Wir sind vor kurzem auf eine Situation gestoßen, in der eine Reihe von Antivirenprogrammen (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender und einige weniger bekannte) begonnen haben, unsere Website zu blockieren. Als ich die Situation untersuchte, kam ich zu dem Schluss, dass es äußerst einfach ist, auf die Sperrliste zu kommen, und zwar mit ein paar Beschwerden (auch ohne Begründung). Ich werde das Problem später genauer beschreiben.
Das Problem ist ziemlich ernst, da mittlerweile fast jeder Benutzer ein Antivirenprogramm oder eine Firewall installiert hat. Und das Blockieren einer Website mit einem großen Antivirenprogramm wie Kaspersky kann dazu führen, dass eine große Anzahl von Benutzern nicht mehr auf die Website zugreifen kann. Ich möchte die Community auf das Problem aufmerksam machen, da es einen großen Spielraum für schmutzige Methoden im Umgang mit Konkurrenten eröffnet.
Ich verzichte auf einen Link zur Seite selbst und auf die Nennung des Unternehmens, damit dies nicht als eine Art PR aufgefasst wird. Ich möchte nur darauf hinweisen, dass die Website gesetzeskonform funktioniert, das Unternehmen eine Gewerbeanmeldung hat und alle Daten auf der Website angegeben sind.
Wir haben kürzlich Beschwerden von Kunden erhalten, dass unsere Website von Kaspersky Anti-Virus als Phishing-Website blockiert wurde. Mehrere Überprüfungen unsererseits ergaben keine Probleme auf der Website. Ich habe über das Formular auf der Kaspersky-Website einen Antrag wegen eines falsch positiven Antivirenprogramms gestellt. Das Ergebnis war eine Antwort:
Wir haben den von Ihnen gesendeten Link überprüft.
Informationen über den Link bergen die Gefahr eines Verlusts von Benutzerdaten, ein falsch positives Ergebnis wurde nicht bestätigt.
Es wurden keine Beweise dafür vorgelegt, dass von der Website eine Gefahr ausgeht. Auf weitere Nachfrage kam folgende Antwort:
Wir haben den von Ihnen gesendeten Link überprüft.
Diese Domain wurde aufgrund von Benutzerbeschwerden zur Datenbank hinzugefügt. Der Link wird aus den Anti-Phishing-Datenbanken ausgeschlossen, bei wiederholten Beschwerden wird jedoch die Überwachung aktiviert.
Daraus wird deutlich, dass bereits das Vorliegen zumindest einiger Beschwerden ein ausreichender Grund für die Sperrung ist. Vermutlich wird die Seite ab einer bestimmten Anzahl von Beschwerden gesperrt und es ist keine Bestätigung der Beschwerde erforderlich.
In unserem Fall haben die Angreifer eine Reihe von Beschwerden eingereicht. Und unser DC und eine Reihe von Antivirenprogrammen und Diensten wie Phishtank. Bei Phishtank enthielten die Beschwerden lediglich einen Link zur Website und einen Hinweis darauf, dass es sich bei der Website um Phishing handelte. Und dennoch wurde keine Bestätigung gegeben.
Es stellt sich heraus, dass Sie anstößige Websites mit einem einfachen Beschwerde-Spam blockieren können. Vielleicht gibt es sogar Dienste, die solche Dienste anbieten. Wenn sie nicht vorhanden sind, werden sie offensichtlich bald angezeigt, da die Website problemlos in die Datenbanken einiger Antivirenprogramme eingegeben werden kann.
Ich würde gerne Kommentare von Vertretern von Kaspersky hören. Außerdem würde ich gerne Kommentare von denen hören, die selbst auf ein solches Problem gestoßen sind und wie schnell es gelöst wurde. Vielleicht rät jemand in solchen Situationen zu rechtlichen Einflussmöglichkeiten. Für uns bedeutete die Situation Reputations- und Finanzverluste, ganz zu schweigen vom Zeitverlust bei der Lösung des Problems.
Ich möchte so viel Aufmerksamkeit wie möglich auf die Situation lenken, da jeder Standort gefährdet ist.
Zusatz.
In den Kommentaren haben sie einen Link zu einem interessanten Beitrag von HerrDirektor angegeben zu diesem Thema. Ich werde ihn zitieren
Ich erzähle Ihnen mehr: Möchten Sie in 10 Minuten Probleme für fast jede Site erstellen (außer für große, fette und sehr berühmte Sites)?
Willkommen im Phishtank.
Wir registrieren 8-10 Konten (Sie benötigen lediglich eine E-Mail zur Bestätigung), wählen die Website aus, die Ihnen gefällt, fügen sie von einem Konto zur Fishtank-Datenbank hinzu (um dem Eigentümer das Leben schwerer zu machen, können Sie einen Brief mit Werbung für Schwulenpornos einfügen Zwerge in das Formular einfügen, wenn es hinzugefügt wird).
Bei den restlichen Accounts stimmen wir für Phishing, bis sie uns schreiben „Das ist eine Phish-Seite!“.
Bereit. Wir sitzen und warten. Um den Erfolg zu festigen, können Sie jedoch sowohl http:// als auch https:// und mit einem Schrägstrich am Ende und ohne Schrägstrich oder mit zwei Schrägstrichen hinzufügen. Und wenn viel Zeit zur Verfügung steht, können auch Links zur Seite hinzugefügt werden. Wofür? Aber warum:Nach 6–12 Stunden meldet sich Avast und übernimmt die Daten von dort. Nach 24 bis 48 Stunden verbreiten sich die Daten über alle möglichen „Antivirenprogramme“ – Comodo, Bit Defender, Clean MX, CRDF, CyRadar ... Von dort aus saugt der verdammte Virustotal die Daten auf.
Natürlich überprüft NIEMAND die Richtigkeit der Daten, alle sind völlig am Arsch.Infolgedessen beginnen die meisten „Antiviren“-Erweiterungen für Browser, kostenlose Antivirenprogramme und andere Software, die angegebene Site auf alle möglichen Arten zu beschimpfen, von roten Schildern bis hin zu vollwertigen Seiten, die verbreiten, dass die Site furchtbar gefährlich ist, und verschwinden da wie der Tod.
Und um diese Augias-Ställe zu bereinigen, muss jedes dieser „Antivirenprogramme“ an den technischen Support schreiben. Für JEDEN Link! Avast reagiert recht schnell, der Rest legt dummerweise ein bekanntes Organ hin.
Aber selbst wenn die Sterne zusammenlaufen und sich herausstellt, dass die Website von den Antiviren-Datenbanken bereinigt wird, ist es der „Mega-Ressource“ virustotal völlig egal. Sind Sie nicht in der Phishtank-Datenbank? Ja, egal, sobald es etwas gab, zeigen wir, was ist. Bist du nicht im Bit-Verteidiger? Egal, wir zeigen Ihnen trotzdem, was es war.
Dementsprechend zeigt jede Software oder jeder Dienst, der sich auf virustotal konzentriert, bis zum Ende der Zeit an, dass auf der Website alles in Ordnung ist. Sie können diese arme Ressource lange und systematisch ausnutzen, und vielleicht haben Sie Glück, da rauszukommen. Aber vielleicht haben Sie kein Glück.
* Unter denen, die die Seite blockierten, war sogar ein Fortinet-Anbieter. Und wir haben die Website immer noch nicht aus einigen Listen mit Phishing-Websites entfernt.
* Dies ist mein erster Beitrag auf Habré. Leider war ich früher nur ein Leser, aber die aktuelle Situation hat mich motiviert, einen Beitrag zu schreiben.
Source: habr.com