Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

«Будущее приблизится максимально быстро» «Будущее приблизится максимально быстро»

Что такое цифровая трансформация и куда она в итоге нас приведет

РБК
24 часа с Романом Варниным 24 часа с Романом Варниным

Фронтмен группы «Мальбэк» провел с Cosmo наполненный счастливыми моментами день

Cosmopolitan
Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России

Более половины малых ретейлеров теряют 50% оборота

Forbes
«Крабовая барыня»: как Ксения Собчак решила потеснить зятя миллиардера Тимченко в добыче краба «Крабовая барыня»: как Ксения Собчак решила потеснить зятя миллиардера Тимченко в добыче краба

Ксения Собчак собирается построить крупнейшего игрока в добыче краба

Forbes
4 драгоценных камня, которые дадут фору бриллиантам 4 драгоценных камня, которые дадут фору бриллиантам

Эти минералы могут подвинуть бриллианты с поста лучших друзей девушек

Maxim
Дэвид Митчелл: Под знаком черного лебедя Дэвид Митчелл: Под знаком черного лебедя

«Сноб» публикует первую главу книги Дэвида Митчелла «Под знаком черного лебедя»

СНОБ
8 любимых блюд киногероев, которые легко приготовить дома 8 любимых блюд киногероев, которые легко приготовить дома

Блюда из популярных фильмов и сериалов, которые легко повторить у себя на кухне

РБК
Американцы перепроектировали сверхзвуковой бизнес-джет Американцы перепроектировали сверхзвуковой бизнес-джет

Обновленный самолет получит треугольное крыло и укороченное хвостовое оперение

N+1
9 мифов об Альберте Эйнштейне 9 мифов об Альберте Эйнштейне

Правда и мифы о создателе теории относительности

Вокруг света
Ключевые фигуры войны Ключевые фигуры войны

Первая часть ответов на вопросы о главных действующих лицах Второй мировой войны

Дилетант
Кому в самоизоляции жить хорошо Кому в самоизоляции жить хорошо

О психогигиене вынужденного домоседства

Огонёк
Что будет с современным искусством после пандемии Что будет с современным искусством после пандемии

Как изменятся цены на искусство и что делать арт-дилерам?

СНОБ
Урсоловая кислота восстановила миелиновые оболочки нейронов у мышей со склерозом Урсоловая кислота восстановила миелиновые оболочки нейронов у мышей со склерозом

Урсоловая кислота может стать лекарством от рассеянного склероза

N+1
Найден потопленный в 1941 году теплоход Найден потопленный в 1941 году теплоход

Гибель госпитального судна стала одной из крупнейших морских катастроф в истории

Популярная механика
Полезная девальвация: банкам пришлось резко поднять ставки по вкладам в долларах Полезная девальвация: банкам пришлось резко поднять ставки по вкладам в долларах

Несколько российских банков в марте и апреле повысили ставки по валютным вкладам

Forbes
Что забыли динозавры в глубоких пещерах: тайны прошлого Что забыли динозавры в глубоких пещерах: тайны прошлого

В нескольких глубоких пещерах Франции были найдены следы динозавров

Популярная механика
Олимпийский код Олимпийский код

Спортивное программирование – спорт высоких достижений

Популярная механика
«Пришлось нанимать армию курьеров»: как сервисы доставки еды справляются с ажиотажным спросом на карантине «Пришлось нанимать армию курьеров»: как сервисы доставки еды справляются с ажиотажным спросом на карантине

Карантин привел к росту спроса на доставку продуктов и готовой еды

Forbes
Все, что вам нужно знать о часовой студии MAD Paris Все, что вам нужно знать о часовой студии MAD Paris

Парижане создают безумно красивые и дорогие кастомные версии люксовых часов

GQ
Ровные, белые, свои Ровные, белые, свои

Зубы — конечно, самая крепкая кость в нашем организме, но иногда ломаются и они

Добрые советы
От помидоров до лимонов: какие продукты помогают против старения От помидоров до лимонов: какие продукты помогают против старения

Полезные вещества в этих продуктах способствуют поддержанию здоровья и красоты

РБК
Зона невылета Зона невылета

Что происходит с мигрантами в условиях пандемии

Огонёк
Начало катастрофической потери биоразнообразия назначили на 2030 год Начало катастрофической потери биоразнообразия назначили на 2030 год

Антропогенное изменение климата продолжается уже несколько десятилетий

N+1
10 актеров, уволенных прямо во время съемок 10 актеров, уволенных прямо во время съемок

Казалось бы, эти люди пользовались уважением в рабочем коллективе!

Maxim
«Мы ждем угонов». Где лучше не парковаться на самоизоляции «Мы ждем угонов». Где лучше не парковаться на самоизоляции

Рост курса доллара, безработица и самоизоляция — как это влияет на угоны

РБК
Поворот «налево» запрещен: как победить воровство в компании Поворот «налево» запрещен: как победить воровство в компании

На вопрос, сколько воруют в вашей компании, нет точного ответа

Forbes
Молодо-зелено Молодо-зелено

Зелень обеспечивает длительное насыщение и благотворно влияет на работу ЖКТ

Лиза
Опасная игра Степана Вареникова. 10 детективных загадок Опасная игра Степана Вареникова. 10 детективных загадок

Криминальные задачи

Maxim
Недоступные кредиты под 0%: почему бизнес слабо берет у банков бесплатные деньги Недоступные кредиты под 0%: почему бизнес слабо берет у банков бесплатные деньги

С апреля российские банки начали выдавать кредиты на выплату зарплаты под 0%

Forbes
Как сервис доставки смесей для смузи с инвестициями от Серены Уильямс помогает миллениалам пережить карантин Как сервис доставки смесей для смузи с инвестициями от Серены Уильямс помогает миллениалам пережить карантин

Daily Harvest приносит прибыль с первого дня работы и оценивается в $500 млн

Forbes
Открыть в приложении