Recientemente nos encontramos con una situación en la que varios antivirus (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender y algunos menos conocidos) comenzaron a bloquear nuestro sitio. El estudio de la situación me llevó a comprender que ingresar a la lista de bloqueo es extremadamente simple, solo algunas quejas (incluso sin justificación). Más adelante describiré el problema con más detalle.
El problema es bastante grave, ya que ahora casi todos los usuarios tienen instalado un antivirus o firewall. Y bloquear un sitio con un antivirus importante como Kaspersky puede hacer que un sitio sea inaccesible para una gran cantidad de usuarios. Me gustaría llamar la atención de la comunidad sobre el problema, ya que abre un gran campo para los métodos sucios de tratar con los competidores.
No daré un enlace al sitio en sí ni indicaré la empresa, para que no se perciba como algún tipo de relaciones públicas. Solo señalaré que el sitio funciona de acuerdo con la ley, la empresa tiene registro comercial, todos los datos se proporcionan en el sitio.
Recientemente encontramos quejas de clientes de que Kaspersky Anti-Virus estaba bloqueando nuestro sitio como un sitio de phishing. Múltiples controles de nuestra parte no revelaron ningún problema en el sitio. Presenté una solicitud a través del formulario en el sitio web de Kaspersky sobre un antivirus falso positivo. El resultado fue una respuesta:
Verificamos el enlace que enviaste.
La información del enlace representa una amenaza de pérdida de datos del usuario, no se ha confirmado un falso positivo.
No se ha proporcionado evidencia de que el sitio represente una amenaza. Tras más consultas, se recibió la siguiente respuesta:
Verificamos el enlace que enviaste.
Este dominio se agregó a la base de datos debido a las quejas de los usuarios. El enlace quedará excluido de las bases de datos anti-phishing, pero se habilitará el seguimiento en caso de reiteradas denuncias.
De esto queda claro que una razón suficiente para el bloqueo es el hecho mismo de la presencia de al menos algunas quejas. Presuntamente, el sitio está bloqueado si hubo más de un cierto número de quejas y no se requiere confirmación de la queja.
En nuestro caso, los atacantes enviaron una serie de denuncias. Y nuestro DC, y una serie de antivirus y servicios como phishtank. En phishtank, las quejas incluían solo un enlace al sitio y una indicación de que el sitio era phishing. Y, sin embargo, no se dio ninguna confirmación.
Resulta que puedes bloquear sitios objetables con un simple spam de quejas. Tal vez incluso haya servicios que brinden dichos servicios. Si no están, obviamente aparecerán pronto, dada la facilidad de ingresar el sitio en las bases de datos de algunos antivirus.
Me gustaría escuchar los comentarios de los representantes de Kaspersky. Además, me gustaría escuchar los comentarios de aquellos que se encontraron con un problema de este tipo y la rapidez con la que se resolvió. Quizás alguien aconseje métodos legales de influencia, en tales situaciones. Para nosotros, la situación supuso pérdidas reputacionales y económicas, por no hablar de la pérdida de tiempo para solucionar el problema.
Me gustaría llamar la mayor atención posible sobre la situación, ya que cualquier sitio está en riesgo.
Suplemento
En los comentarios dieron un enlace a una publicación interesante de HerrDirektor en este tema. lo citaré
Te diré más: ¿quieres crear problemas para casi cualquier sitio en 10 minutos (bueno, excepto los grandes, audaces y muy famosos)?
Bienvenido a Phishtank.
Registramos 8-10 cuentas (solo necesita un correo electrónico para la confirmación), seleccionamos el sitio que le gusta, lo agregamos desde una cuenta a la base de datos de fishtank (para hacerle la vida más difícil al propietario, puede poner alguna carta que anuncie porno gay con se empequeñece en la forma al agregarlo).
Con las cuentas restantes, votamos por phishing hasta que nos escriben "¡Este es un sitio de phishing!".
Listo. Nos sentamos y esperamos. Aunque, para consolidar el éxito, puedes añadir tanto http:// como https:// y con barra al final y sin barra, o con dos barras. Y si hay mucho tiempo, también se pueden agregar enlaces al sitio. ¿Para qué? Pero por qué:Después de 6 a 12 horas, Avast se detiene y toma datos de allí. Después de 24-48 horas, los datos se propagan a través de todo tipo de "antivirus": comodo, bit defender, clean mx, CRDF, CyRadar... De donde el maldito virustotal chupa los datos.
Por supuesto, NADIE verifica la precisión de los datos, todos están profundamente jodidos.Y como resultado, la mayoría de las extensiones "antivirus" para navegadores, antivirus gratuitos y otro software comienzan a maldecir en el sitio especificado de muchas maneras, desde señales rojas hasta páginas completas que transmiten que el sitio es terriblemente peligroso y listo. allí como la muerte.
Y para limpiar estos establos de Augean, cada uno de estos "antivirus" tiene que escribir al soporte técnico. ¡Para CADA enlace! Avast reacciona con bastante rapidez, el resto estúpidamente coloca un órgano conocido.
Pero incluso si las estrellas convergen y resulta que limpian el sitio de las bases de datos antivirus, entonces al virustotal de "mega-recursos" no le importa en absoluto. ¿No estás en la base de datos de phishtank? Eso sí, no importa, una vez que hubo, vamos a mostrar lo que es. ¿No estás en bit defender? No importa, te mostraremos lo que era de todos modos.
En consecuencia, cualquier software o servicio que se centre en virustotal mostrará hasta el final de los tiempos que todo está mal en el sitio. Puedes picotear este pobre recurso durante mucho tiempo y de manera sistemática, y tal vez tengas suerte de salir de allí. Pero puede que no tengas suerte.
* Entre los que bloquean el sitio, había incluso un proveedor de fortinet. Y todavía no hemos eliminado el sitio de algunas listas de sitios de phishing.
* Esta es mi primera publicación en Habré. Desafortunadamente, solía ser solo un lector, pero la situación actual me motivó a escribir una publicación.
Fuente: habr.com