Baru-baru ini kami mengalami situasi di mana sejumlah antivirus (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender, dan beberapa yang kurang dikenal) mulai memblokir situs kami. Mempelajari situasi membuat saya memahami bahwa masuk ke daftar blokir itu sangat sederhana, hanya beberapa keluhan (bahkan tanpa pembenaran). Saya akan menjelaskan masalahnya lebih detail nanti.
Masalahnya cukup serius, karena sekarang hampir setiap pengguna menginstal antivirus atau firewall. Dan memblokir situs dengan antivirus utama seperti Kaspersky dapat membuat situs tidak dapat diakses oleh banyak pengguna. Saya ingin menarik perhatian komunitas pada masalah ini, karena ini membuka ruang lingkup yang sangat besar untuk metode kotor dalam menghadapi pesaing.
Saya tidak akan memberikan tautan ke situs itu sendiri atau menunjukkan perusahaannya, sehingga tidak dianggap sebagai semacam PR. Saya hanya akan menunjukkan bahwa situs tersebut berfungsi menurut hukum, perusahaan memiliki pendaftaran komersial, semua data diberikan di situs.
Baru-baru ini kami menemukan keluhan dari pelanggan bahwa situs kami diblokir oleh Kaspersky Anti-Virus sebagai situs phishing. Beberapa pemeriksaan di pihak kami tidak mengungkapkan masalah apa pun di situs. Saya mengajukan permohonan melalui formulir di situs web Kaspersky tentang antivirus positif palsu. Hasilnya adalah tanggapan:
Kami memeriksa tautan yang Anda kirimkan.
Informasi pada tautan menimbulkan ancaman hilangnya data pengguna, positif palsu belum dikonfirmasi.
Tidak ada bukti bahwa situs tersebut menimbulkan ancaman telah diberikan. Setelah pertanyaan lebih lanjut, tanggapan berikut diterima:
Kami memeriksa tautan yang Anda kirimkan.
Domain ini ditambahkan ke database karena keluhan pengguna. Tautan tersebut akan dikecualikan dari basis data anti-phishing, tetapi pemantauan akan diaktifkan jika ada keluhan berulang.
Dari sini menjadi jelas bahwa alasan pemblokiran yang cukup adalah fakta adanya setidaknya beberapa keluhan. Agaknya situs tersebut diblokir jika terdapat lebih dari sejumlah keluhan, dan tidak diperlukan konfirmasi atas keluhan tersebut.
Dalam kasus kami, penyerang mengirimkan sejumlah keluhan. Dan DC kami, dan sejumlah antivirus, dan layanan seperti phishtank. Di phishtank, keluhan hanya menyertakan tautan ke situs, dan indikasi bahwa situs tersebut adalah phishing. Namun, tidak ada konfirmasi yang diberikan.
Ternyata Anda dapat memblokir situs yang tidak menyenangkan dengan keluhan spam sederhana. Bahkan mungkin ada layanan yang menyediakan layanan seperti itu. Jika tidak ada, jelas akan segera muncul, mengingat kemudahan memasukkan situs ke database beberapa antivirus.
Saya ingin mendengar komentar dari perwakilan Kaspersky. Juga, saya ingin mendengar komentar dari mereka yang mengalami masalah seperti itu dan seberapa cepat diselesaikan. Mungkin seseorang akan menyarankan metode pengaruh hukum, dalam situasi seperti itu. Bagi kami, situasi tersebut menimbulkan kerugian reputasi dan finansial, belum lagi hilangnya waktu untuk menyelesaikan masalah.
Saya ingin menarik perhatian sebanyak mungkin pada situasi ini, karena situs mana pun berisiko.
Selain itu.
Di kolom komentar mereka memberikan tautan ke postingan menarik dari HerrDirektor tentang masalah ini. Saya akan mengutip dia
Saya akan memberi tahu Anda lebih banyak - apakah Anda ingin membuat masalah untuk hampir semua situs dalam 10 menit (yah, kecuali yang besar, tebal, dan sangat terkenal)?
Selamat datang di phishtank.
Kami mendaftarkan 8-10 akun (Anda hanya perlu email untuk konfirmasi), pilih situs yang Anda suka, tambahkan dari satu akun ke database fishtank (untuk mempersulit hidup pemiliknya, Anda dapat memasang beberapa surat iklan porno gay dengan katai ke dalam bentuk saat menambahkannya).
Dengan akun yang tersisa, kami memilih phishing sampai mereka menulis kepada kami "Ini adalah situs phish!".
Siap. Kami duduk dan menunggu. Meskipun, untuk mengkonsolidasikan kesuksesan, Anda dapat menambahkan http:// dan https:// dan dengan garis miring di bagian akhir dan tanpa garis miring, atau dengan dua garis miring. Dan jika waktunya banyak, maka link juga bisa ditambahkan ke situs. Untuk apa? Tapi kenapa:Setelah 6-12 jam, Avast menarik dan mengambil data dari sana. Setelah 24-48 jam, data menyebar melalui semua jenis "antivirus" - comodo, bit defender, clean mx, CRDF, CyRadar ... Dari mana virustotal menyedot data.
Tentu saja, TIDAK ADA YANG memeriksa keakuratan datanya, semua orang sangat kacau.Dan sebagai hasilnya, sebagian besar ekstensi "antivirus" untuk browser, antivirus gratis, dan perangkat lunak lain mulai bersumpah di situs yang ditentukan dengan berbagai cara, dari tanda merah hingga halaman lengkap yang menyiarkan bahwa situs tersebut sangat berbahaya dan pergi ada seperti kematian.
Dan untuk membersihkan kandang Augean ini, masing-masing "antivirus" ini harus menulis ke dukungan teknis. Untuk SETIAP tautan! Avast bereaksi cukup cepat, sisanya dengan bodohnya meletakkan organ terkenal.
Tetapi bahkan jika bintang-bintang bertemu dan ternyata membersihkan situs dari database antivirus, virustotal "mega-resource" tidak peduli sama sekali. Apakah Anda tidak ada di basis data phishtank? Ya, tidak peduli, begitu ada, kami akan menunjukkan apa adanya. Apakah Anda tidak sedikit bek? Tidak masalah, kami akan menunjukkan kepada Anda apa itu.
Karenanya, perangkat lunak atau layanan apa pun yang berfokus pada virustotal akan menunjukkan hingga akhir waktu bahwa semuanya buruk di situs. Anda dapat mematuk sumber daya yang buruk ini untuk waktu yang lama dan sistematis, dan mungkin Anda akan beruntung keluar dari sana. Tapi Anda mungkin tidak beruntung.
* Di antara yang memblokir situs tersebut, bahkan ada penyedia fortinet. Dan kami masih belum menghapus situs tersebut dari beberapa daftar situs phishing.
* Ini adalah posting pertama saya di HabrΓ©. Sayangnya, saya dulunya hanya seorang pembaca, tetapi situasi saat ini memotivasi saya untuk menulis postingan.
Sumber: www.habr.com