Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

3 простых финансовых лайфхака 3 простых финансовых лайфхака

Эти финхаки помогут сократить расходы, не изменяя потребительским привычкам

Maxim
Займитесь уборкой, пока у вас есть на это время Займитесь уборкой, пока у вас есть на это время

Неплохо вспомнить, где лежат моющие средства и швабра, и пустить их в ход

GQ
Дыра в ВВП: чем грозит экономике гибель малого бизнеса в России Дыра в ВВП: чем грозит экономике гибель малого бизнеса в России

Уже сейчас можно оценить последствия кризиса для малого бизнеса и экономики

Forbes
Правила жизни Кирстен Данст Правила жизни Кирстен Данст

Актриса, Нью-Джерси, 38 лет

Esquire
Что делать, если остановила полиция. Инструкция для водителей Что делать, если остановила полиция. Инструкция для водителей

С 15 апреля по Москве и области нельзя ездить на автомобиле без пропуска

РБК
Как поцеловать девушку в первый раз (инструкция) Как поцеловать девушку в первый раз (инструкция)

Условия для первого поцелуя должны быть идеальными

Maxim
16 фильмов 2016 года, которые ты мог пропустить 16 фильмов 2016 года, которые ты мог пропустить

Вспоминаем фильмы, мимо которых ты мог пройти в не таком уж далеком 2016-м году

Maxim
Планетолог разрешил глубинные океаны магмы на Венере Планетолог разрешил глубинные океаны магмы на Венере

Ученый предложил для Венеры новую модель эволюции внутренней структуры

N+1
Вам шашечки или ехать? Размышления на фоне последнего финансового отчета госкорпорации «Роснано» Вам шашечки или ехать? Размышления на фоне последнего финансового отчета госкорпорации «Роснано»

Наши подходы к оценке эффективности экономических субъектов несколько устарели

СНОБ
Почему вам стоит посмотреть «Последний танец» от Netflix Почему вам стоит посмотреть «Последний танец» от Netflix

О главном событии в мире спортивных документальных сериалов этого года

GQ
Меловые отложения рассказали о тропиках в Антарктиде Меловые отложения рассказали о тропиках в Антарктиде

Какие условия окружающей среды были в Антарктиде миллионы лет назад?

N+1

Российский фильм "Папа, сдохни" продолжает триумфальное шествие по западным СМИ

Esquire
Обстоятельства женского образа действия Обстоятельства женского образа действия

Алиса Таежная о новой «Эмме» и старых проблемах эмансипации

Weekend
Судороги от свежего воздуха помешали голым землекопам уйти из дома Судороги от свежего воздуха помешали голым землекопам уйти из дома

Судя по всему, землекопы «сэкономили» на механизмах торможения нейронов

N+1
13 очень необычных рулей 13 очень необычных рулей

Переосмыслить можно даже такую простейшую вещь, как руль

Maxim
10 научных объяснений странностей нашего поведения 10 научных объяснений странностей нашего поведения

Всем неадекватным поступкам, как ни странно, есть научное объяснение

Популярная механика
Дюссельдорфский вампир: кровавая история серийного убийцы из Германии Дюссельдорфский вампир: кровавая история серийного убийцы из Германии

Он родился в 1883 году в маленьком городке и стал одним из самых жутких убийц

Cosmopolitan
Богаты и одиноки: 17 миллиардеров-холостяков из России Богаты и одиноки: 17 миллиардеров-холостяков из России

Кто из богатейших россиян не спешит связывать себя узами брака?

Forbes
Все «дыры» Zoom: чем рискуют пользователи самого популярного сервиса видеоконференций эпохи карантина Все «дыры» Zoom: чем рискуют пользователи самого популярного сервиса видеоконференций эпохи карантина

В адрес Zoom поступает все больше критики из-за проблем с безопасностью

Forbes
Кто является автором термина «Великая Отечественная война»? Кто является автором термина «Великая Отечественная война»?

Кем впервые было произнесено название войны, которую предстояло пройти СССР

Дилетант
Глава 1: Москва Глава 1: Москва

Ты говорил, город – сила. А здесь слабые все

Esquire
Мануэла Бортоламеолли о главных трендах, вкусах клиентов и работе с семьей Мануэла Бортоламеолли о главных трендах, вкусах клиентов и работе с семьей

Мануэла Бортоламеолли – о личной жизни и главных трендах 2020 года

Cosmopolitan
Элитная брага: война с крахмалом и сладкие отходы Элитная брага: война с крахмалом и сладкие отходы

Из чего же гонят в наши дни некоторые популярные в мире типы крепких напитков

Популярная механика
Выживут только сбежавшие Выживут только сбежавшие

Татьяна Алешичева о сериале «Беги»

Weekend
Метеориты выдали несколько изолированных резервуаров воды в мантии Марса Метеориты выдали несколько изолированных резервуаров воды в мантии Марса

Формирование Марса не сопровождалось активным перемешиванием мантии

N+1
Омолодились: ДиКаприо, Деймон и другие актеры, сыгравшие юных персонажей в кино Омолодились: ДиКаприо, Деймон и другие актеры, сыгравшие юных персонажей в кино

Тенденция приглашать 30-летних на роль подростков зародилась довольно давно

Cosmopolitan
Как готовить узбекский плов в домашних условиях: пошаговая инструкция для любителей азиатской кухни Как готовить узбекский плов в домашних условиях: пошаговая инструкция для любителей азиатской кухни

Когда хочется попробовать чего-то особенного

Playboy
Трагедия Эйнштейна, или Счастливый Сизиф Трагедия Эйнштейна, или Счастливый Сизиф

Очерк четвёртый: «Стремление к истине ценнее обладания ею»

Наука и жизнь
Что делать, если у тебя кривой половой член? Причины и способы решения проблемы Что делать, если у тебя кривой половой член? Причины и способы решения проблемы

Возможно ли выпрямить член? А, главное, нужно ли?

Playboy
«Если сдохну, значит, я этого достоин»: владелец Natura Siberica о том, почему пандемия оздоровит рынок «Если сдохну, значит, я этого достоин»: владелец Natura Siberica о том, почему пандемия оздоровит рынок

Андрей Трубников рассказал, как в разгар эпидемии собирается увеличить продажи

Forbes
Открыть в приложении