Marki broń jak niepodległości
Krzysztof Marzec
Marketing w Praktyce / Narzędzia
Jak marketerzy odpowiedzialni za marketing w wyszukiwarkach mogą pomóc w budowaniu cyberodporności marki i firmy na takie zagrożenia jak phishing, typosquatting czy tradycyjny hacking?
Jeśli marketing w wyszukiwarkach kojarzy ci się wyłącznie z reklamą, to lepiej sprawdź, w jaki sposób ciemna strona internetu szuka tam swojej szansy na zdobycie paru bitcoinów twoim kosztem.
Ostrożny weryfikuje dwa razy
Typowy specjalista Search Engine Marketingu korzysta z wielu narzędzi i kont w rozmaitych serwisach. Najważniejszymi z nich są konta Google zawierające dane o twojej witrynie (Google Analytics) oraz kampanię (Google Ads). Może być niebezpiecznie, gdy do konta Ads podpięty został duży budżet lub karta kredytowa. Typowym działaniem włamywacza jest bowiem uzyskanie dostępu i wykorzystanie budżetów do swoich celów. Dzieje się tak za pomocą fałszywych stron udających interfejs Google Ads i podszywających się pod reklamy właśnie tego systemu. Proceder osiągnął już taką skalę, że Google nie przepuszcza już reklam z nazwą własnego programu! Jednak architekci ataków społecznościowych dobrze wiedzą, że wystarczy znajomość kilku znaków specjalnych czy odpowiednio skonstruowany e-mail, by łatwo przemycić link do strony, która wygląda jak idealna kopia strony logowania systemu Ads. Co gorsze, działania takie są w stu procentach automatyczne – w momencie próby zalogowania na fałszywej stronie nasze konto może być już przejęte, a budżet zacznie znikać w zastraszającym tempie.
Skuteczną odpowiedzią na atak tego typu, ale również wszelkiego rodzaju przejęcia loginów i haseł, jest uruchomienie weryfikacji dwuetapowej (two-factor-autentication), która nie pozwoli dostać się do naszego konta nawet ze znajomością hasła. 2FA wymaga bowiem kodu z SMS wysłanego na nasz telefon. Dlatego też uruchom pilnie usługę na https://www.google.com/landing/2step/. W podobny sposób możesz zabezpieczyć swoje konto Microsoft, Facebook czy wiele innych. Samo używanie 2FA nie jest tak irytujące, jak mogłoby się wydawać – nie musisz przepisywać treści SMS-a za każdym razem, wystarczy autoryzować swój komputer raz na dłuższy czas. Zresztą – ten standard stał się obecnie obowiązkowy w bankach, co dobitnie pokazuje skalę problemu.
Dobra rada:
Jeśli twój telefon nagle przestał łączyć się z siecią, istnieje możliwość, że to nie awaria. Sprytna osoba mogła wyrobić duplikat twojej karty SIM, aby otrzymać SMS-y autoryzacyjne z twojego banku czy kont Google Ads.
Ale skąd złodziej ma moje hasło?
Jesteśmy tylko ludźmi, upraszczając sobie życie, często używamy w różnych miejscach tego samego hasła. Mogło się zdarzyć, że twoje hasło zostało kiedyś wykradzione. Możesz to sprawdzić na stronie https://haveibeenpwned.com/, podając swój e-mail. Dowiesz się, jaki serwis został zaatakowany i kiedy wyciekło. Najlepszym sposobem na bezpieczeństwo haseł niezmiennie jest ich sprytne budowanie i regularne zmiany. Zamiast hasła d4#s!i3x, które trudno zapamiętać, możesz użyć np.: 3Malekotkispiew4ja. Zapewniam, że będzie bardzo trudne do złamania, a w miarę łatwe do zapamiętania.
Dobra rada:
Uruchom https://passwords.google.com/ i kliknij w przycisk „przejdź do sprawdzania hasła”. Google podpowie ci, gdzie widzi podatność na jego przejęcie.
Domeny broń jak niepodległości
Poprawna konfiguracja domeny to nie tylko jej odpowiednie przekierowania pod optymalizację SEO oraz zainstalowanie certyfikatu SSL, aby szyfrować dane użytkowników. Musimy pamiętać jeszcze o tym, że ktoś może próbować się pod nas podszywać lub może chcieć przejąć naszą domenę.
Z prawnego punktu widzenia lepiej zabezpieczyć swoje prawa do domeny zanim zrobi to ktoś inny. Dodatkowo, jeśli twoją stronę tworzyła od A do Z zewnętrzna firma, upewnij się w bazie WHOIS, (np. pod adresem who.is), kto jest właścicielem domeny. Niektóre firmy rejestrują je na swoje dane, co może spowodować wiele problemów w przyszłości.
Pamiętaj również, że złośliwy atakujący może wykorzystać znaki specjalne, aby stworzyć link do domeny, która będzie wyglądała jak twoja. Może również wykorzystać popularne pomyłki – literówki, przez które użytkownicy wylądują na jego stronie zamiast twojej. Warto się przed tym zabezpieczyć, zajmując najbardziej podatne domeny i przekierowując je na własną, właściwą. Przykład: interiaa.pl przekierowuje na reklamę Amazon Prime, a ponieważ o literówkę łatwo, jej właściciel może liczyć na spory darmowy ruch. Właściciel takiej strony może również zarabiać na afiliacji, przypisując sobie zasługi późniejszej sprzedaży produktu. Pamiętaj, jeśli masz program afiliacyjny, zwróć na to szczególną uwagę.
Dobra rada:
Planując nową usługę lub produkt, należy dobrze przemyśleć nazwę domeny. Jeśli uruchomisz sprzedaż odkurzaczy pod adresem dobre-odkurzacze.pl, nie ma gwarancji, że zdobędziesz wysokie miejsca w wynikach wyszukiwania Google na nazwę własną, którą jest popularna fraza „dobre odkurzacze”. Lepiej idź w kierunku nazwy „odkurzacze” + nazwa własna, w ramach której będziesz mógł jasno bronić swojej marki i rejestrować znak handlowy.
Wizytówka, której trzeba pilnować
Strona wyników wyszukiwania, w branży nazywana po prostu SERP, (od Search Engine Results Page) to również źródło wiedzy o naszej firmie. Staraj się systematycznie monitorować wyniki na nazwę swojej firmy, aby sprawdzać, co widzi użytkownik Google. Doświadczenie uczy, że złe oceny i opinie w wizytówce w Google Moja Firma mogą bardzo negatywnie wpłynąć na sprzedaż. Problem w tym, że bardzo niezadowolony klient lub złośliwa konkurencja z łatwością mogą wypozycjonować niepożądane wyniki na naszą markę. Mowa zarówno o negatywnych treściach w serwisach takich jak GoWork, jak i specjalnie stworzonych stronach i wpisach w katalogach, które mają za zadanie nas oczernić. W zdecydowanej większości przypadków proste śledztwo, czyli analiza linków przychodzących, jest w stanie pokazać, że ta wysoko pojawiająca się negatywna opinia była wspomagana zakupionymi linkami, aby znaleźć się na wysokim miejscu w Google.
Specjaliści od pozycjonowania znają wiele sposobów, by zapobiegać takim sytuacjom. Ich prace najprościej można opisać, mówiąc, że dbają o to, aby w sieci uwypuklać i eksponować te miejsca, które piszą o nas pozytywnie, a następnie, technikami znanymi z tradycyjnego SEO, umieszczają takie wyniki wysoko na stronie wyników wyszukiwania.(Na marginesie: jeśli kontrowersyjna firma ma same pozytywy po wpisaniu jej nazwy do wyszukiwarki, można śmiało założyć, że maczał w tym palce dobry pozycjoner). Pamiętajmy więc o systematycznym monitoringu oraz wdrożeniu procedury stałego budowania opinii o swojej firmie w najważniejszych dla danej branży miejscach. Jednym z nich jest oczywiście wizytówka w Google.
Dobra rada:
Google Alerts to usługa, w której możesz śledzić pojawienie się twojej nazwy firmy, hasła czy imienia i nazwiska w wynikach wyszukiwania. Niestety nie jest to narzędzie doskonałe i lepiej skorzystać z innych rozwiązań dostępnych na rynku. Podpowiadam, że służą one do wielu działań marketingowych, a dbanie o bezpieczeństwo jest tylko ułamkiem ich zastosowań. Są to m.in. Unamo, Brand24 czy Sentione.
Krzysztof Marzec, CEO w DevaGroup, agencji z tytułem Partner Google Premier i Google Rising Star. Trener SEO, Google Ads & Analytics. Szkolił najlepsze agencje i domy mediowe bezpośrednio na zlecenie Google oraz szkolił w Akademii Google Partners. Autor dwóch książek, wielu fachowych artykułów i wysoko ocenianych kursów online. Wykładowca m.in. Uniwersytetu Jagiellońskiego oraz Wyższej Szkoły Europejskiej im. Józefa Tischnera. Pomysłodawca i organizator semKRK skupiającego nawet 500 uczestników barcampu branży SEM .