Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Вне времени Вне времени

TAG Heuer, всемирно известный швейцарский бренд, соединил невозможное

Популярная механика
Невозможность острова Невозможность острова

Василий Степанов о практическом уроке самоизоляции в «Маяке» Роберта Эггерса

Weekend
Дыра в ВВП: чем грозит экономике гибель малого бизнеса в России Дыра в ВВП: чем грозит экономике гибель малого бизнеса в России

Уже сейчас можно оценить последствия кризиса для малого бизнеса и экономики

Forbes

Николь Молети опубликовала в своем блоге письмо, которое уже облетело полмира

Cosmopolitan
Добыча золота для смартфонов приводит к экологическим и гуманитарным катастрофам: как Apple пытается решить эту проблему Добыча золота для смартфонов приводит к экологическим и гуманитарным катастрофам: как Apple пытается решить эту проблему

Золото — не самый проводящий металл, но ценится в производстве

VC.RU
10 стоящих фильмов Netflix, которые ты, скорее всего, еще не видел 10 стоящих фильмов Netflix, которые ты, скорее всего, еще не видел

Лучшее время, чтобы ознакомиться с этими картинами от Netflix

Maxim
Смерть нам не к лицу: 5 видов оружия, которым не стоит воевать Смерть нам не к лицу: 5 видов оружия, которым не стоит воевать

Есть оружие, применения которого лучше не допускать

Популярная механика
Развитие дорожной сети Азии стало главной угрозой для тигров Развитие дорожной сети Азии стало главной угрозой для тигров

К 2050 году численность тигров упадет на 20 процентов

N+1
Японцы нашли аэробные бактерии в глинистых трещинах под дном океана Японцы нашли аэробные бактерии в глинистых трещинах под дном океана

Плотность этих бактерий сравнима с плотностью бактерий в человеческом кишечнике

N+1
Экология за запертой дверью. Почему не стоит радоваться «возвращению природы» в карантинные города Экология за запертой дверью. Почему не стоит радоваться «возвращению природы» в карантинные города

Чтобы улучшить экологию, необходимо работать, пусть и не так, как мы привыкли

СНОБ
Он того стоит! Он того стоит!

Рассказываем, почему Цюрих представляет интерес не только для финансовых воротил

Cosmopolitan
«Сидеть на месте – не моё» «Сидеть на месте – не моё»

Наша героиня советует найти врача, который разгадает квест с вашим весом

Худеем правильно
Чисто по-женски Чисто по-женски

Отвечаем на самые распространенные вопросы, которые волнуют всех женщин

Лиза
Не ждать помощи от государства и смеяться раз в день: тактика выживания от Анастасии Татуловой Не ждать помощи от государства и смеяться раз в день: тактика выживания от Анастасии Татуловой

Как не поддаваться панике и продолжать бороться за свой бизнес?

Forbes
Как Миннесотский эксперимент по голоданию объясняет, почему мы скупаем гречку Как Миннесотский эксперимент по голоданию объясняет, почему мы скупаем гречку

Почему не нужно смеяться над теми, кто делает запасы

Maxim
На каких поверхностях в доме больше всего микробов На каких поверхностях в доме больше всего микробов

Эти поверхности в доме нужно мыть регулярно и особенно тщательно

Cosmopolitan
Джонсонс бейби Джонсонс бейби

Знакомьтесь: самая влиятельная женщина соединенного королевства Кэрри Саймондс

Tatler
Не выживать, а жить: как копинг-стратегии помогают добиваться целей в кризис Не выживать, а жить: как копинг-стратегии помогают добиваться целей в кризис

Как выработать стратегии, чтобы увидеть и использовать возможности кризиса

Forbes
«Выживание — дело добровольное»: бизнесмен Сергей Рыжиков о новой бизнес-культуре после кризиса «Выживание — дело добровольное»: бизнесмен Сергей Рыжиков о новой бизнес-культуре после кризиса

Сооснователь «Битрикс»: выигрывает ли его бизнес от кризиса

Forbes
И точка: промышленный дизайн как искусство И точка: промышленный дизайн как искусство

Промдизайн - штука непростая

Популярная механика
Обстоятельства времени Обстоятельства времени

Вы регулярно ухаживаете за кожей, но примерно раз в месяц что-то идет не так

Glamour
Новая реальность: каким будет мир во время карантина и после него Новая реальность: каким будет мир во время карантина и после него

О том, насколько важно принять ситуацию с карантином и как не сойти с ума

РБК
Любовь до гроба: последние возлюбленные жестоко убитых политиков – кто они Любовь до гроба: последние возлюбленные жестоко убитых политиков – кто они

После громких убийств политиков, удар на себя принимали их жены и подруги

Cosmopolitan
Без ума от себя, без комплексов в сексе Без ума от себя, без комплексов в сексе

За право делать то, что нравится, и быть на виду, дамы расплатились комплексами

Домашний Очаг
«Когда кому-то больно, он хочет быть услышанным» «Когда кому-то больно, он хочет быть услышанным»

Беседуем о правилах экологичного общения с психологом Марией Эриль

Psychologies
Как получить разрешение на хранение и ношение оружия: полное руководство Как получить разрешение на хранение и ношение оружия: полное руководство

Как получить разрешение на оружие и использовать его (строго по назначению)?

Playboy
Не только ретроградный: что о тебе может рассказать твой Меркурий? Не только ретроградный: что о тебе может рассказать твой Меркурий?

В каком знаке зодиака твой Меркурий и как это можно использовать во благо

Cosmopolitan
Мыслить нелинейно Мыслить нелинейно

Элегантный интерьер в духе респектабельного шика

SALON-Interior
Жизнь без купюр Жизнь без купюр

Уже завтра получать, копить и тратить деньги люди будут совершенно по‑новому

GQ
LIGO поймала гравитационные волны от слияния черных дыр разных масс LIGO поймала гравитационные волны от слияния черных дыр разных масс

Физики впервые смогли зарегистрировать всплеск гравитационных волн

N+1
Открыть в приложении