Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Спорт против улицы Спорт против улицы

Как «подсадить» ребенка на спорт

Русский репортер
Мне очень везет в любви Мне очень везет в любви

В прошлом году Дженнифер Энистон исполнилось 50 лет

Добрые советы
Бешеные деньги Бешеные деньги

Правила жизни в эпоху низких ставок

Forbes
Сбежать из реальности и обрести мир: визуализация и управление эмоциями Сбежать из реальности и обрести мир: визуализация и управление эмоциями

Воображение отнесет нас, куда пожелаем и к кому захотим

Psychologies
Красота — в глазах смотрящего Красота — в глазах смотрящего

Юлия Барановская — путешественник с большой буквы

OK!
Мерцающая красота Мерцающая красота

Нет, наверное, человека, которому незнакомо магическое слово "Сваровски"

Караван историй
Салон на дому Салон на дому

Сухая кожа, неровный тон лица и тусклые волосы – последствия самоизоляции

Здоровье
На колесах. Как журналистка запустила производство самых легких инвалидных колясок и велосипедов На колесах. Как журналистка запустила производство самых легких инвалидных колясок и велосипедов

Компания Kinesis производит эргономичные коляски из карбона и алюминия

Forbes
«ОПГ Добрых дел»: как и зачем Евгений Хитьков и команда строят свою альтернативную реальность «ОПГ Добрых дел»: как и зачем Евгений Хитьков и команда строят свою альтернативную реальность

«Пить вино и не сдаваться» — лозунг «ОПГ Добрых дел»

Собака.ru
Рейнор Винн: Соленая тропа Рейнор Винн: Соленая тропа

Отрывок из рассказа о путешествии немолодой семейной пары по Великобритании

СНОБ
Миллиардер, который не дружит с цифрами: Канье Уэст официально попал в список Forbes Миллиардер, который не дружит с цифрами: Канье Уэст официально попал в список Forbes

Звезда хип-хопа Канье склонен преувеличивать и не в ладах в цифрах

Forbes
Последний бой Третьего рейха: боевые машины решающей схватки Последний бой Третьего рейха: боевые машины решающей схватки

Какие именно боевые машины схлестнулись друг с другом в боях за Берлин

Популярная механика
Лед и пламя: кто придумал дизельный двигатель Лед и пламя: кто придумал дизельный двигатель

История изобретения дизельного двигателя

Популярная механика
В Москве госклиники отказываются делать аборты. Почему это происходит В Москве госклиники отказываются делать аборты. Почему это происходит

Московские государственные больницы отказывают женщинам в абортах

СНОБ
«Дeлай что должен» «Дeлай что должен»

Софья Каштанова об эволюции ее героини, сегодняшних реалиях и абсолютном счастье

OK!
Правила жизни Эммы Уотсон Правила жизни Эммы Уотсон

Правила жизни британской киноактрисы и фотомодели

Esquire
Третий после Alibaba и JD: китайский магазин Pinduoduo вырос вдвое за год благодаря группам охотников за экономией Третий после Alibaba и JD: китайский магазин Pinduoduo вырос вдвое за год благодаря группам охотников за экономией

Как устроен магазин с полумиллиардом клиентов

VC.RU
Больше не лезет Больше не лезет

Как вновь ощутить вкус к жизни?

GQ
«Мы думали, что это всё чепуха»: как выживает в кризис русский малый бизнес за границей «Мы думали, что это всё чепуха»: как выживает в кризис русский малый бизнес за границей

Как владельцы малого бизнеса за границей выживают в условиях жесткого карантина

Forbes
Алмаз в оправе российских дорог. Тест-драйв Rolls-Royce Cullinan Алмаз в оправе российских дорог. Тест-драйв Rolls-Royce Cullinan

Прошлый год стал для Rolls-Royce удачным

СНОБ
Зачем в начале 1950-х в США детям делали татуировки с их группой крови Зачем в начале 1950-х в США детям делали татуировки с их группой крови

Программа по татуированию детей в США длилась до окончания Корейской войны

Maxim
Создатели Futurology AI — о «Кэти», ботах и том, как спасти бизнес Создатели Futurology AI — о «Кэти», ботах и том, как спасти бизнес

Как «умные» роботы помогут найти работу и победить кибербуллинг

РБК
Анатолий Котенев. Фамильный колодец Анатолий Котенев. Фамильный колодец

После премьеры "Секретного фарватера" письма Анатолию Котеневу приходили мешками

Караван историй
«Лица века»: как изменились долгожители с возрастом «Лица века»: как изменились долгожители с возрастом

Проект фотографа Яна Лангера «Лица века» получил мировую известность

Cosmopolitan
Брошенные виллы в Испании: что станет с «запасными аэродромами» богатых россиян за рубежом Брошенные виллы в Испании: что станет с «запасными аэродромами» богатых россиян за рубежом

Состоятельные россияне вынуждены менять долгосрочную жизненную стратегию

Forbes
Четыре юных кавалера: истории любви Ирины Аллегровой Четыре юных кавалера: истории любви Ирины Аллегровой

Её называют императрицей российской эстрады не только из-за любимой песни

Cosmopolitan
Арендатор vs арендодатель. Кто кому на самом деле должен? Арендатор vs арендодатель. Кто кому на самом деле должен?

Подробно рассматриваем 19 статью ФЗ №98 о роли арендодателя

VC.RU
«Отказ предоставлять каникулы по аренде — мародерство»: основатель сети «Тануки» о спасении от кризиса «Отказ предоставлять каникулы по аренде — мародерство»: основатель сети «Тануки» о спасении от кризиса

Как поддерживают бизнес в условиях пандемии в разных странах

Forbes
Фильмы про приключения и путешествия: 19 лучших картин для тех, кто заскучал дома Фильмы про приключения и путешествия: 19 лучших картин для тех, кто заскучал дома

Готов отправиться в путь вместе с интересными героями?

Playboy
Изменить сценарий Изменить сценарий

Что такое семейные и родовые сценарии?

Домашний Очаг
Открыть в приложении