Как увлечение поиском уязвимостей превратилось в бизнес

VC.RUБизнес

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес и необычных схемах, которыми пользуются злоумышленники.

Дарья Дейнека

1280
​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Жизнь на Марксе Жизнь на Марксе

Как сегодня выглядит борьба с капитализмом в сердце Европы

Esquire
С чем пьют ликер бейлиз? 5 лучших сочетаний для уютного вечера или романтичного свидания С чем пьют ликер бейлиз? 5 лучших сочетаний для уютного вечера или романтичного свидания

Нежный и при этом игривый

Playboy
Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России Запоздалые припарки: успеет ли правительственная поддержка предотвратить гибель малого ретейла в России

Более половины малых ретейлеров теряют 50% оборота

Forbes
Самые обедневшие российские миллиардеры: сколько за год потеряли Тимченко, Михельсон и другие участники списка Forbes Самые обедневшие российские миллиардеры: сколько за год потеряли Тимченко, Михельсон и другие участники списка Forbes

В сумме десять бизнесменов потеряли $35 млрд

Forbes
Предлагали секс и делали грязные намеки: актрисы о домогательствах режиссеров Предлагали секс и делали грязные намеки: актрисы о домогательствах режиссеров

Нашумевшая история с Харви Вайнштейном никого не оставила равнодушным

Cosmopolitan
История шрифта Comic Sans, который любят обычные люди и ненавидят дизайнеры История шрифта Comic Sans, который любят обычные люди и ненавидят дизайнеры

Винсент Коннер рассказал, как 20 лет назад случайно придумал шрифт Comis Sans

Esquire
«Как работает музыка» «Как работает музыка»

Отрывок из книги Дэвида Бирна: что и как музыка делает с человеком

N+1
Уши эльфа и пупок-вагина — самые странные запросы к пластическому хирургу Уши эльфа и пупок-вагина — самые странные запросы к пластическому хирургу

Самые курьезные и странные запросы на пластические операции

Cosmopolitan
SOS: останови потери SOS: останови потери

Что делать, если каждый день ты обнаруживаешь на расческе все больше волос

Лиза
«Резервов хватит на год-два»: почему не сработает сделка ОПЕК+ и чем это грозит России «Резервов хватит на год-два»: почему не сработает сделка ОПЕК+ и чем это грозит России

Страны ОПЕК+ договорились снизить добычу на 9,7 млн баррелей в сутки

Forbes
Когда изоляция – это способ колонизировать планеты Когда изоляция – это способ колонизировать планеты

Человечество смотрит всё дальше в космическое пространство

Популярная механика
Как поддерживать здоровье и контролировать вес на карантине Как поддерживать здоровье и контролировать вес на карантине

Что делать, чтобы поддерживать хорошее самочувствие

РБК
Гордо реет Гордо реет

В интерьере этого дома задействованы реечные панели, имитирующие фактуру фасада

AD
Роди за меня. Корреспондент The Economist о том, как женщины становятся суррогатными матерями Роди за меня. Корреспондент The Economist о том, как женщины становятся суррогатными матерями

О подводных камнях общества потребления и суррогатном материнстве

Forbes
Война и мир, или три встречи с Кустурицей Война и мир, или три встречи с Кустурицей

Репортаж из Боснии и Герцеговины глазами Эмира Кустурицы

Вокруг света
Цифровая диктатура: как компании превращают дистанционную работу в ад Цифровая диктатура: как компании превращают дистанционную работу в ад

Пандемия сделала необходимым перевод многих компаний на дистанционную работу

Forbes
Деревенский модник: 5 фактов о новом Land Rover Defender Деревенский модник: 5 фактов о новом Land Rover Defender

Пять главных решений, кардинально изменивших Land Rover Defender

РБК
Чем вредит одиночество и как его избежать: 7 фактов Чем вредит одиночество и как его избежать: 7 фактов

До 20% населения Земли в той или иной степени страдают от одиночества

Популярная механика
10 научных объяснений странностей нашего поведения 10 научных объяснений странностей нашего поведения

Всем неадекватным поступкам, как ни странно, есть научное объяснение

Популярная механика
Как сделать санитайзер для рук в домашних условиях: простые рецепты Как сделать санитайзер для рук в домашних условиях: простые рецепты

Если сложно купить готовый санитайзер, приготовьте его самостоятельно!

Cosmopolitan
«Скептики считают, что омоложение невозможно, но их сознание ограничено»: Тимур Артемьев о перспективах продления жизни «Скептики считают, что омоложение невозможно, но их сознание ограничено»: Тимур Артемьев о перспективах продления жизни

Сооснователь «Евросети» помогает проектам, которые борются со старостью

VC.RU
Сто лучших книг для детей до 7 лет Сто лучших книг для детей до 7 лет

Списки художественных детских книг для разного возраста

Cosmopolitan
Что можно, а что нельзя? Инструкция поможет избежать штрафов в карантин Что можно, а что нельзя? Инструкция поможет избежать штрафов в карантин

Кому и куда можно ездить на автомобиле и как взять с собой семью

РБК
Эмпатия в бизнесе. Почему из сверхчувствительных людей получаются лучшие руководители Эмпатия в бизнесе. Почему из сверхчувствительных людей получаются лучшие руководители

Почему повышенная чувствительность — конкурентное преимущество

Forbes
«Кризис не убьёт офлайн»: Андрей Себрант о том, как пандемия повлияет на бизнес и поиск работы «Кризис не убьёт офлайн»: Андрей Себрант о том, как пандемия повлияет на бизнес и поиск работы

Интервью с директором по маркетингу сервисов «Яндекса»

VC.RU
Колонка: как социальное неравенство разрушило миф об американской мечте Колонка: как социальное неравенство разрушило миф об американской мечте

Что приходит на смену надежде, когда у общества ее больше не остается

Правила жизни
Тихая угроза: 9 симптомов скрытого заражения крови Тихая угроза: 9 симптомов скрытого заражения крови

Сепсис часто заканчивается трагедией. Лучше распознать его на начальной стадии

Cosmopolitan
Последствия Холодной Войны помогли установить возраст китовых акул Последствия Холодной Войны помогли установить возраст китовых акул

Ученые опробовали радиоуглеродный метод для определения возраста у китовых акул

N+1
Ученые нашли уязвимое место пищевого патогена Ученые нашли уязвимое место пищевого патогена

Новый механизм, позволяющий бактерии Listeria monocytogenes заражать организм

Популярная механика
8 привычных продуктов, которые могут убить (а ты и не знал) 8 привычных продуктов, которые могут убить (а ты и не знал)

Продукты, от которых ты не ждал подвоха

Playboy
Открыть в приложении