Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Хуже, чем СПИД и Вьетнам: как самоизоляция подкосила поколение 30-летних Хуже, чем СПИД и Вьетнам: как самоизоляция подкосила поколение 30-летних

Миллениалы чаще остальных страдают от стресса во время карантина

Forbes
«Если учитель сейчас выступает в роли “говорящей головы”, значит, он и раньше ею был». Руководители школ о дистанционном обучении «Если учитель сейчас выступает в роли “говорящей головы”, значит, он и раньше ею был». Руководители школ о дистанционном обучении

Как школы адаптируются к новым условиям: дискуссия

СНОБ
Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России

Более половины малых ретейлеров теряют 50% оборота

Forbes
Владимир Витковский. Человек без поводка Владимир Витковский. Человек без поводка

Художник и бывший моряк-подводник Владимир Витковский

Караван историй
Минимум совещаний и полупустые кинозалы: как мы будем жить после самоизоляции Минимум совещаний и полупустые кинозалы: как мы будем жить после самоизоляции

Люди могут столкнуться полупустыми залами кинотеатров и виртуальными очередями

Forbes
Самые угоняемые автомобили в России. Рейтинг Самые угоняемые автомобили в России. Рейтинг

Страховщики отмечают рост краж автомобилей из Южной Кореи

РБК
Как разрушаются берега Российской Арктики: новое исследование Как разрушаются берега Российской Арктики: новое исследование

С какой скоростью разрушается эта часть уникального северного региона

Популярная механика
Ровные, белые, свои Ровные, белые, свои

Зубы — конечно, самая крепкая кость в нашем организме, но иногда ломаются и они

Добрые советы
Циник и главный пессимист Голливуда: карьера Вуди Аллена — от стендапа до эпохи MeToo Циник и главный пессимист Голливуда: карьера Вуди Аллена — от стендапа до эпохи MeToo

Вместо прежних славословий в последние годы вокруг Вуди Аллена полыхают скандалы

Esquire
Алексей Щербаков: «Я злой, хороший, неприятный человек» Алексей Щербаков: «Я злой, хороший, неприятный человек»

Алексей Щербаков о том, изменили ли его деньги, о феминизме и успехе

Esquire
Седлать коней! Седлать коней!

Юлия Пересильд даже в условиях карантина не пропадает с радаров

OK!
Николя Барро: Любовные письма с Монмартра Николя Барро: Любовные письма с Монмартра

Смерть жены выбивает молодого писателя Жюльена Азуле из колеи

СНОБ
Среди динозавров наконец-то отыскали хороших пловцов Среди динозавров наконец-то отыскали хороших пловцов

Строение позвонков спинозавра указало на то, что этот динозавр хорошо плавал

N+1
Выйти на воздух Выйти на воздух

Фитнес на улице – это самое модное увлечение тёплого сезона

Здоровье
Охотники за привилегиями Охотники за привилегиями

Василий Степанов об «Охоте» Крейга Зобела

Weekend
Лайфхаки от космонавтов: как Гагарин и Леонов справлялись с самоизоляцией Лайфхаки от космонавтов: как Гагарин и Леонов справлялись с самоизоляцией

Чему мы можем поучиться у космонавтов, подводников и полярников?

Psychologies
Родите – пройдёт: как и почему женщин отказываются лечить Родите – пройдёт: как и почему женщин отказываются лечить

Женщины вовремя обращаются к врачам, но все равно позже получают верный диагноз

Cosmopolitan
Ученые предрекли почти полное летнее таяние морского льда в Арктике к 2050 году Ученые предрекли почти полное летнее таяние морского льда в Арктике к 2050 году

Начиная с 2050 года на Северном полюсе в период летнего таяния не будет льда

N+1
Карантинное чтение: научно-фантастический рассказ Карантинное чтение: научно-фантастический рассказ

Научно-фантастический рассказ, который поможет вам скрасить домашнюю изоляцию

Популярная механика
Можно ли ходить в баню при простуде: отвечаем на главный вопрос всех времен и народов Можно ли ходить в баню при простуде: отвечаем на главный вопрос всех времен и народов

Разбираемся во всех тонкостях банного дела

Playboy
Танцуй, пока под водой Танцуй, пока под водой

Больше чем спорт, отчасти искусство, отчасти психологическая практика

Psychologies
Как настроить экранное время и не превращать его в родительский контроль Как настроить экранное время и не превращать его в родительский контроль

Дистанционное обучение многое изменило в нашей жизни

СНОБ
Владимир Мишуков: «Когда уходит близкий человек, рушится мир» Владимир Мишуков: «Когда уходит близкий человек, рушится мир»

Он получил диплом артиста, ушел из профессии и стал одним из лучших фотографов

Добрые советы
Ковбой заходит в БАР Ковбой заходит в БАР

Светский репортер Ариан Романовский нашел у себя модную болезнь — БАР

Tatler
Брат-2 Брат-2

Интервью с бизнесменами Кириллом и Даниилом Карачевыми

Собака.ru
Как сохранить стройность на карантине Как сохранить стройность на карантине

Как питаться в самоизоляции, чтобы сберечь результаты всех похудательных усилий?

Худеем правильно
Лептин: что это за гормон и почему он мешает похудеть Лептин: что это за гормон и почему он мешает похудеть

Почему для некоторых работает одна схема похудения, а для других — нет?

Psychologies
Чем прославился Анатолий Кашпировский Чем прославился Анатолий Кашпировский

Мы ударились в ностальгию и вспомнили подвиги главного волшебника позднего СССР

РБК
Гены гигантских вирусов могут контролировать хозяев: загадка природы Гены гигантских вирусов могут контролировать хозяев: загадка природы

Гигантские вирусы опровергают все наши представления о вирусах как о форме жизни

Популярная механика
Море зовёт Море зовёт

Традиционный яхтенный обзор в майском номере Robb Report

Robb Report
Открыть в приложении