Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Спорт против улицы Спорт против улицы

Как «подсадить» ребенка на спорт

Русский репортер
10 фактов о первом фильме бондианы «Доктор Ноу» 10 фактов о первом фильме бондианы «Доктор Ноу»

«Доктор Ноу» — недорогой шпионский триллер, который внезапно порвал все шаблоны

Maxim
Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России

Более половины малых ретейлеров теряют 50% оборота

Forbes
9 ключевых правил макияжа, о которых нельзя забывать женщине старше 40 лет 9 ключевых правил макияжа, о которых нельзя забывать женщине старше 40 лет

Соблюдайте эти правила макияжа, чтобы создать легкий и освежающий образ

Cosmopolitan
Сколько зарабатывают животные-актёры и как снять своего питомца в кино или рекламе Сколько зарабатывают животные-актёры и как снять своего питомца в кино или рекламе

О съемках животных в кино рассказывают агенства и хозяева

VC.RU
Все, что вам нужно знать о часовой студии MAD Paris Все, что вам нужно знать о часовой студии MAD Paris

Парижане создают безумно красивые и дорогие кастомные версии люксовых часов

GQ
Слой инфракрасного отражателя под краской охладил черную поверхность на 15 градусов Слой инфракрасного отражателя под краской охладил черную поверхность на 15 градусов

Разработан новый подход к нанесению цветных двухслойных поверхностей

N+1
Зачем мужчинам феминизм, рассказывают сами мужчины Зачем мужчинам феминизм, рассказывают сами мужчины

Почему мужчины считают феминизм необходимым для современного общества

Cosmopolitan
Как приготовить шурпу из баранины в казане: рецепт одного из вкуснейших супов мира Как приготовить шурпу из баранины в казане: рецепт одного из вкуснейших супов мира

Не только же шашлыки жарить на костре

Playboy
Как не спиться в самоизоляции? Как не спиться в самоизоляции?

Опасности домашней «алкоголизации» и альтернативные пути справляться со стрессом

Psychologies
Шедевр Церетели Шедевр Церетели

Двадцать лет Московскому музею современного искусства исполнилось в прошлом году

Tatler
6 способов защиты от болезни Альцгеймера 6 способов защиты от болезни Альцгеймера

Есть полезные привычки, которые помогут сохранить ясность ума

Psychologies
Юлия Пересильд: «Постельных сцен будет порядочно!» Юлия Пересильд: «Постельных сцен будет порядочно!»

Юлия Пересильд об изоляции в деревне и курении через ногу

GQ
Леа Сейд. Превращение Леа Сейд. Превращение

«Родилась с серебряной ложкой во рту» — это о ней

Караван историй
Истина на Востоке. Почему Китай может стать новым мировым центром виноделия Истина на Востоке. Почему Китай может стать новым мировым центром виноделия

Китайцы поняли: выращивать виноград и делать вино можно и в своей стране

Forbes
Истребитель танков: боевой путь Владимира Вострова Истребитель танков: боевой путь Владимира Вострова

Владимир Востров был бойцом вспомогательного отряда, помогающего РККА

Популярная механика
Дрис ван Нотен: «Я не самый простой руководитель: много требую, но столько же готов отдавать» Дрис ван Нотен: «Я не самый простой руководитель: много требую, но столько же готов отдавать»

Разбираемся в тонком устройстве вселенной дизайнера Дриса Ван Нотена

GQ
Голодание, сиганизм и другие пищевые привычки гениев мира технологий Голодание, сиганизм и другие пищевые привычки гениев мира технологий

Не беремся утверждать, насколько верно выражение «ты то, что ты ешь»

GQ
За что мы любим бренд Lanvin За что мы любим бренд Lanvin

Почему Lanvin и его новый креативный директор заслуживают внимания

РБК
Цветы, декор и профессия мечты Цветы, декор и профессия мечты

Декоратор Мария Герман о том, как совместить красоту и бизнес

Cosmopolitan
6 привычек перед сном, которые тебе вредят 6 привычек перед сном, которые тебе вредят

Бессонница, усталость? Не беги сразу к врачу — возможно, ты делаешь это на ночь

Cosmopolitan
На страже ее величества На страже ее величества

Вот уже двадцать пять лет Анджела Келли отвечает за гардероб английской королевы

Караван историй
«Если учитель сейчас выступает в роли “говорящей головы”, значит, он и раньше ею был». Руководители школ о дистанционном обучении «Если учитель сейчас выступает в роли “говорящей головы”, значит, он и раньше ею был». Руководители школ о дистанционном обучении

Как школы адаптируются к новым условиям: дискуссия

СНОБ
Откуда берется ядерное топливо и почему люди не облучаются Откуда берется ядерное топливо и почему люди не облучаются

Атомная энергетика для большинства из нас нечто таинственное и чертовски опасное

Популярная механика
От первого голоса От первого голоса

Елена Стафьева о фильме, где Мартин Марджела говорит о себе сам

Weekend
Секс на карантине: да, нет, не знаю Секс на карантине: да, нет, не знаю

Изоляция с любимым человеком — что может быть приятнее

Psychologies
Обстоятельства времени Обстоятельства времени

Вы регулярно ухаживаете за кожей, но примерно раз в месяц что-то идет не так

Glamour
Кровавый рассвет после пандемии. Почему за кризисом может последовать большой передел собственности Кровавый рассвет после пандемии. Почему за кризисом может последовать большой передел собственности

Какие схемы поглощений используются «захватчиками» чаще всего?

Forbes
15 мыслей Александра Филиппенко 15 мыслей Александра Филиппенко

Зачем Александр Филиппенко возит в чемодане секатор и ждет нового XX съезда

GQ
Инопланетяне среди нас: мог ли Марс быть колыбелью земной жизни Инопланетяне среди нас: мог ли Марс быть колыбелью земной жизни

Гипотезу о том, что жизнь зародилась на Марсе, можно назвать необычной

Популярная механика
Открыть в приложении