Nous avons récemment rencontré une situation où un certain nombre d'antivirus (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender et quelques autres moins connus) ont commencé à bloquer notre site. L'étude de la situation m'a amené à comprendre que l'inscription sur la liste de blocage est extrêmement simple, juste quelques plaintes (même sans justification). Je décrirai le problème plus en détail plus tard.
Le problème est assez grave, car presque tous les utilisateurs disposent désormais d'un antivirus ou d'un pare-feu. Et bloquer un site avec un antivirus majeur comme Kaspersky peut rendre un site inaccessible à un grand nombre d'utilisateurs. Je voudrais attirer l'attention de la communauté sur le problème, car il ouvre un champ énorme pour les méthodes sales de traiter avec les concurrents.
Je ne donnerai pas de lien vers le site lui-même ni n'indiquerai l'entreprise, afin qu'il ne soit pas perçu comme une sorte de relations publiques. Je soulignerai seulement que le site fonctionne conformément à la loi, la société a un enregistrement commercial, toutes les données sont données sur le site.
Nous avons récemment reçu des plaintes de clients indiquant que notre site était bloqué par Kaspersky Anti-Virus en tant que site de phishing. De multiples vérifications de notre part n'ont révélé aucun problème sur le site. J'ai déposé une demande via le formulaire sur le site Web de Kaspersky concernant un antivirus faussement positif. Le résultat a été une réponse :
Nous avons vérifié le lien que vous avez envoyé.
Les informations sur le lien constituent une menace de perte de données utilisateur, un faux positif n'a pas été confirmé.
Aucune preuve que le site constitue une menace n'a été donnée. Suite à de nouvelles demandes de renseignements, la réponse suivante a été reçue :
Nous avons vérifié le lien que vous avez envoyé.
Ce domaine a été ajouté à la base de données en raison de plaintes d'utilisateurs. Le lien sera exclu des bases de données anti-phishing, mais la surveillance sera activée en cas de plaintes répétées.
Il en ressort clairement qu'une raison suffisante de blocage est le fait même de la présence d'au moins certaines plaintes. Vraisemblablement, le site est bloqué s'il y a plus qu'un certain nombre de plaintes, et aucune confirmation de la plainte n'est requise.
Dans notre cas, les agresseurs ont envoyé un certain nombre de plaintes. Et notre DC, et un certain nombre d'antivirus, et de services tels que phishtank. Sur phishtank, les plaintes ne comprenaient qu'un lien vers le site et une indication que le site faisait du phishing. Et pourtant, aucune confirmation n'a été donnée.
Il s'avère que vous pouvez bloquer les sites répréhensibles avec un simple spam de plaintes. Il existe peut-être même des services qui fournissent de tels services. S'ils n'y sont pas, ils apparaîtront évidemment bientôt, vu la facilité d'entrée du site dans les bases de données de certains antivirus.
J'aimerais entendre les commentaires des représentants de Kaspersky. De plus, j'aimerais entendre les commentaires de ceux qui ont eux-mêmes rencontré un tel problème et la rapidité avec laquelle il a été résolu. Peut-être que quelqu'un conseillera des méthodes légales d'influence, dans de telles situations. Pour nous, la situation entraînait des pertes de réputation et financières, sans parler de la perte de temps pour résoudre le problème.
Je voudrais attirer le plus d'attention possible sur la situation, car tout site est à risque.
Supplément.
Dans les commentaires, ils ont donné un lien vers un article intéressant de HerrDirektor sur cette question. je vais le citer
Je vais vous en dire plus - voulez-vous créer des problèmes pour presque n'importe quel site en 10 minutes (enfin, sauf pour les grands, audacieux et très célèbres) ?
Bienvenue sur Phishtank.
Nous enregistrons 8 à 10 comptes (vous n'avez besoin que d'un e-mail pour confirmation), sélectionnez le site que vous aimez, ajoutez-le d'un compte à la base de données fishtank (pour rendre la vie plus difficile au propriétaire, vous pouvez mettre une lettre annonçant du porno gay avec nains dans le formulaire lors de son ajout).
Avec les comptes restants, nous votons pour le phishing jusqu'à ce qu'ils nous écrivent « Ceci est un site de phishing ! ».
Prêt. Nous nous asseyons et attendons. Cependant, pour consolider le succès, vous pouvez ajouter à la fois http:// et https:// et avec une barre oblique à la fin et sans barre oblique, ou avec deux barres obliques. Et s'il y a beaucoup de temps, des liens peuvent également être ajoutés au site. Pour quelle raison? Mais pourquoi:Après 6 à 12 heures, Avast s'arrête et prend des données à partir de là. Au bout de 24-48 heures, les données se propagent à travers toutes sortes "d'antivirus" - comodo, bit defender, clean mx, CRDF, CyRadar... D'où le putain de virustotal qui aspire les données.
Bien sûr, PERSONNE ne vérifie l'exactitude des données, tout le monde est profondément foutu.Et par conséquent, la plupart des extensions "antivirus" pour navigateurs, antivirus gratuits et autres logiciels commencent à jurer sur le site spécifié de toutes sortes de manières, des panneaux rouges aux pages à part entière diffusant que le site est terriblement dangereux et s'en vont là comme la mort.
Et pour nettoyer ces écuries d'Augias, chacun de ces « antivirus » doit écrire au support technique. Pour CHAQUE lien ! Avast réagit assez rapidement, le reste fixe bêtement un organe bien connu.
Mais même si les étoiles convergent et qu'il s'avère nettoyer le site des bases de données antivirus, alors le virustotal «méga-ressource» ne s'en soucie pas du tout. Vous n'êtes pas dans la base de données de phishtank ? Oui, s'en fout, une fois qu'il y en a eu, on montrera ce qu'il en est. N'êtes-vous pas peu défenseur? Ce n'est pas grave, nous allons vous montrer ce que c'était de toute façon.
En conséquence, tout logiciel ou service qui se concentre sur virustotal montrera jusqu'à la fin des temps que tout va mal sur le site. Vous pouvez picorer longtemps et systématiquement cette pauvre ressource, et peut-être aurez-vous la chance de vous en sortir. Mais vous n'aurez peut-être pas de chance.
* Parmi ceux qui bloquent le site, il y avait même un fournisseur fortinet. Et nous n'avons toujours pas supprimé le site de certaines listes de sites de phishing.
* Ceci est mon premier post sur Habré. Malheureusement, j'étais juste un lecteur, mais la situation actuelle m'a motivé à écrire un article.
Source: habr.com