Törmäsimme äskettäin tilanteeseen, jossa useat virustorjuntaohjelmat (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender ja muutama vähemmän tunnettu) alkoivat estää verkkosivustoamme. Tilanteen tutkiminen sai minut ymmärtämään, että estolistalle pääsy on äärimmäisen yksinkertaista, vain muutama valitus (jopa ilman perusteluja). Kuvaan ongelmaa tarkemmin myöhemmin.
Ongelma on melko vakava, koska nyt lähes jokaisella käyttäjällä on virustorjunta tai palomuuri asennettuna. Ja sivuston estäminen suurella virustorjuntaohjelmalla, kuten Kaspersky, voi tehdä sivuston saavuttamattomiksi suurelle määrälle käyttäjiä. Haluaisin kiinnittää yhteisön huomion ongelmaan, sillä se avaa valtavasti mahdollisuuksia likaisille tavoille käsitellä kilpailijoita.
En anna linkkiä itse sivustolle enkä ilmoita yritystä, jotta sitä ei pidettäisi jonkinlaisena PR:na. Korostan vain, että sivusto toimii lain mukaisesti, yrityksellä on kaupallinen rekisteröinti, kaikki tiedot on annettu sivustolla.
Saimme äskettäin asiakkailta valituksia siitä, että Kaspersky Anti-Virus esti sivustomme tietojenkalastelusivustona. Useat tarkastukset eivät paljastaneet sivustolla ongelmia. Jätin hakemuksen Kasperskyn verkkosivustolla olevan lomakkeen kautta koskien väärää positiivista virustorjuntaa. Tuloksena oli vastaus:
Tarkistimme lähettämäsi linkin.
Linkin tiedot uhkaavat käyttäjätietojen katoamista, väärää positiivista ei ole vahvistettu.
Sivuston uhkaamisesta ei ole esitetty näyttöä. Lisätiedusteluihin saatiin seuraava vastaus:
Tarkistimme lähettämäsi linkin.
Tämä verkkotunnus lisättiin tietokantaan käyttäjien valitusten vuoksi. Linkki suljetaan pois phishing-tietokannoista, mutta valvonta otetaan käyttöön toistuvien valitusten yhteydessä.
Tästä käy selväksi, että riittävä syy estämiseen on itse ainakin joidenkin valitusten olemassaolo. Oletettavasti sivusto on estetty, jos valituksia oli enemmän kuin tietty määrä, eikä valituksen vahvistusta vaadita.
Meidän tapauksessamme hyökkääjät lähettivät useita valituksia. Ja meidän DC, ja joukko virustorjuntaohjelmia ja palveluita, kuten phishtank. Phishtankissa valitukset sisälsivät vain linkin sivustolle ja viittauksen siitä, että sivusto oli tietojenkalastelu. Ja silti, vahvistusta ei annettu.
Osoittautuu, että voit estää epämiellyttävät sivustot yksinkertaisella roskapostilla. Ehkä on jopa palveluita, jotka tarjoavat tällaisia palveluita. Jos niitä ei ole, ne ilmeisesti ilmestyvät pian, koska sivusto on helppo syöttää joidenkin virustorjuntaohjelmien tietokantoihin.
Haluaisin kuulla kommentteja Kasperskyn edustajilta. Haluaisin myös kuulla kommentteja niiltä, jotka itse ovat kohdanneet tällaisen ongelman ja kuinka nopeasti se ratkesi. Ehkä joku neuvoo tällaisissa tilanteissa laillisia vaikuttamismenetelmiä. Meille tilanne aiheutti maine- ja taloudellisia menetyksiä, puhumattakaan ajanhukkaa ongelman ratkaisemiseen.
Haluan kiinnittää mahdollisimman paljon huomiota tilanteeseen, koska kaikki sivustot ovat vaarassa.
Täydentää.
Kommenteissa he antoivat linkin mielenkiintoiseen HerrDirektorin viestiin tässä asiassa. Lainaan häntä
Kerron sinulle lisää - haluatko luoda ongelmia melkein mille tahansa sivustolle 10 minuutissa (no, paitsi suurille, rohkeille ja erittäin kuuluisille)?
Tervetuloa phishtankiin.
Rekisteröimme 8-10 tiliä (vahvistukseen tarvitset vain sähköpostin), valitsemme haluamasi sivuston, lisäämme sen yhdeltä tililtä kalatankkitietokantaan (omistajan elämän vaikeuttamiseksi voit laittaa homopornoa mainostavaan kirjeeseen kääpiö muotoon lisättäessä).
Jäljellä olevilla tileillä äänestämme tietojenkalastelua, kunnes he kirjoittavat meille "Tämä on tietojenkalastelusivusto!".
Valmis. Istumme ja odotamme. Vaikka onnistumisen vahvistamiseksi voit lisätä sekä http://- että https://- ja kauttaviivalla lopussa ja ilman kauttaviivaa tai kahdella kauttaviivalla. Ja jos aikaa on paljon, sivustolle voidaan myös lisätä linkkejä. Minkä vuoksi? Mutta miksi:6–12 tunnin kuluttua Avast vetäytyy ja ottaa tietoja sieltä. 24-48 tunnin kuluttua data leviää kaikenlaisten "virustorjuntaohjelmien" kautta - comodo, bit Defense, clean mx, CRDF, CyRadar... Mistä vitun virustotal imee dataa.
Tietenkään KUKAAN EI tarkista tietojen oikeellisuutta, kaikki ovat syvästi perseestä.Tämän seurauksena useimmat selaimien "virustorjunta"-laajennukset, ilmaiset virustorjuntaohjelmat ja muut ohjelmistot alkavat vannoa määritettyä sivustoa eri tavoin, punaisista merkeistä täysimittaisiin sivuihin, jotka lähettävät sivuston olevan hirveän vaarallinen. siellä kuin kuolema.
Ja näiden Augean-tallien siivoamiseksi jokaisen näistä "viruksentorjuntaohjelmista" on kirjoitettava tekniseen tukeen. JOKAISESTA linkistä! Avast reagoi melko nopeasti, loput makaavat tyhmästi tutun urut.
Mutta vaikka tähdet lähentyisivät ja osoittautuisi puhdistavan sivuston virustentorjuntatietokannoista, niin "megaresurssi" virustotal ei välitä ollenkaan. Etkö ole phishtankin tietokannassa? Kyllä, älä välitä, kun oli, näytämme mitä on. Etkö ole vähän puolustaja? Ei haittaa, näytämme sinulle, mikä se oli joka tapauksessa.
Näin ollen mikä tahansa virustotaliin keskittyvä ohjelmisto tai palvelu näyttää aikojen loppuun asti, että sivustolla on kaikki huonosti. Voit nokkia tätä köyhää resurssia pitkään ja systemaattisesti, ja ehkä olet onnekas päästäksesi sieltä pois. Mutta et ehkä ole onnekas.
* Sivuston estäjien joukossa oli jopa Fortinet-palveluntarjoaja. Emme ole vieläkään poistaneet sivustoa joistakin tietojenkalastelusivustojen luetteloista.
* Tämä on ensimmäinen viestini Habresta. Valitettavasti olin ennen vain lukija, mutta nykyinen tilanne sai minut kirjoittamaan postauksen.
Lähde: will.com