Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Как USAID научило армян ненавидеть Россию Как USAID научило армян ненавидеть Россию

Операция USAID под кодовым названием «Армения» войдет в учебники

Монокль
Победа в очередной битве с раком мозга осталась за учеными Победа в очередной битве с раком мозга осталась за учеными

Эти препараты побуждают иммунные клетки съедать клетки злокачественных опухолей

Популярная механика
Бешеные деньги Бешеные деньги

Правила жизни в эпоху низких ставок

Forbes
Безопасность в любви: 7 советов дочерям Безопасность в любви: 7 советов дочерям

Лайф-коуч Самин Раззаги дает советы родителям девочек-подростков

Psychologies
«Война Алана» Эмманюэля Гибера «Война Алана» Эмманюэля Гибера

Французский комиксист Эмманюэль Гибер разбирает «чужие воспоминания»

Weekend
Рыбий ход Рыбий ход

Как решаются экологические проблемы, создаваемые плотинами и дамбами?

Наука и жизнь
Алексей Щербаков: «Я злой, хороший, неприятный человек» Алексей Щербаков: «Я злой, хороший, неприятный человек»

Алексей Щербаков о том, изменили ли его деньги, о феминизме и успехе

Esquire
Лигалайз: «Я все понимаю. 42-летний рэпер звучит, как провал» Лигалайз: «Я все понимаю. 42-летний рэпер звучит, как провал»

Лигалайз о насущном и былом, набитой на голове короне и сокращении дистанции

РБК
«Учителям сложно понять, как работать через Zoom и Skype»: как пандемия меняет российское онлайн-образование «Учителям сложно понять, как работать через Zoom и Skype»: как пандемия меняет российское онлайн-образование

Готовы ли российские учителя сменить классные комнаты на Zoom и Skype?

Forbes
От мамонта до вертолетов ВВС США: что может поднять Ми-26 От мамонта до вертолетов ВВС США: что может поднять Ми-26

Самый большой вертолет в мире из ныне существующих был построен в нашей стране

Популярная механика
Археологи протестировали бронзовые мечи в бою Археологи протестировали бронзовые мечи в бою

Археологи в полевых экспериментах воспроизвели 14 типов вмятин и зазубрин

N+1
Жизнь без купюр Жизнь без купюр

Уже завтра получать, копить и тратить деньги люди будут совершенно по‑новому

GQ
Дефолт 1998 года: что происходило с машинами и ценами Дефолт 1998 года: что происходило с машинами и ценами

Все, что надо знать о катастрофическом 1998-м

РБК
Собиратель долгов: как экс-менеджер ВТБ24 убеждает участников списка Forbes возвращать деньги государству Собиратель долгов: как экс-менеджер ВТБ24 убеждает участников списка Forbes возвращать деньги государству

Когда-то банк «Траст» был известен по рекламе с Брюсом Уиллисом

Forbes
Турецкий марш Турецкий марш

Военная мощь Турции неожиданно оказалась предметом большого интереса

Популярная механика
Люди и звери на карантине Люди и звери на карантине

Домашний зверь поможет вам остаться человеком

СНОБ
Седлать коней! Седлать коней!

Юлия Пересильд даже в условиях карантина не пропадает с радаров

OK!
Здравый смысл: как полюбить ЗОЖ Здравый смысл: как полюбить ЗОЖ

На самом деле, скорее всего, ты уже любишь ЗОЖ, просто пока не знаешь об этом

Cosmopolitan
По горячим следам По горячим следам

Почему остаются следы от акне или появляется пигментация

Лиза
«Бизнес был – сейчас бизнеса нет»: владелец ГУМа оценил потери от режима самоизоляции в миллиарды рублей «Бизнес был – сейчас бизнеса нет»: владелец ГУМа оценил потери от режима самоизоляции в миллиарды рублей

Президент группы компаний Bosco di Ciliegi рассказал, как переживает карантин

Forbes
Зачем смотреть фильм «Эмма» прямо сейчас Зачем смотреть фильм «Эмма» прямо сейчас

Изящный, легкий, чуткий и озорной фильм «Эмма» по Джейн Остин

РБК
«Мы застряли в раю». Истории российских туристов на карантине за границей «Мы застряли в раю». Истории российских туристов на карантине за границей

Путешественники, оставшиеся за границей в период пандемии, отказываются улетать

СНОБ
Как перестать спорить с партнером на карантине Как перестать спорить с партнером на карантине

Когда мы проводим вместе день за днем между нами то и дело вспыхивают споры

Psychologies
При свете табака При свете табака

В России создали биолюминесцентные растения для науки — и красоты

N+1
Мари Кондо покажет, как правильно обустроить домашний офис (и разобраться с рабочей перепиской) Мари Кондо покажет, как правильно обустроить домашний офис (и разобраться с рабочей перепиской)

Гуру по наведению порядка дома выпустила новую книгу

GQ
Я не знаю, кто я: как найти дорогу обратно к себе Я не знаю, кто я: как найти дорогу обратно к себе

Как бы вы себя охарактеризовали, если исключить из описания перечень ролей

Psychologies
Когда изоляция – это способ колонизировать планеты Когда изоляция – это способ колонизировать планеты

Человечество смотрит всё дальше в космическое пространство

Популярная механика
И вдруг запели птицы: как танкист Отрощенков узнал о Победе И вдруг запели птицы: как танкист Отрощенков узнал о Победе

Сергей Андреевич Отрощенков пошёл в армию в 1940 году

Популярная механика
Совмещение активности нейронов и нейромедиаторов помогло уточнить эффект псилоцибина Совмещение активности нейронов и нейромедиаторов помогло уточнить эффект псилоцибина

Рассматривать активность мозга в отрыве от системы нейромедиаторов нельзя

N+1
Слава блогу! Слава блогу!

Grazia выбрала самые интересные тревел-блоги

Grazia
Открыть в приложении