История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес, и необычных схемах, которыми пользуются злоумышленники.

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Я выделяю три вида социальной инженерии:

Когда я планирую тестовую атаку, рисую таблицу: столбцы — специалисты, работающие в компании, а строки — с кем они взаимодействуют.

Далее смотрю пересечения и под них придумываю сценарии. Например, продавцу можно отправить письмо от клиента — с ссылкой на «платёжную квитанцию».

Конечно, есть и другие пути обмана людей.

Слышал историю: когда российская компания заказала пентест (тест на проникновение — vc.ru), исполнитель прикинулся соискателем и пришёл на собеседование в офис.

Прошёл охрану, а потом прогулялся по этажам и расклеил объявления, предлагавшие купить продукцию компании со скидкой. Чтобы принять участие в акции, требовалось отсканировать QR-код и перейти по ссылке — так он и поймал доверчивых сотрудников.

Ещё был случай, когда какой-то онлайн-кинотеатр развесил рекламу с QR-кодом в аэропорте, а мошенник просто наклеил свой код поверх их.

Также мошенники используют сайты для бронирования отелей, квартир, билетов: Booking, Tripadvisor и другие.

Например, человек нашёл жильё на Airbnb и связался с продавцом. «Арендодатель» говорит, что ещё не очень хорошо научился пользоваться сервисом и предлагает забронировать жилье через Tripadvisor. Человек соглашается и получает ссылку, которая похожа на обычную, например: tripadvisor.ru.tipasite.com/asjhdaksdjkasdj=123.

Когда жертва переходит, видит сайт-копию Tripadvisor — если она ничего не заподозрит и забронирует жильё, то потеряет деньги.

Ещё одна история: у меня друг искал работу, зашёл на «Авито». Увидел вакансию охранника на рыбоперерабатывающем предприятии в Норвегии с окладом €2000 за две недели.

Позвонил в компанию, ответила девушка. Она назвалась представителем работодателя в РФ и попросила отправить копию паспорта чтобы проверить, не запрещено ли ему выезжать из страны. Через день девушка перезвонила и сказала, что всё нормально и друг им подходит.

Но чтобы получить работу, нужно получить норвежскую визу. И тут два варианта: либо перевести ей 8000 рублей, чтобы компания оформила документы сама, либо приехать в Москву и решить вопрос самостоятельно. Расходы на визу работодатель обещал потом компенсировать.

Друг ехать в Москву не хотел и планировал отправить деньги, но на всякий случай позвонил мне, чтобы я проверил эту компанию. Найти в поисковиках информацию о номере телефона работодателя мне не удалось, а вот сайт оказался кладезем фейков.

Например, адрес работодателя вёл на несуществующее место в «Google Картах». «Рыбозавод» оказался виллой, которую конфисковали у какого-то бизнесмена, а фото рабочих злоумышленники взяли из объявлений с «Авито».

На удочку мошенника может попасться даже специалист. Если я вдруг буду участвовать в конференции в другом городе, мошенник может это узнать. Он представится организатором, предложит оплатить билеты и попросит выслать скан паспорта для их оплаты.

Чтобы избежать обмана, я постараюсь, например, позвонить и уточнить, действительно ли мне высылали такое письмо.

Для проведения массовой атаки нам нужны только адреса почты сотрудников, а для персонализированной — ещё их должности и имена.

На придумывание массового письма у меня уходит около 15 минут. Если нужно придумать сообщение для отдельного отдела в компании, то потрачу 25 минут. Письмо для конкретного человека — от часа до двух.

На одну массовую атаку уходит около часа, а потом ещё примерно час на анализ результатов. Если речь про многошаговую атаку, когда мы завязываем с людьми переписку и только в третьем письме высылаем ссылку, атака зависит от скорости, с которой отвечает жертва, и может занять от дня до трёх.

По моему опыту, на массовые атаки попадается в среднем 40% людей, а на таргетированную с короткой перепиской — 80%.

Если человек попался, он попадает на страницу с сообщением, что это была учебная атака. Там ему предлагается пройти обучающий онлайн-курс, например, как распознать вредоносную ссылку — от 5 до 15 слайдов и четыре вопроса, или как определить письмо от хакера по тексту — три слайда и три вопроса.

В системе отмечается, какой сотрудник и на какие атаки попался, прошёл ли курс. Если работник постоянно попадается на «вредоносное» письмо и минует обучение, компания проводит с ним беседу или штрафует, но это уже не наша ответственность.

Когда человек нажимает на вредоносную ссылку, мошенник обычно старается получить логин и пароль пользователя от какого-то сайта или системы. Хакер сможет проникнуть во внутреннюю систему компании или активировать вредоносный скрипт, чтобы похитить информацию или удалить её с серверов.

В России нет серьёзных наказаний для организаций, у которых слили персональные данные пользователей. Их не штрафуют на такие большие суммы, как в других странах, акции компании из-за слива не сильно падают, а клиенты массово не уходят.

Сейчас у нас чаще всего заказывают разовую проверку, которая стоит около 50 тысяч рублей, но есть несколько годовых контрактов — цена каждого около полумиллиона рублей. В среднем в месяц приходит один-два клиента — мы только начинаем развиваться.

У нас нет системного подхода к привлечению клиентов. Обычно мы находим группы в соцсетях по информационной безопасности и спрашиваем в них людей, знают ли они кого-то, кому наша услуга может быть интересна. Даже наш первый пилот в 2018 году начался с рекомендации в соцсетях.

С рекламы на Facebook отдачи нет, но я через неё пытаюсь давать потенциальной аудитории какой-то полезный контент. Я стараюсь сделать проект известным без активных продаж.

Сам иногда выступаю на конференциях, но я интроверт и не подхожу на мероприятиях к людям, пытаясь продать услугу. Просто кто-то может после выступления подойти ко мне, мы можем пообщаться. Дополнительно размещаю статьи на различных сайтах и пишу книгу, где будут примеры вредоносных писем и способы атак на сотрудников.

Как клиентов мы сразу отмели малый бизнес. Провели опрос среди компаний и максимум, что есть у маленьких организаций, — антивирус на компьютере. И для них обычно нет смысла больше вкладываться в ИТ-безопасность — у них не такие большие базы данных, чтобы тратить много денег для их защиты.

Хотя бывает, что компания — небольшой хостинг. Если взломают их, то взломают все сайты клиентов. Они переживают и тоже обращаются к нам, при этом у них работает всего 10–12 сотрудников.

Первые 11 месяцев мы проводили бесплатные пилоты, а потом попали в акселератор ВШЭ, где нам посоветовали брать хотя бы маленькую сумму за пробные проекты.

Когда клиент заплатил, пусть даже 3000 рублей, ответственность сторон повышается — даже заказчик готов потратить больше времени на общение с вами.

Сейчас у нас четыре постоянных сотрудника. Я обычно придумываю сами письма, второй человек отвечает за их рассылку, третий — разработчик различных нововведений, четвёртый — помогает привлекать клиентов.

У меня позиция — не раздувать штат: как можно больше клиентов и как можно меньше сотрудников. У нас в России количеством людей в компании меряются как крепостными, а за рубежом ценится эффективность работников.

В России почему-то есть мнение, что социальная инженерия в ИТ — что-то сложное, глубоко психологическое, неподвластное сотруднику компании в сфере ИТ-безопасности. Но это просто обман человека.

Жертву нужно убедить в содержимом письма — доказать, что в нём важная информация.

Часто в российских компаниях проверяют людей на умение вычислять фишинг (мошенничество, чтобы получить данные пользователя — vc.ru) лишь один раз в год. Отправили письмо, посмотрели, кто попался, и скинули презентацию по безопасности, чтобы сотрудник как-нибудь сам почитал её, если захочет.

Например, у Центробанка есть требование к банкам, по которому организации должны ежегодно заказывать пентест. Проверка людей по электронной почте зачастую тоже в него входит.

В итоге никто не требует от специалиста по безопасности внутри компании постоянно проверять коллег. Если он сам этого не захочет, никто и не спросит.

Но моя практика показывает, что если не проверять людей постоянно, они забывают, чему их учили. А иногда сотрудники верят, что безопасники и без них обо всём позаботились и всё защитили.

Если же каждую неделю слать письма с ловушками и обучать попавшихся, люди на практике отрабатывают теорию и у них вырабатывается навык видеть ссылку и сразу отличать вредоносную от обычной.

Когда я начал смотреть, как обстоят дела с фишингом на российском рынке ИТ-безопасности, оказалось, что наша услуга второстепенна. В первую очередь стараются защитить железо, программы и ограничить физический доступ к объекту с помощью пропусков и видеокамер.

Если письмо прошло спам-фильтры, антифишинговые системы, то считается, что человек точно заметит вредоносную ссылку. Сотрудник — последний рубеж, последнее звено по предотвращению атаки. И как раз на него тратится меньше всего времени и денег.

Почему так — для меня осталось загадкой. Я спрашивал экспертов по информационной безопасности, почему на эту проблему мало обращают внимания. Но никто так и не смог мне ответить. При этом все понимают важность этого направления и, на мой взгляд, более 80% атак на компании начинаются с писем сотрудникам.

В России практически нет рынка продуктов для обучения людей принципам информационной безопасности.

На Западе ситуация иная. Там есть компания Knowbe4, которая так же тренирует сотрудников компаний противостоять фишингу и социальной инженерии. У них уже свыше 30 тысяч клиентов.

В России их тоже вроде пытаются продавать. Knowbe4 пишет, что у них 6000 шаблонов писем, но вряд ли кто-то перевёл их материалы на русский язык.

Кроме того, актуальное в других странах может быть неактуально у нас. Если мне придёт письмо о взломе моего PayPal, то вряд ли это будет важно для меня, потому что в России этот сервис не так распространён.

#социальнаяинженерия #фишинг #stopphish