Смотреть
30 дней бесплатно
Смотреть
30 дней бесплатно
Условия просмотра: clck.ru/h7Vx2
18+
УЖЕ В ПОДПИСКЕ

История маркетолога, который стал специалистом по ИТ-безопасности и учит сотрудников компаний противостоять мошенникам Статьи редакции

Основатель компании StopPhish Юрий Другач — о том, как увлечение поиском уязвимостей превратилось в бизнес, и необычных схемах, которыми пользуются злоумышленники.

​Юрий Другач

Сотрудник банка получает письмо о том, что рабочий аккаунт пытались взломать и нужно придумать новый пароль. Он переходит по ссылке, вводит данные и попадается на удочку злоумышленников.

Теперь аккаунт в их руках: они могут проникнуть в сеть компании, похитить документы или украсть данные пользователей. А банк может ждать многомиллионный ущерб.

«В России компании учат сотрудников информационной безопасности, но делают это не всегда эффективно. Хотя 80% атак на организации начинают с писем их работникам», — рассказывает специалист по ИТ-безопасности Юрий Другач.

Чтобы это исправить, он открыл компанию StopPhish. Предприниматель по заказу компаний разрабатывает сценарии email-атак: он пробует обмануть бдительность сотрудников и получить доступ к данным.

Если человека удалось обмануть, StopPhish объясняет, как работают мошенники, а затем каждую неделю отправляет разные «подозрительные» письма для повторной проверки знаний.

Предприниматель рассказал, как устроен его бизнес, а заодно привёл примеры неочевидных способов, которыми пользуются мошенники для взломов.

Из шахтёра в специалиста по ИТ-безопасности

Я сам из Воркуты и после армии работал шахтёром три года. Это был 2004 год. У меня в то время появился первый компьютер. Ещё до его покупки я начал читать журнал «Хакер».

Интерес к ИТ-безопасности проявился, когда мастера пришли ко мне домой устанавливать локальную сеть — обычный интернет тогда ещё не был распространён.

Мой первый вопрос специалистам был такой: «А как взломать электронную почту?» Они не смогли ответить, да и нельзя было взломать почтовый ящик без нормального интернета. Но с этого вопроса всё началось.

Где-то в 2007 году я поехал в гости к друзьям в Москву, и один из знакомых позвал меня работать маркетологом в консалтинговую компанию «Бизнес Форвард». В итоге я переехал в столицу.

На новой должности я освоил email-маркетинг, а спустя два года уволился и стал индивидуальным предпринимателем: брал заказы по созданию и продвижению сайтов, страниц в соцсетях. При этом знакомые постоянно приносили мне неработающие компьютеры, и я каждый раз мечтал, чтобы проблема была в вирусе, с которым я смогу побороться.

Параллельно у меня было хобби. Иногда я натыкался на взломанные сайты и пытался связаться с их владельцами, чтобы сообщить о проблеме. Где-то раз в месяц я обзванивал по 50 жертв таких хакеров.

Люди часто подозревали во взломах меня, что я звоню ради денег. Но мне ничего не нужно было, я просто хотел сказать, что у них проблема с сайтом.

Ещё я искал уязвимости в крупных компаниях — иногда платили за такие находки. Например, я обнаружил, что с «Яндекса» можно было бесконечно собирать данные поиска.

Если несколько раз быстро забивать запрос в поисковик, обычно он начнёт предлагать заполнить капчу. У них же я мог бесконечно забивать новый поиск и собирать то, что показывает выдача.

С помощью этой информации не самые добросовестные интернет-маркетологи моглипонизить или повысить любой сайт в поисковой выдаче. Да и в правилах «Яндекса» есть ограничения на использование поиска.

Мне заплатили 20 тысяч рублей — сумма небольшая, но как бонус приятно.

Ещё у этой компании на странице «Паспорт» с личными данными пользователя была форма, через которую можно было отправить письмо на любой адрес, где в отправителях была бы почта техподдержки «Яндекса». Так мошенник мог отправить от лица компании письмо с вредоносной ссылкой и заполучить пользовательские данные.

Там были ограничения по использованию формы с одного аккаунта «Яндекса», но если завести их несколько, разослать можно было тысячу писем в день. За уязвимость компания выслала мне 5500 рублей. Потом такую же уязвимость я нашёл в Google и PayPal — они не заплатили, но проблему решили.

Где-то в 2017 году я прочитал на vc.ru про российский стартап, который занимался почти той же деятельностью, что у меня сейчас.

Тогда я увидел, что могу совместить занятие email-маркетингом и информационную безопасность: когда мошенник отправляет письмо с вредоносной ссылкой, ему нужно убедить жертву по ней перейти — «продать» идею. Маркетологи делают примерно то же самое, только чтобы продать товар.

Виды мошенничества с помощью почты

Я выделяю три вида социальной инженерии:

  • Таргетированная — хакер целится на определённую организацию. Например, «Сбербанк». Он может найти имя и должность сотрудника и написать от его имени коллеге, чтобы повысить доверие к сообщению.
  • Массовая — одинаковое письмо рассылается тысячам компаний.
  • Смешанная — компаниям отправляется одно и то же письмо, но в каждом из них используется название организации, которой оно отправлено.

Когда я планирую тестовую атаку, рисую таблицу: столбцы — специалисты, работающие в компании, а строки — с кем они взаимодействуют.

Далее смотрю пересечения и под них придумываю сценарии. Например, продавцу можно отправить письмо от клиента — с ссылкой на «платёжную квитанцию».

Пример таблицы для создания сценария атаки​

Конечно, есть и другие пути обмана людей.

Слышал историю: когда российская компания заказала пентест (тест на проникновение — vc.ru), исполнитель прикинулся соискателем и пришёл на собеседование в офис.

Прошёл охрану, а потом прогулялся по этажам и расклеил объявления, предлагавшие купить продукцию компании со скидкой. Чтобы принять участие в акции, требовалось отсканировать QR-код и перейти по ссылке — так он и поймал доверчивых сотрудников.

Ещё был случай, когда какой-то онлайн-кинотеатр развесил рекламу с QR-кодом в аэропорте, а мошенник просто наклеил свой код поверх их.

Также мошенники используют сайты для бронирования отелей, квартир, билетов: Booking, Tripadvisor и другие.

Например, человек нашёл жильё на Airbnb и связался с продавцом. «Арендодатель» говорит, что ещё не очень хорошо научился пользоваться сервисом и предлагает забронировать жилье через Tripadvisor. Человек соглашается и получает ссылку, которая похожа на обычную, например: tripadvisor.ru.tipasite.com/asjhdaksdjkasdj=123.

Когда жертва переходит, видит сайт-копию Tripadvisor — если она ничего не заподозрит и забронирует жильё, то потеряет деньги.

Ещё одна история: у меня друг искал работу, зашёл на «Авито». Увидел вакансию охранника на рыбоперерабатывающем предприятии в Норвегии с окладом €2000 за две недели.

Позвонил в компанию, ответила девушка. Она назвалась представителем работодателя в РФ и попросила отправить копию паспорта чтобы проверить, не запрещено ли ему выезжать из страны. Через день девушка перезвонила и сказала, что всё нормально и друг им подходит.

Но чтобы получить работу, нужно получить норвежскую визу. И тут два варианта: либо перевести ей 8000 рублей, чтобы компания оформила документы сама, либо приехать в Москву и решить вопрос самостоятельно. Расходы на визу работодатель обещал потом компенсировать.

Друг ехать в Москву не хотел и планировал отправить деньги, но на всякий случай позвонил мне, чтобы я проверил эту компанию. Найти в поисковиках информацию о номере телефона работодателя мне не удалось, а вот сайт оказался кладезем фейков.

Например, адрес работодателя вёл на несуществующее место в «Google Картах». «Рыбозавод» оказался виллой, которую конфисковали у какого-то бизнесмена, а фото рабочих злоумышленники взяли из объявлений с «Авито».

На удочку мошенника может попасться даже специалист. Если я вдруг буду участвовать в конференции в другом городе, мошенник может это узнать. Он представится организатором, предложит оплатить билеты и попросит выслать скан паспорта для их оплаты.

Чтобы избежать обмана, я постараюсь, например, позвонить и уточнить, действительно ли мне высылали такое письмо.

Как живёт компания

Для проведения массовой атаки нам нужны только адреса почты сотрудников, а для персонализированной — ещё их должности и имена.

На придумывание массового письма у меня уходит около 15 минут. Если нужно придумать сообщение для отдельного отдела в компании, то потрачу 25 минут. Письмо для конкретного человека — от часа до двух.

На одну массовую атаку уходит около часа, а потом ещё примерно час на анализ результатов. Если речь про многошаговую атаку, когда мы завязываем с людьми переписку и только в третьем письме высылаем ссылку, атака зависит от скорости, с которой отвечает жертва, и может занять от дня до трёх.

По моему опыту, на массовые атаки попадается в среднем 40% людей, а на таргетированную с короткой перепиской — 80%.

Если человек попался, он попадает на страницу с сообщением, что это была учебная атака. Там ему предлагается пройти обучающий онлайн-курс, например, как распознать вредоносную ссылку — от 5 до 15 слайдов и четыре вопроса, или как определить письмо от хакера по тексту — три слайда и три вопроса.

В системе отмечается, какой сотрудник и на какие атаки попался, прошёл ли курс. Если работник постоянно попадается на «вредоносное» письмо и минует обучение, компания проводит с ним беседу или штрафует, но это уже не наша ответственность.

Основные признаки вредоносных ссылок

Когда человек нажимает на вредоносную ссылку, мошенник обычно старается получить логин и пароль пользователя от какого-то сайта или системы. Хакер сможет проникнуть во внутреннюю систему компании или активировать вредоносный скрипт, чтобы похитить информацию или удалить её с серверов.

В России нет серьёзных наказаний для организаций, у которых слили персональные данные пользователей. Их не штрафуют на такие большие суммы, как в других странах, акции компании из-за слива не сильно падают, а клиенты массово не уходят.

Сейчас у нас чаще всего заказывают разовую проверку, которая стоит около 50 тысяч рублей, но есть несколько годовых контрактов — цена каждого около полумиллиона рублей. В среднем в месяц приходит один-два клиента — мы только начинаем развиваться.

У нас нет системного подхода к привлечению клиентов. Обычно мы находим группы в соцсетях по информационной безопасности и спрашиваем в них людей, знают ли они кого-то, кому наша услуга может быть интересна. Даже наш первый пилот в 2018 году начался с рекомендации в соцсетях.

С рекламы на Facebook отдачи нет, но я через неё пытаюсь давать потенциальной аудитории какой-то полезный контент. Я стараюсь сделать проект известным без активных продаж.

Сам иногда выступаю на конференциях, но я интроверт и не подхожу на мероприятиях к людям, пытаясь продать услугу. Просто кто-то может после выступления подойти ко мне, мы можем пообщаться. Дополнительно размещаю статьи на различных сайтах и пишу книгу, где будут примеры вредоносных писем и способы атак на сотрудников.

Как клиентов мы сразу отмели малый бизнес. Провели опрос среди компаний и максимум, что есть у маленьких организаций, — антивирус на компьютере. И для них обычно нет смысла больше вкладываться в ИТ-безопасность — у них не такие большие базы данных, чтобы тратить много денег для их защиты.

Хотя бывает, что компания — небольшой хостинг. Если взломают их, то взломают все сайты клиентов. Они переживают и тоже обращаются к нам, при этом у них работает всего 10–12 сотрудников.

Первые 11 месяцев мы проводили бесплатные пилоты, а потом попали в акселератор ВШЭ, где нам посоветовали брать хотя бы маленькую сумму за пробные проекты.

Когда клиент заплатил, пусть даже 3000 рублей, ответственность сторон повышается — даже заказчик готов потратить больше времени на общение с вами.

Сейчас у нас четыре постоянных сотрудника. Я обычно придумываю сами письма, второй человек отвечает за их рассылку, третий — разработчик различных нововведений, четвёртый — помогает привлекать клиентов.

У меня позиция — не раздувать штат: как можно больше клиентов и как можно меньше сотрудников. У нас в России количеством людей в компании меряются как крепостными, а за рубежом ценится эффективность работников.

Как российские компании обучают сотрудников ИТ-безопасности

В России почему-то есть мнение, что социальная инженерия в ИТ — что-то сложное, глубоко психологическое, неподвластное сотруднику компании в сфере ИТ-безопасности. Но это просто обман человека.

Жертву нужно убедить в содержимом письма — доказать, что в нём важная информация.

Часто в российских компаниях проверяют людей на умение вычислять фишинг (мошенничество, чтобы получить данные пользователя — vc.ru) лишь один раз в год. Отправили письмо, посмотрели, кто попался, и скинули презентацию по безопасности, чтобы сотрудник как-нибудь сам почитал её, если захочет.

Например, у Центробанка есть требование к банкам, по которому организации должны ежегодно заказывать пентест. Проверка людей по электронной почте зачастую тоже в него входит.

В итоге никто не требует от специалиста по безопасности внутри компании постоянно проверять коллег. Если он сам этого не захочет, никто и не спросит.

Но моя практика показывает, что если не проверять людей постоянно, они забывают, чему их учили. А иногда сотрудники верят, что безопасники и без них обо всём позаботились и всё защитили.

Если же каждую неделю слать письма с ловушками и обучать попавшихся, люди на практике отрабатывают теорию и у них вырабатывается навык видеть ссылку и сразу отличать вредоносную от обычной.

Когда я начал смотреть, как обстоят дела с фишингом на российском рынке ИТ-безопасности, оказалось, что наша услуга второстепенна. В первую очередь стараются защитить железо, программы и ограничить физический доступ к объекту с помощью пропусков и видеокамер.

Если письмо прошло спам-фильтры, антифишинговые системы, то считается, что человек точно заметит вредоносную ссылку. Сотрудник — последний рубеж, последнее звено по предотвращению атаки. И как раз на него тратится меньше всего времени и денег.

Почему так — для меня осталось загадкой. Я спрашивал экспертов по информационной безопасности, почему на эту проблему мало обращают внимания. Но никто так и не смог мне ответить. При этом все понимают важность этого направления и, на мой взгляд, более 80% атак на компании начинаются с писем сотрудникам.

В России практически нет рынка продуктов для обучения людей принципам информационной безопасности.

На Западе ситуация иная. Там есть компания Knowbe4, которая так же тренирует сотрудников компаний противостоять фишингу и социальной инженерии. У них уже свыше 30 тысяч клиентов.

В России их тоже вроде пытаются продавать. Knowbe4 пишет, что у них 6000 шаблонов писем, но вряд ли кто-то перевёл их материалы на русский язык.

Кроме того, актуальное в других странах может быть неактуально у нас. Если мне придёт письмо о взломе моего PayPal, то вряд ли это будет важно для меня, потому что в России этот сервис не так распространён.

0
11 комментариев
Написать комментарий...
Andrew Simon

"У меня позиция — не раздувать штат: как можно больше клиентов и как можно меньше сотрудников. У нас в России количеством людей в компании меряются как крепостными..."  ...а у Юрия Другача вся работа в компании выполняется четырьмя рабами, судя по первому предложению цитаты.

Ответить
Развернуть ветку
Юрий Другач

0_o а ведь и правда! Нужно менять юрисдикцию, да?

Ответить
Развернуть ветку
Andrew Simon

В ИБ можно делать все что угодно. Вам либо платят либо нет)

Ответить
Развернуть ветку
Юрий Другач

Согласен, еще такое в магазинах наблюдал у продавцов, им за булку хлеба либо платят или нет. Вот вчера при мне поймали такого, который выбрал второй вариант

Ответить
Развернуть ветку
Andrew Simon

Если вам платят за иб булку хлеба можно не давать. И с иб тоже можно не заморачиваться. А если что не так, валить все на нерадивый фортинет или еще на кого)

Ответить
Развернуть ветку
Сергей Сергеевич

Почему нет истории "мне позвонил участковый с предложением отмазать сына от ддп с смертельным исходом" и причем в этих историях ИТ?

Ответить
Развернуть ветку
Юрий Другач
Ответить
Развернуть ветку
Названый шмель

Позвонил по WhatsApp

Ответить
Развернуть ветку
Economic Security

Маркетолог который стал безопасником и учит 😂

Ответить
Развернуть ветку
Юрий Другач

Что уж там маркетолог, давайте копать дальше: шахтером до этого был, а до этого солдатом, а до этого поваром, а до этого школьником, а до этого в садик ходил! Ваще штоли! Еще мелюзга всякая будет учить, как ссылки подозрительные в интернете не открывать... 

Ответить
Развернуть ветку
Sanatorium Center

.

Ответить
Развернуть ветку
Читать все 11 комментариев
null