Sattusime hiljuti olukorda, kus mitmed viirusetõrjed (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender ja mõned vähemtuntud) hakkasid meie saiti blokeerima. Olukorda uurides jõudsin arusaamisele, et blokinimekirja pääsemine on ülilihtne, vaid paar kaebust (isegi ilma põhjenduseta). Kirjeldan probleemi üksikasjalikumalt hiljem.
Probleem on üsna tõsine, kuna nüüd on peaaegu iga kasutaja installitud viirusetõrje või tulemüür. Ja saidi blokeerimine suure viirusetõrjega nagu Kaspersky võib muuta saidi paljudele kasutajatele kättesaamatuks. Tahaksin juhtida kogukonna tähelepanu probleemile, kuna see avab tohutult ruumi räpastele meetoditele konkurentidega suhtlemisel.
Ma ei anna linki saidile ega näita ettevõtet, et seda ei tajutaks mingisuguse PR-na. Juhin ainult tähelepanu, et sait töötab vastavalt seadusele, ettevõttel on äriregistreering, kõik andmed on lehel antud.
Saime hiljuti klientidelt kaebusi, et Kaspersky Anti-Virus blokeerib meie saidi andmepüügisaidina. Meiepoolne mitmekordne kontroll ei tuvastanud saidil probleeme. Esitasin Kaspersky veebisaidil oleva vormi kaudu avalduse valepositiivse viirusetõrje kohta. Tulemuseks oli vastus:
Kontrollisime teie saadetud linki.
Lingil olev teave kujutab endast kasutajaandmete kadumise ohtu, valepositiivsust pole kinnitatud.
Ei ole esitatud ühtegi tõendit selle kohta, et sait kujutab endast ohtu. Täiendavate päringute peale saadi järgmine vastus:
Kontrollisime teie saadetud linki.
See domeen lisati andmebaasi kasutajate kaebuste tõttu. Link jäetakse andmepüügivastastest andmebaasidest välja, kuid korduvate kaebuste korral lubatakse jälgimine.
Sellest selgub, et piisavaks põhjuseks blokeerimiseks on vähemalt mõne kaebuse olemasolu fakt. Eeldatavasti blokeeritakse sait, kui kaebusi oli rohkem kui teatud arv ja kaebuse kinnitust pole vaja.
Meie puhul saatsid ründajad hulga kaebusi. Ja meie DC ja mitmed viirusetõrjed ja teenused, nagu phishtank. Andmekandja puhul sisaldasid kaebused ainult linki saidile ja viidet sellele, et sait tegeleb andmepüügiga. Ja ometigi kinnitust ei antud.
Selgub, et saate vastumeelsed saidid blokeerida lihtsa kaebuste rämpspostiga. Võib-olla on isegi teenuseid, mis selliseid teenuseid pakuvad. Kui neid seal pole, ilmuvad need ilmselt varsti, arvestades saidi hõlpsat sisestamist mõne viirusetõrje andmebaasi.
Tahaksin kuulda kommentaare Kaspersky esindajatelt. Samuti sooviksin kuulda kommentaare neilt, kes ise sellise probleemiga kokku puutusid ja kui kiiresti see lahenes. Võib-olla soovitab keegi sellistes olukordades legaalseid mõjutamisviise. Meie jaoks tõi olukord kaasa maine- ja rahalise kahju, rääkimata ajakaotusest probleemi lahendamiseks.
Tahaksin olukorrale võimalikult palju tähelepanu juhtida, kuna kõik saidid on ohus.
Lisand.
Kommentaarides andsid nad lingi HerrDirektori huvitavale postitusele selles küsimuses. Tsiteerin teda
Räägin teile lähemalt – kas soovite 10 minutiga probleeme tekitada peaaegu iga saidi jaoks (välja arvatud suurte, julgete ja väga kuulsate saitide puhul)?
Tere tulemast phishtanki.
Registreerime 8-10 kontot (kinnituseks vajad vaid meili), valime välja meelepärase saidi, lisame selle ühelt kontolt kalade andmebaasi (omaniku elu keerulisemaks tegemiseks võid sinna panna mõne geipornot reklaami kääbus selle lisamisel vormi).
Ülejäänud kontode puhul hääletame andmepüügi poolt, kuni nad kirjutavad meile "See on andmepüügi sait!".
Valmis. Istume ja ootame. Kuigi edu kindlustamiseks võite lisada nii http:// kui ka https:// ja kaldkriipsuga lõpus ja ilma kaldkriipsuta või kahe kaldkriipsuga. Ja kui aega on palju, siis saab saidile ka linke lisada. Milleks? Aga miks:6-12 tunni pärast tõmbab Avast üles ja võtab sealt andmed. 24-48 tunni pärast levivad andmed läbi kõikvõimalike "viirusetõrjete" - comodo, bit Defense, clean mx, CRDF, CyRadar ... Kust see kuradi virustotal andmeid imeb.
Muidugi MITTE KEEGI ei kontrolli andmete õigsust, kõik on sügavalt perses.Selle tulemusena hakkab enamik brauseritele, tasuta viirusetõrjetele ja muule tarkvarale mõeldud "viirusetõrjelaiendeid" määratud saidil kõikvõimalikel viisidel vanduma, alates punastest siltidest kuni täisväärtuslike lehtedeni, mis edastavad, et sait on kohutavalt ohtlik ja minge. seal nagu surm.
Ja nende Augeani tallide puhastamiseks peavad kõik need "viirusetõrjed" kirjutama tehnilisele toele. IGA lingi jaoks! Avast reageerib üsna kiiresti, ülejäänud panevad rumalalt tuntud oreli maha.
Kuid isegi kui tähed lähenevad ja selgub, et sait viirusetõrje andmebaasidest puhastatakse, ei huvita “megaressursi” viiruse kogusumma üldse. Kas te pole phishtanki andmebaasis? Jah, ei huvita, kui oli, siis näitame, mis on. Kas sa pole kaitsjas? Pole tähtis, me näitame teile, mis see oli.
Sellest lähtuvalt näitab iga tarkvara või teenus, mis keskendub virustotalile, kuni aegade lõpuni, et saidil on kõik halvasti. Saate seda viletsat ressurssi pikalt ja süstemaatiliselt nokitseda ja ehk läheb õnneks sealt välja saada. Aga sul ei pruugi vedada.
* Saidi blokeerijate hulgas oli isegi fortineti pakkuja. Ja me pole ikka veel seda saiti mõnest andmepüügisaitide loendist eemaldanud.
* See on minu esimene postitus Habré kohta. Kahjuks olin varem lihtsalt lugeja, aga hetkeseis ajendas postitust kirjutama.
Allikas: www.habr.com