Neseniai susidūrėme su situacija, kai daugybė antivirusinių programų (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender ir keletas mažiau žinomų) pradėjo blokuoti mūsų svetainę. Išstudijavus situaciją supratau, kad patekti į blokų sąrašą labai paprasta, tereikia kelių skundų (net be pagrindo). Išsamiau aprašysiu problemą vėliau.
Problema gana rimta, nes dabar beveik kiekvienas vartotojas turi įdiegtą antivirusinę ar ugniasienę. Užblokavus svetainę naudojant didelę antivirusinę programą, pvz., „Kaspersky“, svetainė gali tapti neprieinama daugeliui vartotojų. Noriu atkreipti bendruomenės dėmesį į problemą, nes tai atveria didžiules galimybes nešvariems kovos su konkurentais metodais.
Neduosiu nuorodos į pačią svetainę ir nenurodysiu įmonės, kad tai nebūtų suvokiama kaip kažkoks PR. Tik atkreipsiu dėmesį, kad svetainė veikia pagal įstatymus, įmonė turi komercinę registraciją, visi duomenys pateikti svetainėje.
Neseniai sulaukėme klientų skundų, kad „Kaspersky Anti-Virus“ blokuoja mūsų svetainę kaip sukčiavimo svetainę. Keletas mūsų patikrinimų neatskleidė jokių problemų svetainėje. Naudodamas „Kaspersky“ svetainėje esančią formą pateikiau paraišką dėl klaidingai teigiamos antivirusinės programos. Rezultatas buvo atsakymas:
Patikrinome jūsų atsiųstą nuorodą.
Informacija apie nuorodą kelia vartotojo duomenų praradimo grėsmę, klaidingas teigiamas rezultatas nebuvo patvirtintas.
Įrodymų, kad svetainė kelia grėsmę, nepateikta. Atlikus papildomus klausimus buvo gautas toks atsakymas:
Patikrinome jūsų atsiųstą nuorodą.
Šis domenas buvo įtrauktas į duomenų bazę dėl vartotojų skundų. Nuoroda bus pašalinta iš kovos su sukčiavimu duomenų bazių, tačiau stebėjimas bus įjungtas pasikartojančių skundų atveju.
Iš to tampa aišku, kad pakankama blokavimo priežastis yra pats faktas, kad yra bent kai kurie skundai. Tikėtina, kad svetainė blokuojama, jei skundų buvo daugiau nei tam tikras skaičius, ir skundo patvirtinimo nereikia.
Mūsų atveju užpuolikai atsiuntė nemažai skundų. Ir mūsų DC, ir daugybė antivirusinių programų, ir paslaugų, tokių kaip „phishtank“. Dėl „phishtank“ skundų buvo tik nuoroda į svetainę ir nuoroda, kad svetainė sukčiauja. Ir vis dėlto patvirtinimas nebuvo pateiktas.
Pasirodo, nepriimtinas svetaines galite užblokuoti paprastu skundų šlamštu. Galbūt netgi yra tokių paslaugų teikiančių tarnybų. Jei jų nėra, akivaizdu, kad jie greitai pasirodys, atsižvelgiant į tai, kad svetainę lengva įvesti į kai kurių antivirusinių programų duomenų bazes.
Norėčiau išgirsti komentarus iš Kaspersky atstovų. Taip pat norėčiau išgirsti komentarus iš tų, kurie patys susidūrė su tokia problema ir kaip greitai ji buvo išspręsta. Galbūt kas nors patars teisinius įtakos būdus tokiose situacijose. Mums susidariusi situacija atnešė reputacijos ir finansinių nuostolių, jau nekalbant apie laiko praradimą problemai išspręsti.
Norėčiau atkreipti kiek įmanoma daugiau dėmesio į situaciją, nes bet kuriai svetainei gresia pavojus.
Papildymas.
Komentaruose jie pateikė nuorodą į įdomų „HerrDirektor“ įrašą šiuo klausimu. Pacituosiu jį
Pasakysiu daugiau – ar norite per 10 minučių sukurti problemų beveik bet kuriai svetainei (na, išskyrus dideles, drąsias ir labai garsias)?
Sveiki atvykę į „phishtank“.
Užregistruojame 8-10 paskyrų (tereikia patvirtinimui el. pašto adreso), pasirenkame patinkančią svetainę, įtraukiame ją iš vienos paskyros į fishtank duomenų bazę (kad savininkui būtų apsunkintas gyvenimas, galima įdėti gėjų pornografijos reklaminį laišką su nykštukai į formą ją pridedant).
Su likusiomis paskyromis balsuojame už sukčiavimą, kol jie mums parašys „Tai yra sukčiavimo svetainė!“.
Paruošta. Sėdim ir laukiam. Nors, norėdami sustiprinti sėkmę, galite pridėti ir http://, ir https:// ir su pasviruoju brūkšniu pabaigoje ir be pasvirojo brūkšnio arba su dviem pasviraisiais brūkšniais. Ir jei yra daug laiko, tada nuorodos taip pat gali būti įtrauktos į svetainę. Kam? Bet kodėl:Po 6–12 valandų „Avast“ pasitraukia ir paima duomenis iš ten. Po 24-48 valandų duomenys pasklinda per visokius "antivirusus" - comodo, bit protection, clean mx, CRDF, CyRadar... Iš kur sušiktas virustotal siurbia duomenis.
Žinoma, duomenų tikslumo NIEKAS netikrina, visi yra giliai pakliuvę.Ir dėl to dauguma naršyklių, nemokamų antivirusinių ir kitos programinės įrangos „antivirusinių“ plėtinių pradeda keiktis nurodytoje svetainėje įvairiausiais būdais – nuo raudonų ženklų iki pilnaverčių puslapių, transliuojančių, kad svetainė siaubingai pavojinga. ten kaip mirtis.
Ir norint išvalyti šias Augean arklides, kiekviena iš šių „antivirusų“ turi rašyti techninei pagalbai. Už KIEKVIENĄ nuorodą! Avast reaguoja gana greitai, likusieji kvailai guldo gerai žinomus organus.
Bet net jei žvaigždės susilieja ir paaiškėja, kad svetainė išvalyta iš antivirusinių duomenų bazių, tada „mega-resurso“ virusų visumai visiškai nerūpi. Ar nesate „phishtank“ duomenų bazėje? Taip, nerūpi, kai buvo, parodysime, kas yra. Ar tu nesi ginantis? Nesvarbu, mes vis tiek parodysime, kas tai buvo.
Atitinkamai, bet kokia programinė įranga ar paslauga, orientuota į virustotal, iki laikų pabaigos parodys, kad svetainėje viskas blogai. Galite ilgai ir sistemingai krapštyti šį vargšą šaltinį ir galbūt jums pasiseks iš ten ištrūkti. Bet tau gali nepasisekti.
* Tarp tų, kurie blokuoja svetainę, buvo net fortineto tiekėjas. Ir vis dar nepašalinome svetainės iš kai kurių sukčiavimo svetainių sąrašų.
* Tai mano pirmasis įrašas apie Habré. Deja, anksčiau buvau tik skaitytoja, bet dabartinė situacija paskatino parašyti įrašą.
Šaltinis: www.habr.com