Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

С места наверх С места наверх

Настоящая история человека, который первым на Земле просто взял и полетел

Популярная механика
Вспыхнула ярчайшая сверхновая в истории Вспыхнула ярчайшая сверхновая в истории

Вспышка сверхновой прошла по необычному любопытному сценарию

Популярная механика
Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России

Более половины малых ретейлеров теряют 50% оборота

Forbes
«Перелеты за рубеж восстановятся к Новому году»:  как Aviasales потерял 88% выручки и к чему теперь готовится «Перелеты за рубеж восстановятся к Новому году»:  как Aviasales потерял 88% выручки и к чему теперь готовится

Куда россияне улетели на время пандемии и как будет возобновляться авиасообщение

Forbes
Критический реализм Критический реализм

На Крите можно купаться и загорать с мая по октябрь

Cosmopolitan
Девушка, оправдавшая надежды Девушка, оправдавшая надежды

За ангельской внешностью Кэри Маллиган скрывается неожиданная решительность

Glamour
Что нам мешает обратиться к психотерапевту Что нам мешает обратиться к психотерапевту

Перечень нелепых предубеждений, которые оттягивают наш поход к психотерапевту

Psychologies
Новый мир Новый мир

Покрас Лампас един в ролях пифии, футуролога и антикризисного менеджера

Собака.ru
В России открыли новый способ поиска сверхпроводников В России открыли новый способ поиска сверхпроводников

Положение элемента в Периодической таблице связано со сверхпроводниками

Популярная механика
Гены гигантских вирусов могут контролировать хозяев: загадка природы Гены гигантских вирусов могут контролировать хозяев: загадка природы

Гигантские вирусы опровергают все наши представления о вирусах как о форме жизни

Популярная механика
Как в Windows 10 использовать удаленный рабочий стол Как в Windows 10 использовать удаленный рабочий стол

Удаленное управление компьютером - очень удобная функция

CHIP
Живой? Что связывает нас с Лениным спустя 150 лет Живой? Что связывает нас с Лениным спустя 150 лет

Для современных правителей России Ленин оказывается неудобным отцом

СНОБ
«Снижение доходов и увольнения неизбежны»: с каким финансовым багажом россияне подошли к новому кризису «Снижение доходов и увольнения неизбежны»: с каким финансовым багажом россияне подошли к новому кризису

Последствиями режима самоизоляции станут увольнение и снижение доходов

Forbes
Будущее, которое никому не нужно: почему обязательная маркировка товаров бесполезна для экономики Будущее, которое никому не нужно: почему обязательная маркировка товаров бесполезна для экономики

Предприниматели просят приостановить внедрение обязательной маркировки товара

Forbes
День сурка. Правила выживания на карантине от инвестора Дмитрия Волкова День сурка. Правила выживания на карантине от инвестора Дмитрия Волкова

Нынешняя эпидемия не знает классовых различий — сидят на карантине и болеют все

Forbes
Дом на озере Дом на озере

Современный фахверк с уникальным авторским интерьером

SALON-Interior
Не надо стесняться Не надо стесняться

Кто они? Активистки движения «акне-позитив». Чего они хотят?

Glamour
В Голливуд из глубинки! Как выглядели русские модели до того, как прославились В Голливуд из глубинки! Как выглядели русские модели до того, как прославились

Как выглядели "наши" топ-модели до того, как добились успеха на западе

Cosmopolitan
«Это иллюзия, что доставка может спасти»: почему рестораны в кризис полностью останавливают работу «Это иллюзия, что доставка может спасти»: почему рестораны в кризис полностью останавливают работу

Владельцы ресторанов и других заведений рассказали, как переживают «заморозку»

VC.RU
Как заработать миллиарды на чужих судебных спорах Как заработать миллиарды на чужих судебных спорах

Судебные инвестиции — отрасль в России новая, но набирающая обороты

Forbes
Книги детям Книги детям

Специальная подборка книг для детей

Psychologies
Кирилл Селегей: «Даже если у тебя талант — херачь. Херачить никогда не будет лишним» Кирилл Селегей: «Даже если у тебя талант — херачь. Херачить никогда не будет лишним»

Комик из Новосибирска Кирилл Селегей цинично шутит и не признает самоцензуры

Esquire
Почему кровоточат десны Почему кровоточат десны

Как бороться с воспалительными заболеваниями десен?

Лиза
Глава 4: Наследие Глава 4: Наследие

– Мальчик, ты не понял. Водочки нам принеси, мы домой летим!

Esquire
Жизнь без купюр Жизнь без купюр

Уже завтра получать, копить и тратить деньги люди будут совершенно по‑новому

GQ
«Игра в приставку разрушает нашу семью» «Игра в приставку разрушает нашу семью»

37-летняя Алиса часто ссорится с мужем из-за его пристрастия к онлайн-играм

Psychologies
Предлагали секс и делали грязные намеки: актрисы о домогательствах режиссеров Предлагали секс и делали грязные намеки: актрисы о домогательствах режиссеров

Нашумевшая история с Харви Вайнштейном никого не оставила равнодушным

Cosmopolitan
10 мифов о Ларсе фон Триере 10 мифов о Ларсе фон Триере

Какие из многочисленных мифов о Ларсе фон Триере правдивы

Esquire
Подвиг маркетолога Подвиг маркетолога

Мы собрали успешные истории бизнес-хакеров, которые нашли обходные пути

Maxim
Будущее сейчас: почему обязательная маркировка — не прихоть, а неизбежность Будущее сейчас: почему обязательная маркировка — не прихоть, а неизбежность

Мнение о внедрении обязательной маркировки товаров

Forbes
Открыть в приложении