Нядаўна мы сутыкнуліся з сітуацыяй, калі шэраг антывірусаў (Касперскі, Quttera, McAfee, Norton Safe Web, Bitdefender і некалькі менш вядомых) пачалі блакаваць наш сайт. Вывучэнне сітуацыі прывяло мяне да разумення, што патрапіць у спіс блакавання вельмі проста, дастаткова некалькіх скарг (нават без абгрунтавання). Больш падрабязна праблему я апішу далей.
Праблема даволі сур'ёзная, бо цяпер амаль у кожнага карыстальніка ўсталяваны антывірус ці файрвол. І блакаванне сайта буйным антывірусам, такім як Касперскі, можа зрабіць сайт недаступным для вялікай колькасці карыстальнікаў. Хацелася б прыцягнуць увагу супольнасці да праблемы, бо яна адчыняе велізарны абшар для брудных метадаў дужання з канкурэнтамі.
Я не буду даваць спасылку на сам сайт ці ўказваць кампанію, каб гэта не было ўспрынята, як нейкі піяр. Пакажу толькі тое, што сайт працуе па законе, фірма мае камерцыйную рэгістрацыю, усе дадзеныя дадзены на сайце.
Нядаўна мы сутыкнуліся са скаргамі ад кліентаў, што наш сайт блакуецца антывірусам Касперскі, як фішынгавы. Множныя праверкі з нашага боку не выявілі нейкіх праблем на сайце. Я падаў заяву праз форму на сайце Касперскага, аб ілжывым спрацоўванні антывіруса. У выніку быў атрыманы адказ:
Мы праверылі спасылку, якую Вы даслалі.
Інфармацыя па спасылцы прадстаўляе пагрозу страты карыстацкіх дадзеных, ілжывае спрацоўванне не пацвердзілася.
Ніякіх пацверджанняў, што сайт уяўляе пагрозу, дадзена не было. У ходзе далейшых зваротаў быў атрыманы наступны адказ:
Мы праверылі спасылку, якую Вы даслалі.
Дадзены дамен быў дададзены ў базу ў сувязі са скаргамі карыстальнікаў. Спасылка будзе выключаная з антыфішынгавых баз, але ўключаны маніторынг на выпадак паўторных скаргаў.
Адсюль становіцца зразумела, што дастатковай прычынай блакіроўкі з'яўляецца сам факт наяўнасці хоць нейкіх скаргаў. Як мяркуецца, сайт блакуецца, калі было больш нейкай колькасці скаргаў, і нейкага пацверджання скаргі не патрабуецца.
У нашым выпадку, зламыснікі, даслалі шэраг скарг. І нашаму ДЦ, і шэрагу антывірусаў, і на такія сэрвісы, як phishtank. На phishtank скаргі ўключалі толькі спасылку на сайт, і ўказанне, што сайт фішынгавы. І ўсё, ніякіх пацверджанняў дадзена не было.
Атрымліваецца можна блакаваць непажаданыя сайты простым спамам скарг. Магчыма нават ёсць сервісы, якія прадастаўляюць такія паслугі. Калі іх няма, яны відавочна з'явяцца хутка, улічваючы прастату занясення сайта ў базы некаторых антывірусаў.
Хацелася б пачуць каментары ад прадстаўнікоў Касперскага. Таксама, хацелася б пачуць каментары ад тых, хто сам сутыкаўся з такой праблемай і як хутка яна вырашылася. Магчыма нехта параіць юрыдычныя метады ўздзеяння, у такіх сітуацыях. Для нас сітуацыя пацягнула за сабой рэпутацыйныя і грашовыя страты, не кажучы ўжо пра страты часу на вырашэнне праблемы.
Хацелася б прыцягнуць як мага больш увагі да сітуацыі, бо любы сайт знаходзіцца ў групе рызыкі.
Дадатак.
У каментарах далі спасылку на цікавую пасаду ад HerrDirektor па гэтай праблеме. Працытую яго
Я вам больш раскажу - хочаце за 10 хвілін часу стварыць праблемы амаль любому сайту (ну акрамя буйных, тоўстых і вельмі вядомых)?
Сардэчна запрашаем у phishtank.
Рэгіструем 8-10 акаўнтаў (спатрэбіцца толькі емейл для пацверджання), выбіраемы ўпадабаны сайт, дадаем яго з аднаго акаўнта ў базу фіштанка (для ўскладнення жыцця ўладальніку можна ў форму пры даданні які-небудзь ліст з рэкламай гей-порна з карлікамі засунуць).
Пакінутымі акаўнтамі галасуем за фішынг, пакуль нам не напішуць "This is phish site!".
Гатова. Сядзім і чакаем. Хоць для замацавання поспеху можна дадаць і http:// і https:// і са слешам на канцы і без слеша, або з двума слешамі. А калі зусім чакай шмат, то яшчэ і спасылкі можна на сайце пададаваць. Навошта? А вось навошта:Праз 6-12 гадзін падцягваецца Аваст і бярэ адтуль дадзеныя. Праз 24-48 гадзін дадзеныя распаўзаюцца па разнастайных «антывірусах» – comodo, bit defensaer, clean mx, CRDF, CyRadar ... Адкуль потым падсмоктвае дадзеныя дзяўбаць virustotal.
Зразумела, НІХТО не правярае дакладнасць дадзеных, усім глыбока похраны.І як вынік, большасць «антывірусных» пашырэнняў для браўзэраў, бясплатных антывірусаў і іншага ПА пачынае на паказаны сайт лаяцца разнастайнымі спосабамі, ад чырвоных таблічак, да паўнавартасных старонак, якія вяшчаюць аб тым, што сайт страшна небяспечны і перайсці туды смерці падобна.
І каб разгрэбці гэтыя аўгіевы стайні, даводзіцца кожнаму з гэтых «антывірусаў» пісаць у тэхпадтрымку. На КОЖНУЮ спасылку! Аваст рэагуе даволі хутка, астатнія тупа складаюць вядомы орган.
Але нават калі сыдуцца зоркі і атрымаецца вычысціць сайт з баз антывірусаў, то "мега-рэсурс" virustotal зусім гэта не клапоціць. Няма цябе ў базе phishtank'а? Ды пофіг, калісьці ж быў, будзем паказваць што ёсць. Няма цябе ў bit defensaer? Не бяда, усё роўна пакажам, што быў.
Адпаведна, любое ПЗ ці сэрвіс, які арыентуецца на virustotal, будзе да сканчэння стагоддзяў паказваць, што на сайце ўсё дрэнна. Можна доўга і планамерна дзяўбці гэты ўбогі рэсурс і можа быць павязе адтуль вылезці. Але можа і не павезці.
* Сярод тых, хто блакуе сайт, апынуўся нават правайдэр fortinet. І мы да гэтага часу яшчэ не вывелі сайт з некаторых спісаў фішынгавых сайтаў.
* Гэта мой першы пост на Хабры. Нажаль, раней быў проста чытачом, але бягучая сітуацыя матывавала напісаць пасаду.
Крыніца: habr.com