Recentemente atopamos unha situación na que varios antivirus (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender e varios menos coñecidos) comezaron a bloquear o noso sitio web. Estudar a situación levoume a entender que é moi doado entrar na lista de bloqueo; só unhas poucas queixas (aínda sen xustificación) son suficientes. Vou describir o problema con máis detalle.
O problema é bastante grave, xa que agora case todos os usuarios teñen instalado un antivirus ou firewall. E bloquear un sitio por un antivirus importante como Kaspersky pode facer que o sitio sexa inaccesible para un gran número de usuarios. Gustaríame chamar a atención da comunidade sobre o problema, xa que abre un espazo enorme para métodos sucios de tratar cos competidores.
Non proporcionarei unha ligazón ao sitio en si nin indicarei a empresa, para que isto non se perciba como algún tipo de RP. Só vou sinalar que o sitio funciona segundo a lei, a empresa ten un rexistro comercial, todos os datos se dan no sitio.
Recentemente atopamos queixas de clientes de que o noso sitio foi bloqueado polo antivirus Kaspersky como sitio de phishing. Varias comprobacións pola nosa parte non revelaron ningún problema no sitio. Enviei un informe a través dun formulario no sitio web de Kaspersky sobre un falso positivo do antivirus. O resultado foi a seguinte resposta:
Comprobamos a ligazón que enviaches.
A información da ligazón supón unha ameaza de perda de datos do usuario; non se confirmou un falso positivo.
Non se deu confirmación de que o sitio representa unha ameaza. Durante as posteriores consultas recibiuse a seguinte resposta:
Comprobamos a ligazón que enviaches.
Este dominio engadiuse á base de datos debido ás queixas dos usuarios. A ligazón quedará excluída das bases de datos anti-phishing, pero habilitarase o seguimento en caso de queixas reiteradas.
A partir de aquí queda claro que un motivo suficiente para o bloqueo é o feito mesmo da presenza de polo menos algunhas queixas. Presumiblemente, o sitio está bloqueado se houbo máis dun determinado número de queixas e non se require ningunha confirmación da queixa.
No noso caso, os atacantes enviaron unha serie de denuncias. E para o noso DC, e para unha serie de antivirus e para servizos como phishtank. No phishtank, as queixas só incluían unha ligazón ao sitio e unha indicación de que o sitio era un sitio de phishing. E xa está, non se deu ningunha confirmación.
Resulta que podes bloquear sitios non desexados con spam de queixas simples. Incluso pode haber servizos que ofrecen tales servizos. Se non están alí, aparecerán claramente en breve, dada a facilidade de entrar no sitio nas bases de datos dalgúns antivirus.
Gustaríame escoitar os comentarios dos representantes de Kaspersky. Ademais, gustaríame escoitar os comentarios de aqueles que se atoparon con tal problema e a rapidez con que se resolveu. Quizais alguén aconselle métodos legais de influencia en tales situacións. Para nós, a situación supuxo perdas reputacionais e monetarias, sen esquecer a perda de tempo para resolver o problema.
Gustaríame chamar o máximo de atención posible sobre a situación, xa que calquera sitio está en perigo.
Adición.
Nos comentarios proporcionaron unha ligazón a unha publicación interesante de HerrDirektor sobre esta cuestión. Vou citalo
Vouche dicir máis: queres crear problemas para case calquera sitio (ben, excepto para os grandes, gordos e moi coñecidos) en 10 minutos?
Benvido a phishtank.
Rexistramos de 8 a 10 contas (só necesitas un correo electrónico para a confirmación), selecciona o sitio que che gusta, engádeo desde unha conta á base de datos do acuario (para facerlle a vida máis difícil ao propietario, podes inserir algún tipo de carta anunciando gays). porno con ananos no formulario ao engadir).
Votamos a favor do phishing coas contas restantes ata que nos escriban "Este é un sitio de phishing!"
Listo. Sentámonos e agardamos. Aínda que, para consolidar o éxito, pódese engadir tanto http:// como https:// e cunha barra ao final e sen barra, ou con dúas barras. E se realmente tes moito tempo, tamén podes engadir ligazóns ao sitio. Para qué? Aquí tes por que:Despois de 6-12 horas, Avast leva os datos desde alí. Despois de 24-48 horas, os datos esténdense por todo tipo de "antivirus": comodo, bit defender, clean mx, CRDF, CyRadar... De onde o puto virus total absorbe os datos.
Por suposto, NINGUÉN verifica a exactitude dos datos, a ninguén lle importa.E como resultado, a maioría das extensións "antivirus" para navegadores, antivirus gratuítos e outro software comezan a xurar o sitio especificado de todo tipo de formas, desde sinais vermellos ata páxinas completas que transmiten que o sitio é terriblemente perigoso e ir alí. coma a morte.
E para limpar estes establos de Augean, cada un destes "antivirus" ten que escribir ao soporte técnico. Para TODAS as ligazóns! Avast reacciona bastante rápido, o resto dobra estúpidamente o coñecido órgano.
Pero aínda que as estrelas se aliñan e é posible limpar o sitio das bases de datos antivirus, o total do virus "mega-recurso" non lle importa nada. Non estás na base de datos de phishtank? Non importa, estivo alí unha vez, mostraremos o que é. Non estás en pouco defensor? Non importa, ensinarémosche de todos os xeitos o que foi.
En consecuencia, calquera software ou servizo que se centre no virustotal mostrará ata o final dos tempos que todo está mal no sitio. Podes pasar moito tempo martelando sistematicamente este miserable recurso e quizais teñas sorte de saír de aí. Pero quizais non teñas tanta sorte.
* Incluso o provedor de Fortinet estaba entre os que bloquearon o sitio. E aínda non eliminamos o sitio dalgunhas listas de sitios de phishing.
* Esta é a miña primeira publicación en Habré. Por desgraza, adoitaba ser só un lector, pero a situación actual motivoume a escribir unha publicación.
Fonte: www.habr.com