Recentemente abbiamo riscontrato una situazione in cui diversi antivirus (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender e diversi antivirus meno conosciuti) hanno iniziato a bloccare il nostro sito web. Lo studio della situazione mi ha portato a capire che è estremamente facile entrare nella blocking list, bastano pochi reclami (anche senza giustificazione). Descriverò il problema più dettagliatamente ulteriormente.
Il problema è piuttosto serio, poiché ormai quasi tutti gli utenti hanno un antivirus o un firewall installato. Inoltre, il blocco di un sito da parte di un importante antivirus come Kaspersky può rendere il sito inaccessibile a un gran numero di utenti. Vorrei attirare l’attenzione della comunità sul problema, poiché apre enormi possibilità a metodi sporchi di trattare con i concorrenti.
Non fornirò un link al sito stesso né indicherò l'azienda, in modo che questo non venga percepito come una sorta di PR. Faccio solo notare che il sito opera a norma di legge, la società ha la registrazione commerciale, tutti i dati sono riportati sul sito.
Recentemente abbiamo riscontrato lamentele da parte dei clienti secondo cui il nostro sito è stato bloccato dall'antivirus Kaspersky come sito di phishing. Numerosi controlli da parte nostra non hanno evidenziato alcun problema sul sito. Ho inviato una segnalazione tramite un modulo sul sito Web di Kaspersky su un falso positivo dell'antivirus. Il risultato è stata la seguente risposta:
Abbiamo controllato il collegamento che hai inviato.
Le informazioni sul collegamento rappresentano un pericolo di perdita dei dati dell'utente; un falso positivo non è stato confermato.
Non è stata fornita alcuna conferma che il sito costituisca una minaccia. Nel corso di ulteriori indagini, è arrivata la seguente risposta:
Abbiamo controllato il collegamento che hai inviato.
Questo dominio è stato aggiunto al database a causa dei reclami degli utenti. Il collegamento verrà escluso dai database anti-phishing, ma il monitoraggio sarà abilitato in caso di ripetuti reclami.
Da qui risulta chiaro che motivo sufficiente per il blocco è il fatto stesso della presenza di almeno alcune denunce. Presumibilmente il sito viene bloccato se ci sono stati più di un certo numero di reclami e non è richiesta alcuna conferma del reclamo.
Nel nostro caso gli aggressori hanno inviato numerose denunce. E al nostro DC, a una serie di antivirus e a servizi come phishtank. Su phishtank, i reclami includevano solo un collegamento al sito e un'indicazione che il sito era un sito di phishing. E questo è tutto, non è stata data alcuna conferma.
Si scopre che puoi bloccare i siti indesiderati con un semplice spam di reclamo. Potrebbero anche esserci servizi che forniscono tali servizi. Se non ci sono, presto appariranno chiaramente, data la facilità di inserimento del sito nei database di alcuni antivirus.
Mi piacerebbe sentire i commenti dei rappresentanti di Kaspersky. Inoltre, mi piacerebbe sentire i commenti di coloro che hanno riscontrato un problema del genere e quanto velocemente è stato risolto. Forse qualcuno consiglierà metodi legali di influenza in tali situazioni. Per noi la situazione ha comportato perdite reputazionali ed economiche, per non parlare della perdita di tempo per risolvere il problema.
Vorrei attirare quanta più attenzione possibile sulla situazione, poiché qualsiasi sito è a rischio.
Supplemento.
Nei commenti hanno fornito un collegamento a un post interessante di HerrDirektor riguardo questo argomento. Lo citerò
Ti dirò di più: vuoi creare problemi per quasi tutti i siti (beh, ad eccezione di quelli grandi, grassi e molto noti) in 10 minuti?
Benvenuto nel phishtank.
Registriamo 8-10 account (ti serve solo un'e-mail di conferma), selezioniamo il sito che ti piace, lo aggiungiamo da un account al database dell'acquario (per rendere la vita più difficile al proprietario, puoi inserire una sorta di lettera pubblicitaria gay porno con nani nel modulo durante l'aggiunta).
Votiamo per il phishing con gli account rimanenti finché non ci scrivono "Questo è un sito di phishing!"
Pronto. Ci sediamo e aspettiamo. Anche se, per consolidare il successo, puoi aggiungere sia http:// che https:// e con una barra alla fine e senza barra, oppure con due barre. E se hai davvero molto tempo, puoi anche aggiungere collegamenti al sito. Per quello? Ecco perché:Dopo 6-12 ore, Avast si avvia e preleva i dati da lì. Dopo 24-48 ore, i dati si diffondono su tutti i tipi di "antivirus": comodo, bit Defender, clean mx, CRDF, CyRadar... Da dove il maledetto virustotal risucchia i dati.
Naturalmente NESSUNO controlla l'esattezza dei dati, a nessuno frega niente.Di conseguenza, la maggior parte delle estensioni "antivirus" per browser, antivirus gratuiti e altri software iniziano a imprecare sul sito specificato in tutti i modi, dai segni rossi alle pagine a tutti gli effetti che trasmettono che il sito è terribilmente pericoloso e che è difficile andarci. come la morte.
E per sgomberare queste stalle augustee ciascuno di questi “antivirus” deve scrivere al supporto tecnico. Per OGNI collegamento! Avast reagisce abbastanza rapidamente, il resto piega stupidamente il noto organo.
Ma anche se le stelle si allineano ed è possibile pulire il sito dai database antivirus, la "mega risorsa" virustotal non si preoccupa affatto. Non sei nel database di Phishtank? Non importa, c'era una volta, mostreremo di cosa si tratta. Non sei un po' difensore? Non importa, mostreremo comunque cosa è successo.
Di conseguenza, qualsiasi software o servizio incentrato su virustotal mostrerà fino alla fine dei tempi che tutto va male sul sito. Puoi dedicare molto tempo a martellare sistematicamente questa miserabile risorsa e forse sarai fortunato a uscire da lì. Ma potresti non essere così fortunato.
* Anche il provider Fortinet era tra coloro che bloccavano il sito. E non abbiamo ancora rimosso il sito da alcuni elenchi di siti di phishing.
* Questo è il mio primo post su Habré. Sfortunatamente, ero solo un lettore, ma la situazione attuale mi ha motivato a scrivere un post.
Fonte: habr.com