Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Хочешь победить в конкуренции — считай! Хочешь победить в конкуренции — считай!

Суперкомпьютерная отрасль в нашей стране переживает не самые простые времена

Наука и жизнь
Страна троечников. Как избавиться от вечной нехватки денег и обрести финансовую свободу Страна троечников. Как избавиться от вечной нехватки денег и обрести финансовую свободу

Отрывок из книги «Деньги делают деньги» с реальными примерами и рекомендациями

Forbes
Бешеные деньги Бешеные деньги

Правила жизни в эпоху низких ставок

Forbes
Выживут только бюджетники: где искать работу, если вас уволили в разгар карантина Выживут только бюджетники: где искать работу, если вас уволили в разгар карантина

Пандемия диктует рынку труда свои правила

Forbes
Чем прославился Анатолий Кашпировский Чем прославился Анатолий Кашпировский

Мы ударились в ностальгию и вспомнили подвиги главного волшебника позднего СССР

РБК
Жирные кислоты и насыщенные углеводороды сделали крылья цикад бактерицидными Жирные кислоты и насыщенные углеводороды сделали крылья цикад бактерицидными

Химический состав крылышек важен не меньше, чем рельеф их поверхности

N+1
Почему часовые мануфактуры так хотят работать с сапфировым стеклом Почему часовые мануфактуры так хотят работать с сапфировым стеклом

Почему только Hublot достигли в обработке сапфирового стекла невероятных успехов

GQ
Серьезный замес: как замешать раствор вручную Серьезный замес: как замешать раствор вручную

Задумали залить стяжку или сделать кладку и не знаете, чем замесить раствор?

CHIP
Хотеть не вредно: самые быстрые машины Советов Хотеть не вредно: самые быстрые машины Советов

Краткий ликбез на тему советского спортакаростроения

Популярная механика
Основной инстинкт: почему кошки не ладят с собаками Основной инстинкт: почему кошки не ладят с собаками

Как наука объясняет сложные отношения между кошками и собаками

Популярная механика
5 привычек, опасных для мозга (от них нужно срочно избавиться) 5 привычек, опасных для мозга (от них нужно срочно избавиться)

Мозг — один из самых главных органов в твоем теле

Playboy
Мини-арсенал Мини-арсенал

Точнейшие миниатюрные копии стрелкового оружия, из которых можно и пострелять

Популярная механика
Травля в школе, депрессия и миллионы: история актера и борца Дуэйна Джонсона Травля в школе, депрессия и миллионы: история актера и борца Дуэйна Джонсона

Не простой путь Дуэйна Джонсона к славе

Cosmopolitan
Российские инженеры создали первую точную реконструкцию самолета Ла-5 Российские инженеры создали первую точную реконструкцию самолета Ла-5

Ла-5 — единственный массовый цельнодеревянный истребитель Второй мировой войны

Популярная механика
«Для вас карантин — это шок, а для нас это обычная жизнь». Эксперты об изоляции семей с аутичными детьми «Для вас карантин — это шок, а для нас это обычная жизнь». Эксперты об изоляции семей с аутичными детьми

Почему опыт особых семей сегодня актуален для всех

СНОБ
Летучие мыши ни при чем: в Китае нашли нулевую пациентку, с которой началась эпидемия Летучие мыши ни при чем: в Китае нашли нулевую пациентку, с которой началась эпидемия

Расследование пути передачи инфекции в Китае привело к женщине

Домашний Очаг
Он того стоит! Он того стоит!

Рассказываем, почему Цюрих представляет интерес не только для финансовых воротил

Cosmopolitan
7 подкастов о том, как бизнесмены и стартаперы переживают кризис и пандемию 7 подкастов о том, как бизнесмены и стартаперы переживают кризис и пандемию

Подкасты про бизнес, где звучат голоса тех, кто сейчас работает на износ

Forbes
Александр Тимофеевский. Человек со стороны Александр Тимофеевский. Человек со стороны

11 апреля на 62 году жизни скончался Александр Тимофеевский-младший

СНОБ
Дмитрий Ковпак: Какие уроки извлек Китай из пандемии Дмитрий Ковпак: Какие уроки извлек Китай из пандемии

Как Китай смог справиться с кризисной воронкой

СНОБ
Норма давления по возрастам у мужчин: все, что нужно знать об этом жизненно важном показателе Норма давления по возрастам у мужчин: все, что нужно знать об этом жизненно важном показателе

Эти цифры нужно знать

Playboy
Золото Калифорнии Золото Калифорнии

Креативный директор марки Agolde Эрин Миэн знает толк в винтаже

Vogue
Почему не стоит избегать сандалий с ортопедической подошвой Почему не стоит избегать сандалий с ортопедической подошвой

Вступаемся за обувь, которую несправедливо называют уродливой

GQ
«Шьем прямо в кинозалах»: как предприниматель из Калининграда спасает региональные кинотеатры от разорения «Шьем прямо в кинозалах»: как предприниматель из Калининграда спасает региональные кинотеатры от разорения

Владелец кинотеатров стал шить тканевые маски силами сотрудников

Forbes
Постоянную тонкой структуры проверили на постоянство Постоянную тонкой структуры проверили на постоянство

Физическая константа за последние 13 миллиардов лет сохраняла свое значение

N+1
В стране невыученных уроков. Какие меры должны срочно принять власти ради спасения экономики России В стране невыученных уроков. Какие меры должны срочно принять власти ради спасения экономики России

Март стал для мировой экономики месяцем серьезных испытаний

СНОБ
8 фильмов, в которых главные герои все время спали 8 фильмов, в которых главные герои все время спали

Несколько идей, как даже в царстве Морфея провести время увлекательно

GQ
Свинец в альпийских льдах рассказал о возвышении и крахе английских королей Свинец в альпийских льдах рассказал о возвышении и крахе английских королей

С помощью свинца можно с высокой точностью проследить за политическими кризисами

N+1
Антипрививочники преувеличили последствия катастроф и болезней Антипрививочники преувеличили последствия катастроф и болезней

Противники вакцинации склонны преувеличивать последствия негативных событий

N+1
Адам Хиггинботам: Чернобыль: История катастрофы Адам Хиггинботам: Чернобыль: История катастрофы

Одна из глав книги журналиста Адама Хиггинботама «Чернобыль: История катастрофы»

СНОБ
Открыть в приложении