We kwamen onlangs een situatie tegen waarbij een aantal antivirusprogramma's (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender en enkele minder bekende) onze website begonnen te blokkeren. Door de situatie te bestuderen, kwam ik tot het inzicht dat het uiterst eenvoudig is om op de blokkeerlijst te komen, slechts een paar klachten (zelfs zonder rechtvaardiging). Ik zal het probleem later in meer detail beschrijven.
Het probleem is vrij ernstig, aangezien nu bijna elke gebruiker een antivirusprogramma of firewall heeft geïnstalleerd. En het blokkeren van een site met een grote antivirus zoals Kaspersky kan een site ontoegankelijk maken voor een groot aantal gebruikers. Ik zou de aandacht van de gemeenschap op het probleem willen vestigen, aangezien het een enorme ruimte opent voor vuile methoden om met concurrenten om te gaan.
Ik zal geen link naar de site zelf geven of het bedrijf aangeven, zodat het niet als een soort PR zou worden opgevat. Ik zal er alleen op wijzen dat de site volgens de wet werkt, het bedrijf een commerciële registratie heeft, alle gegevens op de site staan.
We hebben onlangs klachten van klanten ontvangen dat onze site door Kaspersky Anti-Virus werd geblokkeerd als een phishing-site. Meerdere controles onzerzijds brachten geen problemen op de site aan het licht. Ik heb een aanvraag ingediend via het formulier op de Kaspersky-website over een fout-positieve antivirus. Het resultaat was een reactie:
We hebben de doorgestuurde link gecontroleerd.
Informatie over de link vormt een dreiging van verlies van gebruikersgegevens, een vals positief is niet bevestigd.
Er is geen bewijs geleverd dat de site een bedreiging vormt. Na verdere navraag kwam het volgende antwoord:
We hebben de doorgestuurde link gecontroleerd.
Dit domein is toegevoegd aan de database vanwege klachten van gebruikers. De link wordt uitgesloten van anti-phishing-databases, maar monitoring wordt ingeschakeld in geval van herhaalde klachten.
Hieruit wordt duidelijk dat een voldoende reden voor blokkering juist het feit is dat er ten minste enkele klachten zijn. Vermoedelijk wordt de site geblokkeerd als er meer dan een bepaald aantal klachten zijn en is er geen bevestiging van de klacht vereist.
In ons geval stuurden de aanvallers een aantal klachten. En onze DC, en een aantal antivirussen, en diensten zoals phishtank. Op phishtank bevatten de klachten alleen een link naar de site en een indicatie dat de site phishing was. En toch werd er geen bevestiging gegeven.
Het blijkt dat je aanstootgevende sites kunt blokkeren met een simpele spam aan klachten. Misschien zijn er zelfs diensten die dergelijke diensten aanbieden. Als ze er niet zijn, zullen ze uiteraard snel verschijnen, gezien het gemak waarmee de site in de databases van sommige antivirusprogramma's kan worden ingevoerd.
Ik zou graag opmerkingen horen van vertegenwoordigers van Kaspersky. Ook zou ik graag reacties horen van degenen die zelf met een dergelijk probleem zijn geconfronteerd en hoe snel het is opgelost. Misschien adviseert iemand in dergelijke situaties legale beïnvloedingsmethoden. Voor ons bracht de situatie reputatie- en financiële verliezen met zich mee, om nog maar te zwijgen van het tijdverlies om het probleem op te lossen.
Ik wil zoveel mogelijk aandacht vestigen op de situatie, aangezien elke site gevaar loopt.
Supplement.
In de reacties gaven ze een link naar een interessante post van HerrDirektor over deze kwestie. Ik zal hem citeren
Ik zal je meer vertellen - wil je problemen creëren voor bijna elke site in 10 minuten (nou ja, behalve voor grote, gedurfde en zeer bekende)?
Welkom bij PhishTank.
We registreren 8-10 accounts (je hebt alleen een e-mail nodig ter bevestiging), selecteren de site die je leuk vindt, voegen deze van één account toe aan de fishtank-database (om het de eigenaar moeilijker te maken, kun je een brief plaatsen waarin homoporno wordt geadverteerd met dwergen in het formulier bij het toevoegen ervan).
Met de overige accounts stemmen we voor phishing totdat ze ons schrijven: "Dit is een phish-site!".
Klaar. We zitten en wachten. Hoewel u, om succes te consolideren, zowel http:// als https:// kunt toevoegen en met een schuine streep aan het einde en zonder schuine streep, of met twee schuine strepen. En als er veel tijd is, kunnen er ook links aan de site worden toegevoegd. Waarvoor? Maar waarom:Na 6-12 uur stopt Avast en haalt daar gegevens uit. Na 24-48 uur verspreiden de gegevens zich via allerlei "antivirussen" - comodo, bit defender, clean mx, CRDF, CyRadar ... Van waar het verdomde virustotaal de gegevens opzuigt.
Natuurlijk controleert NIEMAND de juistheid van de gegevens, iedereen is diep geneukt.En als gevolg hiervan beginnen de meeste "antivirus" -extensies voor browsers, gratis antivirussen en andere software op allerlei manieren te vloeken op de opgegeven site, van rode borden tot volwaardige pagina's die uitzenden dat de site vreselijk gevaarlijk is en gaan daar als de dood.
En om deze Augean-stallen op te ruimen, moet elk van deze "antivirussen" naar de technische ondersteuning schrijven. Voor ELKE schakel! Avast reageert vrij snel, de rest legt domweg een bekend orgel neer.
Maar zelfs als de sterren samenkomen en het blijkt dat de site uit de antivirusdatabases wordt opgeschoond, dan maakt het "mega-resource" virustotaal er helemaal niets om. Staat u niet in de database van phishtank? Ja, maakt niet uit, als er eenmaal was, zullen we laten zien wat is. Zit je niet in bitdefender? Het maakt niet uit, we laten je toch zien wat het was.
Dienovereenkomstig zal elke software of service die zich richt op virustotal tot het einde der tijden laten zien dat alles slecht is op de site. Je kunt deze arme bron lange tijd en systematisch pikken, en misschien heb je geluk om daar weg te komen. Maar misschien heb je geen geluk.
* Onder degenen die de site blokkeren, was er zelfs een fortinet-provider. En we hebben de site nog steeds niet verwijderd uit sommige lijsten met phishing-sites.
* Dit is mijn eerste post op Habré. Helaas was ik vroeger slechts een lezer, maar de huidige situatie motiveerde me om een post te schrijven.
Bron: www.habr.com