Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Независимость на зависть Независимость на зависть

Как автономные дома делают из обычных горожан самостоятельных людей

РБК
Последствия войны Последствия войны

Ответы на вопросы о последствиях Второй мировой войны

Дилетант
«Падшие ангелы», монеты и евробонды: во что во время пандемии вкладывают деньги миллионеры «Падшие ангелы», монеты и евробонды: во что во время пандемии вкладывают деньги миллионеры

Состоятельные клиенты не долго находились в состоянии шока от падения рынков

Forbes
Звезда будет Звезда будет

Астрономы обнаружили звезду, которая слишком близко подлетела к черной дыре

Популярная механика
Это аутоиммунное Это аутоиммунное

Как ученые поверили, что иммунитет может вредить организму, и начали это лечить

N+1
«Бизнес был – сейчас бизнеса нет»: владелец ГУМа оценил потери от режима самоизоляции в миллиарды рублей «Бизнес был – сейчас бизнеса нет»: владелец ГУМа оценил потери от режима самоизоляции в миллиарды рублей

Президент группы компаний Bosco di Ciliegi рассказал, как переживает карантин

Forbes
«Ненавижу машины, которые напоминают мне Брежнева», и другие незабвенные цитаты Джереми Кларксона «Ненавижу машины, которые напоминают мне Брежнева», и другие незабвенные цитаты Джереми Кларксона

Джереми Кларксон о любви и ненависти к автомобилям и людям

Maxim
Куда пропали Елена Корикова, Ирина Апексимова и другие звезды нулевых Куда пропали Елена Корикова, Ирина Апексимова и другие звезды нулевых

Рассказываем, как сложились судьбы актрис, которые пропали с экранов

Cosmopolitan
Муха на стене: что значит изолироваться по-настоящему Муха на стене: что значит изолироваться по-настоящему

Для чего нас на самом деле нужна самоизоляция и что значит быть «мухой на стене»

РБК
В любой ситуации нельзя опускать руки! В любой ситуации нельзя опускать руки!

Героиня этой истории пережила предательство и попала в сложные обстоятельства

Лиза
Опасная игра Степана Вареникова. 10 детективных загадок Опасная игра Степана Вареникова. 10 детективных загадок

Криминальные задачи

Maxim
7 фильмов в изоляции: что посмотреть с детьми 7 фильмов в изоляции: что посмотреть с детьми

Карантин — отличный повод посмотреть всей семьей фильмы или мультфильмы

Psychologies
Смерть нам не к лицу: 5 видов оружия, которым не стоит воевать Смерть нам не к лицу: 5 видов оружия, которым не стоит воевать

Есть оружие, применения которого лучше не допускать

Популярная механика
В сердце города В сердце города

Роскошный пентхаус с открытой террасой и хаммамом на крыше

SALON-Interior
Кариес, уходи! 8 советов, как сохранить здоровье зубов Кариес, уходи! 8 советов, как сохранить здоровье зубов

Как сэкономить на лечении зубов и ходить только на плановые осмотры

Cosmopolitan
Сергей Шолохов. Это было недавно... Сергей Шолохов. Это было недавно...

Закадровые истории журналиста Сергея Шолохова

Караван историй
Выдающаяся фантастика о взлетах, падениях и развитии цивилизации Выдающаяся фантастика о взлетах, падениях и развитии цивилизации

Подборка самых интересных романов о взлетах и падениях цивилизаций будущего

Популярная механика
Пересадка стволовых клеток от одного стерильного самца другому восстановила фертильность мышей Пересадка стволовых клеток от одного стерильного самца другому восстановила фертильность мышей

Восстановление фертильности произошло в результате изменения баланса клаудинов

N+1
10 самых недооцененных фантастических фильмов последних 10 лет 10 самых недооцененных фантастических фильмов последних 10 лет

Пришельцы, постапокалипсис, война, катастрофы!

Maxim
Угрожал разводом и поднимал руку: через что прошла Муцениеце в браке с Прилучным Угрожал разводом и поднимал руку: через что прошла Муцениеце в браке с Прилучным

Через какие сложности Агате Муцениеце с мужем пришлось пройти за годы брака

Cosmopolitan
Новая норма Новая норма

Свежее поколение брендов играет по правилам, которые придумывает здесь и сейчас

Vogue
История летчика, который на спор дважды приземлился на улицах Нью-Йорка пьяным История летчика, который на спор дважды приземлился на улицах Нью-Йорка пьяным

На дворе стояла теплая сентябрьская ночь 1956 года

Maxim
Слишком вирусный маркетинг. Тина Канделаки о том, что случилось с рынком косметики из-за пандемии Слишком вирусный маркетинг. Тина Канделаки о том, что случилось с рынком косметики из-за пандемии

Тина Канделаки рассказывает о том, что прямо сейчас переживает ее бизнес

Forbes
Джесси Айзенберг: «Талантливые люди всегда одиноки» Джесси Айзенберг: «Талантливые люди всегда одиноки»

Интервью с Джесси Айзенбергом о стеснительности и своем «неголливудском» образе

Cosmopolitan
Миллиардер, который не дружит с цифрами: Канье Уэст официально попал в список Forbes Миллиардер, который не дружит с цифрами: Канье Уэст официально попал в список Forbes

Звезда хип-хопа Канье склонен преувеличивать и не в ладах в цифрах

Forbes
Семь опасных предметов в вашем доме Семь опасных предметов в вашем доме

Вещи, которые могут представлять серьезную угрозу здоровью

Домашний Очаг
Стресс от удара током помешал найти Джорджа Клуни в виртуальном пространстве Стресс от удара током помешал найти Джорджа Клуни в виртуальном пространстве

Как стресс влияет на способность планировать и на эпизодическую память

N+1
Карантинное чтение: научно-фантастический рассказ Карантинное чтение: научно-фантастический рассказ

Научно-фантастический рассказ, который поможет вам скрасить домашнюю изоляцию

Популярная механика
Судороги от свежего воздуха помешали голым землекопам уйти из дома Судороги от свежего воздуха помешали голым землекопам уйти из дома

Судя по всему, землекопы «сэкономили» на механизмах торможения нейронов

N+1
Внутреннее ухо рассказало об уходе крокодиломорфов в воду Внутреннее ухо рассказало об уходе крокодиломорфов в воду

Он происходил не так, как у китообразных

N+1
Открыть в приложении