Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Ход слоном Ход слоном

Почему та или иная страна становится передовой, а потом вдруг отстающей?

ТехИнсайдер
Российский стартап Miro привлек $50 млн от фонда с участием Цукерберга Российский стартап Miro привлек $50 млн от фонда с участием Цукерберга

Платформа для удаленной работы Miro привлекла $50 млн от фонда ICONIQ Capital

Forbes
Бешеные деньги Бешеные деньги

Правила жизни в эпоху низких ставок

Forbes
Новые луддиты Новые луддиты

Некоторые сотрудники западных компаний протестуют против автоматизации труда

РБК
Звезда будет Звезда будет

Астрономы обнаружили звезду, которая слишком близко подлетела к черной дыре

Популярная механика
Планетолог разрешил глубинные океаны магмы на Венере Планетолог разрешил глубинные океаны магмы на Венере

Ученый предложил для Венеры новую модель эволюции внутренней структуры

N+1
Три Кита, Таиланд Три Кита, Таиланд

Из всех развлечений Таиланда Три Кита меньше всего похожи на развлечение

Maxim
Расул Чабдаров: «Я кавказец, и это определяет меня полностью, от начала и до конца» Расул Чабдаров: «Я кавказец, и это определяет меня полностью, от начала и до конца»

Еще несколько лет Расул Чабдаров водил такси

Esquire
«Ты мне не сын!» Самые громкие ДНК-скандалы с участием звезд «Ты мне не сын!» Самые громкие ДНК-скандалы с участием звезд

Для многих звёзд стал сюрпризом тот факт, что у них есть внебрачные дети

Cosmopolitan
Изменить сценарий Изменить сценарий

Что такое семейные и родовые сценарии?

Домашний Очаг
Сердце железной дороги: как обеспечивают безопасность движения Сердце железной дороги: как обеспечивают безопасность движения

Жизнь Москвы и Московской области невозможно представить без железных дорог

Популярная механика
Всадники банковского апокалипсиса: какой будет отрасль после окончания кризиса Всадники банковского апокалипсиса: какой будет отрасль после окончания кризиса

Кризис не внесет новых тенденций в банковские технологии, но подтолкнет развитие

Forbes
Последствия Холодной Войны помогли установить возраст китовых акул Последствия Холодной Войны помогли установить возраст китовых акул

Ученые опробовали радиоуглеродный метод для определения возраста у китовых акул

N+1
На свою голову На свою голову

Модные укладки без ущерба для природы

Vogue
«Падать уже некуда, дно — достигнуто». Почему нужно спасать гостиничную и ресторанные отрасли «Падать уже некуда, дно — достигнуто». Почему нужно спасать гостиничную и ресторанные отрасли

Туристический и гостиничный бизнес стал одной из первых жертв кризиса

Forbes
Каши для первого прикорма: гид для молодых мам Каши для первого прикорма: гид для молодых мам

Полное руководство по введению первого прикорма в детский рацион

Мама и малыш
Гендерный дисбаланс: сколько на самом деле женщин среди инвесторов и предпринимателей Кремниевой Долины Гендерный дисбаланс: сколько на самом деле женщин среди инвесторов и предпринимателей Кремниевой Долины

Как обстоят дела с женским предпринимательством в Кремниевой Долине

Forbes
Кочевник последней надежды. Почему президент вспомнил о печенегах Кочевник последней надежды. Почему президент вспомнил о печенегах

Кажется, наш президент не понимает, о чем ему говорить

СНОБ
Урсоловая кислота восстановила миелиновые оболочки нейронов у мышей со склерозом Урсоловая кислота восстановила миелиновые оболочки нейронов у мышей со склерозом

Урсоловая кислота может стать лекарством от рассеянного склероза

N+1
Сижу на удаленке, ничего не успеваю: как справиться с работой и домашними делами Сижу на удаленке, ничего не успеваю: как справиться с работой и домашними делами

Как правильно наладить жизнь и работу на удаленке

Cosmopolitan
Без парты и доски. Мама, учитель и эксперт — о платформах для образования онлайн Без парты и доски. Мама, учитель и эксперт — о платформах для образования онлайн

Первый месяц дистанционного обучения позади

СНОБ
Как живет индустрия ресейла в период карантина Как живет индустрия ресейла в период карантина

Что ждет ресейл после пандемии

GQ
6 блокбастеров, которым пророчили провал 6 блокбастеров, которым пророчили провал

Фильмы, которым критики пророчили провал, оказались самыми кассовыми

Maxim
Как правильно ходить в магазин во время эпидемии Как правильно ходить в магазин во время эпидемии

Поход в магазин в условиях пандемии становится уже не таким простым занятием

Популярная механика
Деревенский модник: 5 фактов о новом Land Rover Defender Деревенский модник: 5 фактов о новом Land Rover Defender

Пять главных решений, кардинально изменивших Land Rover Defender

РБК
За что мы любим бренд Lanvin За что мы любим бренд Lanvin

Почему Lanvin и его новый креативный директор заслуживают внимания

РБК
«Полный хаос». Автор «И повсюду тлеют пожары» Селеста Инг — об эпидемии и сериале с Риз Уизерспун «Полный хаос». Автор «И повсюду тлеют пожары» Селеста Инг — об эпидемии и сериале с Риз Уизерспун

Писательница Селеста Инг об экранизации своей книги и дебюте в кино

Forbes
«Мы ждем угонов». Где лучше не парковаться на самоизоляции «Мы ждем угонов». Где лучше не парковаться на самоизоляции

Рост курса доллара, безработица и самоизоляция — как это влияет на угоны

РБК
Трижды крещенный Трижды крещенный

Надя Кузютина вспоминает, как повезло ее деду, прошедшему несколько войн

Добрые советы
На свой страх и риск На свой страх и риск

Рассказываем, какие полисы могут пригодиться тебе в поездке

Cosmopolitan
Открыть в приложении