Recentment ens hem trobat amb una situació en què diversos antivirus (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender i diversos altres menys coneguts) van començar a bloquejar el nostre lloc web. L'estudi de la situació em va fer entendre que és extremadament fàcil entrar a la llista de bloqueig, amb unes quantes queixes (fins i tot sense justificació) n'hi ha prou. Descriuré el problema amb més detall.
El problema és força greu, ja que ara gairebé tots els usuaris tenen instal·lat un antivirus o un tallafoc. I bloquejar un lloc amb un antivirus important com Kaspersky pot fer que el lloc sigui inaccessible per a un gran nombre d'usuaris. M'agradaria cridar l'atenció de la comunitat sobre el problema, ja que obre un marge enorme per als mètodes bruts de tractar amb els competidors.
No proporcionaré un enllaç al propi lloc ni indicaré l'empresa, de manera que això no es percebi com una mena de PR. Només assenyalaré que el lloc funciona segons la llei, l'empresa té un registre comercial, totes les dades es donen al lloc.
Recentment, hem trobat queixes de clients que el nostre lloc estava bloquejat per l'antivirus Kaspersky com a lloc de pesca. Diverses comprovacions per part nostra no van revelar cap problema al lloc. Vaig enviar un informe mitjançant un formulari al lloc web de Kaspersky sobre un fals positiu de l'antivirus. El resultat va ser la següent resposta:
Hem comprovat l'enllaç que has enviat.
La informació de l'enllaç suposa una amenaça de pèrdua de dades de l'usuari; no s'ha confirmat cap fals positiu.
No es va confirmar que el lloc representés una amenaça. Durant les consultes posteriors, es va rebre la següent resposta:
Hem comprovat l'enllaç que has enviat.
Aquest domini s'ha afegit a la base de dades a causa de les queixes dels usuaris. L'enllaç quedarà exclòs de les bases de dades anti-phishing, però s'habilitarà el seguiment en cas de queixes reiterates.
A partir d'aquí es fa evident que un motiu suficient per al bloqueig és el fet mateix de la presència d'almenys algunes queixes. Presumiblement, el lloc està bloquejat si hi ha hagut més d'un nombre determinat de queixes i no cal confirmar la queixa.
En el nostre cas, els atacants van enviar una sèrie de denúncies. I al nostre DC, i a una sèrie d'antivirus i a serveis com ara phishtank. Al phishtank, les queixes només incloïen un enllaç al lloc i una indicació que el lloc era un lloc de pesca. I ja està, no es va donar cap confirmació.
Resulta que podeu bloquejar llocs no desitjats amb un simple correu brossa de queixes. Fins i tot hi pot haver serveis que ofereixin aquests serveis. Si no hi són, apareixeran clarament aviat, donada la facilitat d'entrar al lloc a les bases de dades d'alguns antivirus.
M'agradaria escoltar els comentaris dels representants de Kaspersky. A més, m'agradaria escoltar els comentaris d'aquells que ells mateixos es van trobar amb aquest problema i amb quina rapidesa es va resoldre. Potser algú aconsellarà mètodes legals d'influència en aquestes situacions. Per a nosaltres, la situació va comportar pèrdues reputacionals i monetàries, per no parlar de la pèrdua de temps per resoldre el problema.
M'agradaria cridar l'atenció al màxim sobre la situació, ja que qualsevol lloc està en risc.
Addició.
En els comentaris van proporcionar un enllaç a una publicació interessant de HerrDirektor sobre aquest tema. El citaré
Us diré més coses: voleu crear problemes per a gairebé qualsevol lloc (bé, excepte els grans, grossos i molt coneguts) en 10 minuts?
Benvingut a phishtank.
Registrem entre 8 i 10 comptes (només necessiteu un correu electrònic per a la confirmació), seleccioneu el lloc que us agradi, l'afegim des d'un compte a la base de dades del peixer (per fer la vida més difícil al propietari, podeu inserir algun tipus de carta publicitària gai porno amb nans a la forma en afegir).
Votem a favor de la pesca amb la resta de comptes fins que ens escriguin "Aquest és un lloc de pesca".
A punt. Ens asseiem i esperem. Tot i que, per consolidar l'èxit, podeu afegir tant http:// com https:// i amb una barra al final i sense barra, o amb dues barres. I si realment teniu molt de temps, també podeu afegir enllaços al lloc. Per a què? Heus aquí per què:Després de 6-12 hores, Avast s'aixeca i agafa les dades d'allà. Després de 24-48 hores, les dades s'estenen per tot tipus d'"antivirus": comodo, bit defender, clean mx, CRDF, CyRadar... D'on el puto virustotal absorbeix les dades.
Per descomptat, NINGÚ comprova l'exactitud de les dades, a ningú li importa.I com a resultat, la majoria de les extensions "antivirus" per a navegadors, antivirus gratuïts i altres programes comencen a jurar al lloc especificat de tota mena de maneres, des de senyals vermells fins a pàgines completes que transmeten que el lloc és terriblement perillós i anar-hi com la mort.
I per esborrar aquests estables d'Auge, cadascun d'aquests "antivirus" ha d'escriure al suport tècnic. Per CADA enllaç! Avast reacciona amb força rapidesa, la resta plega estúpidament el conegut òrgan.
Però fins i tot si les estrelles s'alineen i és possible netejar el lloc de les bases de dades antivirus, el total de virus "mega-recurs" no li importa gens. No esteu a la base de dades de phishtank? No importa, va ser allà una vegada, us mostrarem què és. No ets un petit defensor? No importa, encara mostrarem el que va passar.
En conseqüència, qualsevol programari o servei que se centra en virustotal mostrarà fins al final dels temps que tot està malament al lloc. Podeu passar una llarga estona martellant sistemàticament aquest recurs miserable i potser tindreu la sort de sortir-ne. Però potser no tingueu tanta sort.
* Fins i tot el proveïdor de Fortinet estava entre els que bloquejaven el lloc. I encara no hem eliminat el lloc d'algunes llistes de llocs de pesca.
* Aquesta és la meva primera publicació a Habré. Malauradament, abans era només un lector, però la situació actual em va motivar a escriure una entrada.
Font: www.habr.com