Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Претендент на покупку «Ведомостей» пригрозил отказом от сделки Претендент на покупку «Ведомостей» пригрозил отказом от сделки

Алексей Голубович предупредил о возможном отказе от покупки «Ведомостей»

Forbes
Советчики из сети Советчики из сети

Почему мы доверяем блогерам и готовы слепо следовать их советам

Лиза
Бешеные деньги Бешеные деньги

Правила жизни в эпоху низких ставок

Forbes
Ельцин — красавчик, Меркель — леди: как выглядели политики в молодости Ельцин — красавчик, Меркель — леди: как выглядели политики в молодости

Эти государственные деятели тоже когда-то обожали авантюры и любили жизнь

Cosmopolitan
Безрассадные томаты Безрассадные томаты

Как выращивать томаты без рассады?

Наука и жизнь
Керамику датировали по въевшемуся жиру Керамику датировали по въевшемуся жиру

Химики смогли датировать археологическую керамику

N+1
“Изделие 279”: четырехгусеничный монстр для ядерной войны “Изделие 279”: четырехгусеничный монстр для ядерной войны

Один из загадочных проектов супертанка времен холодной войны

Популярная механика
Жизнь на автопилоте: как вернуть себе управление Жизнь на автопилоте: как вернуть себе управление

Когда на автопилоте проходит большая часть жизни, мы многое теряем

Psychologies
Lada Gorbi — история самой сумасшедшей «Нивы» Lada Gorbi — история самой сумасшедшей «Нивы»

200 лошадей плюс четыре поворотных колеса

Maxim
Древние южноафриканцы оказались ценителями шкур ночных кошек-одиночек Древние южноафриканцы оказались ценителями шкур ночных кошек-одиночек

Новая глава истории отношений доисторических людей и хищных млекопитающих

N+1
Инсайдерский гид по музыкальной индустрии: на русском языке вышла книга Дэвида Бирна «Как работает музыка». Публикуем ее фрагмент Инсайдерский гид по музыкальной индустрии: на русском языке вышла книга Дэвида Бирна «Как работает музыка». Публикуем ее фрагмент

Бирн рассказывает о работе в группе и со сторонними музыкантами

Esquire
Нет такого слова Нет такого слова

Как пропадают из нашей жизни целые явления, а мы этого даже не замечаем

GQ
Время концессий: как построить инфекционную больницу в эпоху пандемии и кризиса Время концессий: как построить инфекционную больницу в эпоху пандемии и кризиса

В России остро не хватает современных больниц и койко-мест в них

Forbes
Спутник помог обнаружить крупную утечку метана из Пермского бассейна Спутник помог обнаружить крупную утечку метана из Пермского бассейна

Sentinel-5 Precursor установил повышение концентрации метана

N+1
«Не хочу и не буду»: что я на самом деле думаю о саморазвитии на карантине «Не хочу и не буду»: что я на самом деле думаю о саморазвитии на карантине

Призывы провести карантин с пользой окружили меня со всех сторон

Psychologies
7 «полезных» привычек, от которых не стоит ждать ничего хорошего 7 «полезных» привычек, от которых не стоит ждать ничего хорошего

Некоторые привычки могут быть не просто вредны, а даже опасны!

Cosmopolitan
Есть как минимум три причины посмотреть «Тайлер Рейк» Есть как минимум три причины посмотреть «Тайлер Рейк»

Почему стоит посмотреть «Тайлер Рейк» на Netflix

GQ
YouTube-блогер — о мотивации к благотворительности, соцсетях и космосе YouTube-блогер — о мотивации к благотворительности, соцсетях и космосе

Руслан Усачев — о том, нужно ли мотивировать людей на помощь друг другу

РБК
По горячим следам По горячим следам

Почему остаются следы от акне или появляется пигментация

Лиза
Вошли во вкус Вошли во вкус

После распада СССР в страну хлынули импортные снеки и напитки

Лиза
«Твиттер, как передозировка, может пошатнуть ваше психическое здоровье» «Твиттер, как передозировка, может пошатнуть ваше психическое здоровье»

Пора разобраться, кто тут главный: вы или ваш смартфон

GQ
8 фильмов, в которых главные герои все время спали 8 фильмов, в которых главные герои все время спали

Несколько идей, как даже в царстве Морфея провести время увлекательно

GQ
20-летний Квентин Тарантино взял интервью у своего кумира, режиссера Джона Милиуса. Спустя 40 лет Квентин выложил расшифровку 20-летний Квентин Тарантино взял интервью у своего кумира, режиссера Джона Милиуса. Спустя 40 лет Квентин выложил расшифровку

Квентин Тарантино взял интервью у режиссера Джона Милиуса

Esquire
И корабль плывёт И корабль плывёт

Стефано де Виво о новых проектах и перспективах

Robb Report
Обстоятельства времени Обстоятельства времени

Вы регулярно ухаживаете за кожей, но примерно раз в месяц что-то идет не так

Glamour
Трубка мира Трубка мира

Автор «Сталингулаг» объясняет, как гаджеты могут создать проблемы

Esquire
Главный редактор издательства БОМБОРА Рамиль Фасхутдинов: Мы стоим перед угрозой потери всего книжного рынка Главный редактор издательства БОМБОРА Рамиль Фасхутдинов: Мы стоим перед угрозой потери всего книжного рынка

Что происходит на книжном рынке и как выживают книжные магазины

СНОБ
Как Миннесотский эксперимент по голоданию объясняет, почему мы скупаем гречку Как Миннесотский эксперимент по голоданию объясняет, почему мы скупаем гречку

Почему не нужно смеяться над теми, кто делает запасы

Maxim
5 необычных случаев из практики Зигмунда Фрейда 5 необычных случаев из практики Зигмунда Фрейда

Зигмунд Фрейд целыми днями общался со всякими несчастными психами

Maxim
Эпохи в цифре: как музеи попали к нам на экраны Эпохи в цифре: как музеи попали к нам на экраны

На наших глазах формируется новая философия музейного дела

Популярная механика
Открыть в приложении