Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Претендент на покупку «Ведомостей» пригрозил отказом от сделки Претендент на покупку «Ведомостей» пригрозил отказом от сделки

Алексей Голубович предупредил о возможном отказе от покупки «Ведомостей»

Forbes
Теснота и инфернальные машины: как кинематограф обнажает наш страх перед будущим Теснота и инфернальные машины: как кинематограф обнажает наш страх перед будущим

Какие лейтмотивы мрачного города просматриваются в киноработах современности

Forbes
Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России

Более половины малых ретейлеров теряют 50% оборота

Forbes
Названы продукты, которые нельзя греть в микроволновке Названы продукты, которые нельзя греть в микроволновке

Какие продукты нельзя не только готовить, но и подогревать в микроволновке

Популярная механика
Снаружи всех измерений: почему Егор Летов — великий Снаружи всех измерений: почему Егор Летов — великий

Что главный панк русской музыки делал снаружи всех измерений

Esquire
Как индустрии выживают в период пандемии: ювелирно-часовой бизнес Как индустрии выживают в период пандемии: ювелирно-часовой бизнес

Проблемы, с которыми столкнулись представители ювелирно-часового бизнеса

РБК
Павел Волчков: «Ваш холодильник будет заказывать вам еду по вашему индивидуальному графику питания» Павел Волчков: «Ваш холодильник будет заказывать вам еду по вашему индивидуальному графику питания»

Человек-генетик о том, что будущее – в персонализации всего

Maxim
Клетки человека научили встраивать в белки неканонические аминокислоты Клетки человека научили встраивать в белки неканонические аминокислоты

Эти модифицированные клетки выжили и дали потомство в организме мышей

N+1
Митохондриальная Ева: был ли у человечества общий предок? Митохондриальная Ева: был ли у человечества общий предок?

Что означает понятие «последний общий предок всего человечества»

Популярная механика
Русью пахнет Русью пахнет

Усадебные пейзажи художника Сергея Виноградова послужили прообразом для дома

AD
Из минёров в танкисты: боевой путь слесаря Егорова Из минёров в танкисты: боевой путь слесаря Егорова

Рассказы о войне: история службы слесаря Егорова

Популярная механика
Вооружение Вооружение

Первая часть ответов на вопросы о вооружении стран времен Второй мировой войны

Дилетант
Все по домам. О том, как новая метла зачищает «Ведомости» Все по домам. О том, как новая метла зачищает «Ведомости»

У исполняющего обязанности главного редактора «Ведомостей» беспокойная жизнь

СНОБ
Человек-эпоха: отрывок из последней книги Эдуарда Лимонова «Старик путешествует» Человек-эпоха: отрывок из последней книги Эдуарда Лимонова «Старик путешествует»

Фрагменты из последний книги Лимонова: посещение им Франции в 2018-2019 годах

Esquire
Лестница… не только для рыб Лестница… не только для рыб

Зачем рыбам лестница?

Наука и жизнь
От мамонта до вертолетов ВВС США: что может поднять Ми-26 От мамонта до вертолетов ВВС США: что может поднять Ми-26

Самый большой вертолет в мире из ныне существующих был построен в нашей стране

Популярная механика
Как выжить на карантине с родителями Как выжить на карантине с родителями

Инструкция, которая нужна вам не меньше маски и антиспетика

GQ
Стартапы, в которых хочется работать. Рейтинг Forbes Стартапы, в которых хочется работать. Рейтинг Forbes

Лучшие работодатели среди недавно созданных компаний — в рейтинге Forbes

Forbes
Главный редактор издательства БОМБОРА Рамиль Фасхутдинов: Мы стоим перед угрозой потери всего книжного рынка Главный редактор издательства БОМБОРА Рамиль Фасхутдинов: Мы стоим перед угрозой потери всего книжного рынка

Что происходит на книжном рынке и как выживают книжные магазины

СНОБ
Клиенты вынесли из Сбербанка $1,5 млрд за месяц Клиенты вынесли из Сбербанка $1,5 млрд за месяц

Валютные вклады населения в Сбербанке в пересчете на доллары сократились

Forbes
Лайфхаки от космонавтов: как Гагарин и Леонов справлялись с самоизоляцией Лайфхаки от космонавтов: как Гагарин и Леонов справлялись с самоизоляцией

Чему мы можем поучиться у космонавтов, подводников и полярников?

Psychologies
Все мужчины «старшей сестры». Кого любила актриса Оксана Акиньшина Все мужчины «старшей сестры». Кого любила актриса Оксана Акиньшина

После киноленты «Сестры» 13-летняя девочка проснулась знаменитой

Cosmopolitan
Обнуление. Оставьте себя в покое Обнуление. Оставьте себя в покое

Кажется, мы нашли новый способ пережить стрессовые рабочие нагрузки

Glamour
10 актеров, уволенных прямо во время съемок 10 актеров, уволенных прямо во время съемок

Казалось бы, эти люди пользовались уважением в рабочем коллективе!

Maxim
Невидимый враг: «безобидные» привычки, которые могут привести к раку Невидимый враг: «безобидные» привычки, которые могут привести к раку

Проверьте, нет ли у вас этих смертельно опасных привычек

Cosmopolitan
Сладкая жизнь: почему не стоит отказываться от сахара Сладкая жизнь: почему не стоит отказываться от сахара

Диета без сладкого может быть вредна

Cosmopolitan
Фейсбук-проповеди, мамблкор, VR: что и как мы смотрим в эпоху пандемии Фейсбук-проповеди, мамблкор, VR: что и как мы смотрим в эпоху пандемии

Какие жанры служат смысловыми ориентирами и формируют зрительские привычки

РБК
Муха на стене: что значит изолироваться по-настоящему Муха на стене: что значит изолироваться по-настоящему

Для чего нас на самом деле нужна самоизоляция и что значит быть «мухой на стене»

РБК
Сергей Янчуков: «Деньги здесь не быстрые, но мы осознанно инвестируем миллиарды» Сергей Янчуков: «Деньги здесь не быстрые, но мы осознанно инвестируем миллиарды»

Что такое развивать бизнес в забайкальской тайге и как помогает государство

Forbes
Почему человеку особенно плохо в январе, феврале, марте, апреле, мае, июне, июле, а также в августе, сентябре, октябре, ноябре и декабре Почему человеку особенно плохо в январе, феврале, марте, апреле, мае, июне, июле, а также в августе, сентябре, октябре, ноябре и декабре

Почему мы в России всегда страдаем (и это нормально)

Esquire
Открыть в приложении