לאחרונה נתקלנו במצב שבו מספר אנטי-וירוסים (קספרסקי, קווטרה, מקאפי, Norton Safe Web, Bitdefender ועוד כמה פחות מוכרים) החלו לחסום את האתר שלנו. לימוד המצב הוביל אותי להבין שקל מאוד להיכנס לרשימת החסימות; מספיקות רק כמה תלונות (גם ללא הצדקה). אתאר את הבעיה ביתר פירוט.
הבעיה היא די רצינית, שכן כעת כמעט לכל משתמש מותקן אנטי וירוס או חומת אש. וחסימת אתר על ידי אנטי וירוס גדול כמו קספרסקי עלולה להפוך את האתר לבלתי נגיש למספר רב של משתמשים. אני רוצה להפנות את תשומת לב הקהילה לבעיה, שכן היא פותחת מרחב עצום לשיטות מלוכלכות להתמודדות עם מתחרים.
לא אתן קישור לאתר עצמו ולא אציין את החברה, כדי שהדבר לא ייתפס כסוג של יחסי ציבור. אציין רק כי האתר פועל על פי חוק, לחברה רישום מסחרי, כל הנתונים ניתנים באתר.
לאחרונה נתקלנו בתלונות של לקוחות על כך שהאתר שלנו נחסם על ידי אנטי וירוס קספרסקי כאתר דיוג. בדיקות מרובות מצידנו לא גילו בעיות כלשהן באתר. הגשתי דיווח באמצעות טופס באתר קספרסקי על גילוי שקרי של האנטי וירוס. התוצאה הייתה התגובה הבאה:
בדקנו את הקישור ששלחת.
המידע בקישור מהווה איום של אובדן נתוני משתמש; חיובי שגוי לא אושר.
לא ניתן אישור לכך שהאתר מהווה איום. במהלך פניות נוספות התקבלה התגובה הבאה:
בדקנו את הקישור ששלחת.
נתן שם תחום נוסף למסד הנתונים עקב תלונות משתמשים. הקישור יוסר ממאגרי המידע של אנטי-פישינג, אך ניטור לתלונות חוזרות יופעל.
מכאן מתברר כי סיבה מספקת לחסימה היא עצם קיומן של לפחות חלק מהתלונות. ככל הנראה האתר נחסם במידה והיו יותר ממספר מסוים של תלונות, ואין צורך באישור התלונה.
במקרה שלנו, התוקפים שלחו מספר תלונות. ול-DC שלנו, ולמספר אנטי וירוסים, ולשירותים כמו phishtank. ב-phishtank, התלונות כללו רק קישור לאתר, וציון שהאתר הוא אתר פישינג. וזהו, לא ניתן אישור.
מסתבר שניתן לחסום אתרים לא רצויים באמצעות ספאם פשוט של תלונות. יתכנו אפילו שירותים המספקים שירותים כאלה. אם הם לא שם, הם יופיעו בבירור בקרוב, לאור הקלות של הכניסה לאתר למאגרי המידע של כמה אנטי-וירוסים.
אני רוצה לשמוע הערות מנציגי קספרסקי. כמו כן, אשמח לשמוע הערות ממי שנתקלו בעצמם בבעיה כזו ובאיזו מהירות היא נפתרה. אולי מישהו ייעץ לשיטות חוקיות להשפעה במצבים כאלה. מבחינתנו המצב גרם להפסדי מוניטין וכספים, שלא לדבר על אובדן זמן לפתרון הבעיה.
אני רוצה להפנות כמה שיותר תשומת לב למצב, מכיוון שכל אתר נמצא בסיכון.
חיבור.
בתגובות הם סיפקו קישור לפוסט מעניין של HerrDirektor בנושא זה. אני אצטט אותו
אני אגיד לך יותר - האם אתה רוצה ליצור בעיות כמעט לכל אתר (טוב, פרט לאתרים גדולים, שמנים ומוכרים מאוד) תוך 10 דקות?
ברוכים הבאים ל-phishtank.
אנו רושמים 8-10 חשבונות (צריך רק מייל לאישור), בחר את האתר שאתה אוהב, הוסף אותו מחשבון אחד למאגר fishtank (כדי להקשות על הבעלים, אתה יכול להכניס איזה מכתב פרסום הומו פורנו עם גמדים לתוך הטופס בעת הוספה).
אנו מצביעים עבור דיוג עם החשבונות הנותרים עד שהם כותבים לנו "זהו אתר דיוג!"
מוּכָן. אנחנו יושבים ומחכים. אם כי, כדי לגבש הצלחה, אתה יכול להוסיף גם http:// וגם https:// ועם קו לוכסן בסוף וללא לוכסן, או עם שני לוכסנים. ואם באמת יש לך הרבה זמן, אז אתה יכול גם להוסיף קישורים באתר. בשביל מה? הנה למה:לאחר 6-12 שעות, Avast מושך למעלה ולוקח את הנתונים משם. לאחר 24-48 שעות, הנתונים מתפשטים על פני כל מיני "אנטי-וירוסים" - comodo, bit defender, clean mx, CRDF, CyRadar... מהמקום שבו סכום הווירוס המזוין שואב את הנתונים.
כמובן, אף אחד לא בודק את דיוק הנתונים, אף אחד לא נותן יד.וכתוצאה מכך, רוב תוספי ה"אנטי וירוס" לדפדפנים, אנטי וירוסים חינמיים ותוכנות אחרות מתחילות לקלל באתר שצוין בכל מיני דרכים, החל משלטים אדומים ועד לדפים מלאים שמשדרים שהאתר נורא מסוכן והולכים לשם כמו מוות.
וכדי לנקות את אורוות ה-Augean הללו, כל אחד מה"אנטי-וירוסים" האלה צריך לכתוב לתמיכה הטכנית. לכל קישור! אווסט מגיב די מהר, השאר מקפלים בטיפשות את האיבר הידוע.
אבל גם אם הכוכבים יתיישרו ואפשר לנקות את האתר ממאגרי המידע של האנטי-וירוס, אז ל-"mega-resource" ה-virustotal לא אכפת בכלל. אתה לא נמצא במסד הנתונים של phishtank? לא משנה, זה היה שם פעם, אנחנו נראה מה זה. אתה לא בביט דיפנדר? זה לא משנה, אנחנו עדיין נראה מה קרה.
בהתאם לכך, כל תוכנה או שירות המתמקדים ב-virustotal יראו עד סוף הימים שהכל רע באתר. אתה יכול לבזבז זמן רב בשיטתיות על המשאב העלוב הזה ואולי יתמזל מזלך לצאת משם. אבל אולי אין לך כל כך מזל.
* אפילו ספק פורטינט היה בין החוסמים את האתר. ועדיין לא הסרנו את האתר מכמה רשימות של אתרי דיוג.
* זה הפוסט הראשון שלי על Habré. לצערי, פעם הייתי רק קורא, אבל המצב הנוכחי הניע אותי לכתוב פוסט.
מקור: www.habr.com
