Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Сложно, но можно. Как помочь своему ребенку стать предпринимателем Сложно, но можно. Как помочь своему ребенку стать предпринимателем

Подробная инструкция как это сделать, если вы решились

Forbes
Правила жизни Мика Джаггера Правила жизни Мика Джаггера

Правила жизни музыканта Мика Джаггера

Esquire
«Падшие ангелы», монеты и евробонды: во что во время пандемии вкладывают деньги миллионеры «Падшие ангелы», монеты и евробонды: во что во время пандемии вкладывают деньги миллионеры

Состоятельные клиенты не долго находились в состоянии шока от падения рынков

Forbes
Детективные триллеры: 18 лучших картин для захватывающего вечера Детективные триллеры: 18 лучших картин для захватывающего вечера

Готов пощекотать себе нервы?

Playboy
Пекарские дрожжи научили производить псилоцибин Пекарские дрожжи научили производить псилоцибин

Ученые внедрили дрожжам гены ферментов, обеспечивающих синтез псилоцибина

N+1
Как ЗОЖ превратился в невроз Как ЗОЖ превратился в невроз

Наше стремление к гармонии тела обернулось попытками выжать из него максимум

Robb Report
14 киноляпов из голливудских блокбастеров 14 киноляпов из голливудских блокбастеров

Ляпы в известных голливудских фильмах

Maxim
7 смешных медицинских открытий: герои Шнобелевской премии 7 смешных медицинских открытий: герои Шнобелевской премии

Открытия, которые сначала заставляют засмеяться, а потом — задуматься

Популярная механика
Охотники за привилегиями Охотники за привилегиями

Василий Степанов об «Охоте» Крейга Зобела

Weekend
Уме Турман - 50! Авария, преследование и другие подробности ее насыщенной жизни Уме Турман - 50! Авария, преследование и другие подробности ее насыщенной жизни

Вспоминаем интересные моменты из насыщенной биографии Умы Турман

Cosmopolitan
Таламус поучаствовал в принятии вероятностных решений Таламус поучаствовал в принятии вероятностных решений

Ученые выяснили, как определяется принятие вероятностных решений

N+1
Метеориты выдали несколько изолированных резервуаров воды в мантии Марса Метеориты выдали несколько изолированных резервуаров воды в мантии Марса

Формирование Марса не сопровождалось активным перемешиванием мантии

N+1
Ровные, белые, свои Ровные, белые, свои

Зубы — конечно, самая крепкая кость в нашем организме, но иногда ломаются и они

Добрые советы
Выше моих сил Выше моих сил

Который год у тебя одна должность и зарплата – и перспектив не видно

Cosmopolitan
Какая разница! Звездные пары, в которых женщина старше мужчины Какая разница! Звездные пары, в которых женщина старше мужчины

Некоторые думают, что большая разница в возрасте — однозначный минус

Cosmopolitan
Спектр распада Спектр распада

Что астрофизики увидели в спектре кометы ATLAS

N+1
«Мы тренируемся на улицах. Олимпийские чемпионы соревнуются с соседскими детьми» «Мы тренируемся на улицах. Олимпийские чемпионы соревнуются с соседскими детьми»

Монологи спортсменов, чью мечту об Олимпиаде в Токио разрушила пандемия

GQ
Здоровая спина Здоровая спина

Эти упражнения помогут укрепить мышцы спины и позвоночник

Домашний Очаг
Не надо красить тонущий корабль. 10 советов хорошему менеджеру Не надо красить тонущий корабль. 10 советов хорошему менеджеру

Отрывок из книги «В главных ролях» Татьяны Рунге об управлении сотрудниками

Forbes
11 привычек, которые разрушают наш позвоночник 11 привычек, которые разрушают наш позвоночник

Проверьте, нет ли этих привычек в вашем арсенале?

Cosmopolitan
Верхом на танкере: зачем матерые лоцманы играют в кораблики Верхом на танкере: зачем матерые лоцманы играют в кораблики

Профессионализм моряков может вызывать восхищение, но как они его нарабатывают?

Популярная механика
Одна вокруг света: как проходят карантинные будни в США Одна вокруг света: как проходят карантинные будни в США

Новая серия о кругосветном путешествии москвички Ирины Сидоренко

Forbes
«Снижение доходов и увольнения неизбежны»: с каким финансовым багажом россияне подошли к новому кризису «Снижение доходов и увольнения неизбежны»: с каким финансовым багажом россияне подошли к новому кризису

Последствиями режима самоизоляции станут увольнение и снижение доходов

Forbes
Как получить разрешение на хранение и ношение оружия: полное руководство Как получить разрешение на хранение и ношение оружия: полное руководство

Как получить разрешение на оружие и использовать его (строго по назначению)?

Playboy
У них есть брат и сестра! Всё о родственниках принцев Гарри и Уильяма У них есть брат и сестра! Всё о родственниках принцев Гарри и Уильяма

Есть темы, на которые Виндзоры говорят неохотно

Cosmopolitan
Смерть нам не к лицу: 5 видов оружия, которым не стоит воевать Смерть нам не к лицу: 5 видов оружия, которым не стоит воевать

Есть оружие, применения которого лучше не допускать

Популярная механика
Экосистема трупа: как живет тело сразу после смерти Экосистема трупа: как живет тело сразу после смерти

Как бы жутко это не прозвучало, но после смерти тело продолжает жить

Популярная механика
Уши эльфа и пупок-вагина — самые странные запросы к пластическому хирургу Уши эльфа и пупок-вагина — самые странные запросы к пластическому хирургу

Самые курьезные и странные запросы на пластические операции

Cosmopolitan
Удобрения заставили озера накопить больше углерода Удобрения заставили озера накопить больше углерода

Поступающий в озера фосфор приводит к усиленному накоплению углерода

N+1
Лептин: что это за гормон и почему он мешает похудеть Лептин: что это за гормон и почему он мешает похудеть

Почему для некоторых работает одна схема похудения, а для других — нет?

Psychologies
Открыть в приложении