subuk mesajlar, arkadaş istekleri, şifre değişimi yok. Hatta “yeni bir yerden/cihazdan login oldunuz” mesajı dahi yok, her şey normal.
Hesapta tanımlı kredi kartım vardı. Reklam harcaması önce 2.5 dolarla başlıyor, sonra reklam kampanyası yayıldıkça, FB'un bana kestiği fatura da kabarıyor, çünkü fiyatlama etkileşim ve görüntü bazlı. Ve bir üst limit de yok.
Diyeceksiniz ki “banka haber vermedi mi?”. Verdi, ama bir sor nasıl verdi. Normalde şüpheli bir harcama olduğunda arıyorlar. Fakat ilk meblağ düşük olduğu için bu sefer sadece email atmışlar. Ve şansına, tam da o gün yaptığım başka bir harcamayı ilk satıra koydukları için, ona bakıp onay vermişim.
Bu arada bankanın ilkel sistemi de şöyle çalışıyor belli ki: “Facebook ad/34cascas7” isimli 2.5 dolarlık fatura için onay aldık, öyleyse üç gün sonra “Facebook ad/8790asdasd” isimli 500 dolarlık faturada bir sorun yok, haber vermeden direkt ödeyelim.
Böyle böyle haftalar geçmiş. Sonunda kart ekstresine bir baktım, Facebook’a tam 4000 dolar ödemişiz. Başımdan aşağı kaynar dolarlar döküldü. Türk parasıyla yazamıyorum, karakter limiti yüzünden.
İlk iş, bankayı arayıp kartı iptal etmek ve o harcamalar için “fraud” (hile, dolandırıcılık) dosyası açmak. Toplam 15 dakika sürmedi. Amerikan bankası olduğu için, önce asıp sonra yargılamak yerine, senin dürüst olduğunu farzederek önce sana parayı iade ediyor, faizleri donduruyor, sonra soruşturmasına başlıyor. O noktada benim işim bitti aslında, Facebook’la bunlar konuşacak. Ama dayanamadım…
Hemen FB hesabına girip kampanyayı durdurdum. Olayı keşfettikçe bir yandan da diyorum, acaba hakikaten bunu ben yarattım da şimdi hatırlamıyor muyum? Belki uyurgezerlik var. Ya uyurgezer kişiliğim, normal kişiliğimden daha girişimci ise? “Ben nasıl bir loser’ım Allahım” diye varoluşsal krizlere giriyordum ki, aktivite logları gözüme çarptı…
Bir reklam yaratmanın 3 aşaması var: ad campaign, ad set ve ad. Asıl reklam içeriği (video, yazı, imaj) son aşamada ama diğerlerinde bir sürü ayar yapıyorsun: amaç, bütçe, süre, hedef kitle, raporlama, vs. Fakat loglara bakıyorum, tüm aşamalar aynı dakika içinde olup bitmiş. 60 saniye içinde dolu dolu bir ad campaign yaratılabilir mi? Üstelik kampanya adı da rastgele: Google’da o ismi aratınca sıfır sonuç aldım ve masaya elimi vurup “bunu yapan insan olamaz!” dedim.
Tabii arayüz düzgünce tasarlanmış olsaydı, insan olup olmadığından anında emin olabilirdim. Her şey aynı saniyede olup bitmişse, bir bot/script olduğu kesin olurdu. Şu anda ise, aktivitelerin sadece saat ve dakikasını görebiliyorsunuz, saniyeyi koymamışlar. “Fazla yakmasın” diye herhalde. Hatta o aktivitelerin yanına, IP adresi, coğrafya bilgileri, session uzunluğu, two factor authentication’dan geçilip geçilmediği gibi bilgiler verilebilirdi. Ama çok şey istiyorum, alt tarafı YARIM TRİLYON DOLARLIK bir şirket bu.
Internet Güvenliği yazı dizisinden hatırlarsınız, bu hesapların normal yollardan hacklenmeleri zor zaten: Aşırı uzun ve başka yerde kullanmadığım bir Lastpass şifresi, üstüne 2FA var. 2FA için telefondaki applikasyondan kod üretmek gerek. O telefon da hep bende ve açmak için parmak izi lazım. Desktopım sanal ve toplam 3 firewall arkasında. Makineye fiziksel erişimi olan kimse yok. Yani yemin ederim, CIA direktörünün FB hesabı daha güvensizdir.
Aklıma gelen üç ihtimal var: Birincisi phishing. Phishing ile 2FA bile aşılabilir. Ama loglarda başka cihazdan veya şehirden yapılan bir login gözükmüyor. İkinci ihtimal malware. O da herhangi bir malware değil, işini bitirince kendini imha etmiş, bu yola baş koymuş imanlı bir malware, çünkü taramalar temiz çıktı. Üçüncüsü de HAARP. Evet Amerikan derin devleti peşimde. Şaka şaka, üçüncü ihtimal, bu işin FB tarafından yapılan yetkisiz bir erişim olduğu. Onların audit sistemini bilmiyorum, belki böyle bir erişim imkansıza yakındır. Neyse, bu bir sır perdesi olarak kalsın.
Reklamı durdurtuktan sonra içeriğini inceledim: Sadece Amerikalı kullanıcılar hedeflenmiş. İndirimli spor ayakkabısı imajları var. Hangi siteye yönlendiriyormuş bakıyorum, Florida’da bir çiçekçi. Allah Allah. Çiçekçi, ayakkabılar ve ben. (İyi bir müzik grubu ismi olabilir).
O sırada birkaç gün önce gelmiş bir mesajı görüyorum: “Ayakkabılarımı sipariş edeli kaç gün oldu, neredeler madırfakır”. Böyle başka mesajlar da var. Sonunda duruma uyanıyorum: Herifler benim hesaptan reklam verip, milleti bir siteye yönlendirmiş, güzelce dolandırmış, sonra şikayetler başlayınca asıl site buhar olmuş ve reklamlar, olayla alakasız bir çiçekçiye yönlendirmeye başlamış. Millet de şu anda beni dolandırıcı sanıyor.
(Bu arada, bu yeniden yönlendirme için tekrar hesaba girmeye gerek yok, zira reklamda kısaltılmış URL kullanmışlar. Kısaltma servisini kullanarak, O URL’in gittiği asıl sayfayı sonradan değiştirebiliyorsunuz.)İşin komik tarafı, reklamlar çiçekçiye yönlendirildikten sonra, bu herifler artık para kazanmıyorlar. Ama benim hesap o reklamları ödemeye devam ediyor. Çiçekçiye çalıştık resmen. Hesabıma tekrar girip bunu durdurmamışlar veya yeni bir dolandırıcılık için yeni bir reklam kampanyası yaratmamışlar.
Şimdi bu noktada garip bir ilişki ağı oluştu: Benim amacım, FB’tan paramı geri almak. Ama FB açısından muhtemelen dolandırıcı olarak ben gözüküyorum, hele ki hacklendiğime dair açık bir işaret olmadığı için. Kanıt olarak, dolandırıcıların kullandığı orijinal siteyi bulmak istiyorum ama bunu sipariş vermiş insanlara soramıyorum, çünkü onlar benden nefret ediyor.
Sonunda bir iki tanesini ikna ettim yardım etmeleri için, ama o kadar kekolar ki, siteyi filan hiç bilmiyorlar. Bu şaşırtıcı değil: Benim hesap Avrupa’da İngilizce öğrenme ile ilgili. O hesaptan, Amerika’da ayakkabı satışı hakkında bir reklam görüp, şüphelenmeden sipariş veriyorsan, zaten keko olmaman imkansız.
Bu noktada anladım ki, bu işi banka ile Facebook arasında bırakırsam, kendimi savunamam, en iyisi doğrudan FB ile iletişime geçeyim. Ama bu öyle kolay değil. Sen kimsin ki koskoca FB ile konuşacaksın? O kadar kötü tasarlamışlar ki şikayet sistemini, aklınız durur. En basitinden, business manager’dan yardım kısmına girip “fraud” yazıyorum, ilk çıkan linklerin hepsi “sayfa bulunamadı” hatası. Bunlara bakan bir Hintli gariban bulamadınız mı?
Bir yerlerden ilgili dokümanı buldum, oraya link koymuşlar, “reklam hesabınız hacklendiyse acilen şu formu doldurun” diye. Fakat acilen linke tıklayıp gittiğim yerde ne yapacağım belli değil, acil acil bakınıyorum. Ortada “hacklendim” seçeneği dahi yok, tam bir “workflow fail”. Bütün yardım sayfaların kötü olsa dahi, en azından hack ve fraud (dolandırıcılık) kısımları iyi çalışmalı.
“Harcamalarımı açıklamak istiyorum” gibi garip bir seçenek üzerinden form doldurdum. FB da cevaben dedi ki, “1-2 iş günü içinde döneriz”. E bugün Cumartesi? Salıya kadar dolandırıcılık serbest demek ki.
Bakın, Facebook normal bir şirket değil, haftasonu kepenkleri kapayamaz. Bir kere tüm misyonu globalizasyon üzerine kurulu. Benim Cumartesim başkasının Cuması. İkincisi, bu şirketin çeyreklik reklam geliri $12 milyar. Senelik 50 milyar dolar. Bu kadar üretim yapamayan ülkeler var ya. Gelirleri bırak, 44 milyar nakit rezervleri var üstelik. Bu şartlar altında bir reklamcının şikayetine 3 gün bakmamak nedir? Bırak dolandırıcılığı, "bu reklam iyi olmuş mu" diye sorsam, 2 saat içinde "şahane olmuş, aynen devam abicim" mesajı gelmeli.
Fakat sonunda gelen cevap bana tüm bunları unutturdu: "I’m sorry about the problem you had using your payment method. Luckily, I've reviewed your account and I'm happy to let you know you can now spend money on Facebook again.”
(Ödeme metodunuzla ilgili bir problem varmış, neyse ki hesabınıza baktım ve artık Facebook’ta tekrar para harcayabileceksiniz)
”Did you find our support helpful?” diye de bitirmişler. No dumbass, I didn’t find it helpful at all. In fact, it could be the least helpful response I ever got, to any question.Zamanında kısa bir süreliğine teknik destekte çalışmıştım, stresli işti. Ama müşteri yönünden en gıcık edici şey şu: O kadar uğraşıp detay veriyorsun, açık seçik yazıyorsun, bekle bekle, sonunda ne geliyor? %90'ı otomatik doldurulmuş, kalanı da dediklerinin hiçbirini okumadığı belli olan birinin cevabı.
Adamlardan üç şey istemiştim: Paramı, hack bilgilerini (özellikle FB tarafından olmuşsa) ve dolandırıcılardan etkilenen diğer hesaplara yardım etmelerini. Verdikleri cevabın hiçbiriyle alakası yok.
Küfür edeceğim ama diğer sitelerdeki gibi, şikayet kaydına “hayır bu yeterli değil” diye devam edemiyorsun. Haddini bileceksin. Cevap veren eleman kaydı kapamış, sadece okuyabiliyorum. Bir tasarım saçmalığı daha.
Yeni bir şikayet kaydı oluşturmadan önce banka hesabıma bakayım dedim, o da ne? FB parayı geri vermiş. Söylemiyorlar ama vermişler. Hatta işin komiği, biraz fazlasını vermişler. Acaba özür dilemek için mi?
Hemen kahyaya söyledim, gidip muhasebecimi çağırdı. Saka ya, ne arar bende muhasebeci (ama kahya var, kahyasız şuradan şuraya gitmem). Oturdum hesapladım: Meğer en baştan fazla fatura kesmişler. Yani Facebooks Ads arayüzünün fatura kısmından gördüğüm harcama 3300 dolar ise, kartıma soktukları -ve şimdi geri ödedikleri- rakam 4000.
Üstelik bunlar tek seferde faturalanmıyor, parça parça oluyor. Fakat FB arayüzünde gördüğüm meblağlar ile kredi kartıma geçirilenlerin hiçbiri birbirini tutmuyor. Hesaplama iyice zor olsun diye özellikle yapmışlar sanki.
Kafam allak bullak ama neyse ki paralar sağlamda. Bu arada, şikayet kaydını oluşturduktan sonra FB şifrelerini değiştirmişim, güvenilir cihazları silmişim, devam eden sessionları bitirmişim, vs, standart güvenlik işlemlerini yapmışım yani. Ve şimdi FB reklam merkezinden faturalara bakarken farkediyorum ki tepede bir mesaj var: “Reklam hesabınız kilitlidir, tüm kampanyalarınız dondurulmuştur”. Bu noktada artık kahkahayı bastım, gerizekalı teknik desteğin “düzelttim” dediği tek bir şey vardı, meğer onu da becerememişler, tam tersine kitli olmayan hesabı kitlemişler. Pes ettim.
***
Hikayeyi burada bitireyim. Cevaplanmayan soruları için bir kayıt daha açtım ama malum, paşalar haftasonu cevap veremiyorlar, anca haftaya çözeriz kalan esrarı. Şimdiyse, siz ne yapmalısınız ve mühendislik açısından Facebook ne yapabilirdi, bunları konuşalım:
Ne Yapmalısınız
Kart ekstresine sık sık bakın.
Bankanın uyarı emailleri için özel filtre yaptım, alevli malevli, arada kaynamazlar.
FB reklamlarını aktif olarak kullanmıyorsanız, orada kart bilgisi saklamayın.
İlla saklayacaksanız, ayarlardan limit koyun. Daha iyisi, limitli sanal kart.
Hesap güvenliği ile ilgili standard tavsiyeler: Uzun ve başka yerde kullanmadığınız şifre (password manager), 2FA, login alarmları, malware için taramalar.
Korunması en zor saldırı phishing. Özellikle de mobil üzerinden, kafanız dağınıkken, orijinal web sayfasının taklidini yemek mümkün. Abuk subuk linklere basmayın ve yeniden login olmanız gerekiyorsa ekstra kıllanın, adres çubuğuna bakın.
Bol bol spor yapın
Facebook Ads Nasıl Tasarlanmalıydı
Belki aranızda mühendis vardır, bir şeyleri düzeltir veya en azından kendi ürününü daha iyi yapar. Zira adamların kaçırdıkları "red flag"lerden buradan aya kadar protokol yolu döşenirdi:
Aktif olmayan bir hesap, bir anda limitsiz reklamlara başlamışsa, red flag! Hesabı dondur veya kullanıcıdan onay iste.
Şu ana kadar en fazla $20 harcamış biri, son bir haftada $1000 harcamışsa (limit olsa bile)…
Koca bir reklam kampanyası 60 sn'den kısa sürede yaratılmışsa…
ABD'de yaşamayan biri, sadece Amerikalılara iletilecek bir reklam tasarlıyorsa…
Profille tamamen alakasız bir reklam veriliyorsa (benim ayakkabı satmam gibi)…
Kullanıcıların yönlendirildiği adresler değişmişse…
Hepsini geçtim, reklam post'unun altındaki yorumlarda bir sürü "scam" lafı geçiyorsa, DEV UYARI. Oraya bir kişi "faggot" veya "Nazi" yazsa işaretlenir muhtemelen, ama 50 kişi "bu dolandırıcılıktır" yazmasına rağmen reklam yayılmaya devam etti.
Yapay Zeka araştırmalarına milyarlar gömüyorlar ama şu üç satırlık algoritmalar eksik, insanı gıcık eden bu. Bir tanesi bile olsa bu sorun önlenirdi. Hadi ben paramı doğrudan Facebook’tan aldım, ama sipariş verip dolandırılanlar tek tek bankalarıyla uğraşacaklar. Kötü tasarımın cezasını kredi kartlarımız çekiyor.
Not: Hala "ayakkabılarım nerede?" mesajları alıyorum. Silinene kadar 500 bin kişi görmüş reklamı. Senelerce sürer artık. Gerçekten ayakkabı işine girmek isteyen varsa, elimde kızgın ama kararlı bir müşteri kitlesi bulunuyor, iletişime geçiniz.