Vi har nylig havnet i en situasjon der en rekke antivirus (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender og noen få mindre kjente) begynte å blokkere nettstedet vårt. Å studere situasjonen førte meg til forståelsen av at det er ekstremt enkelt å komme på blokkeringslisten, bare noen få klager (selv uten begrunnelse). Jeg vil beskrive problemet mer detaljert senere.
Problemet er ganske alvorlig, siden nesten alle brukere har installert et antivirus eller brannmur. Og blokkering av et nettsted med et stort antivirus som Kaspersky kan gjøre et nettsted utilgjengelig for et stort antall brukere. Jeg vil gjerne trekke fellesskapets oppmerksomhet til problemet, da det åpner for et enormt rom for skitne metoder for å håndtere konkurrenter.
Jeg vil ikke gi en lenke til selve siden eller angi selskapet, slik at det ikke skal oppfattes som en slags PR. Jeg vil bare påpeke at siden fungerer i henhold til loven, selskapet har kommersiell registrering, alle data er gitt på siden.
Vi møtte nylig klager fra kunder om at nettstedet vårt ble blokkert av Kaspersky Anti-Virus som et phishing-nettsted. Flere kontroller fra vår side avslørte ingen problemer på siden. Jeg sendte inn en søknad via skjemaet på Kaspersky-nettstedet om et falskt positivt antivirus. Resultatet ble et svar:
Vi sjekket lenken du sendte.
Informasjon på lenken utgjør en trussel om tap av brukerdata, en falsk positiv er ikke bekreftet.
Det er ikke gitt bevis for at nettstedet utgjør en trussel. Ved ytterligere henvendelser kom følgende svar:
Vi sjekket lenken du sendte.
Dette domenet ble lagt til databasen på grunn av brukerklager. Linken vil bli ekskludert fra anti-phishing-databaser, men overvåking vil bli aktivert i tilfelle gjentatte klager.
Fra dette blir det klart at en tilstrekkelig grunn til blokkering er selve faktumet av tilstedeværelsen av i det minste noen klager. Antagelig er siden blokkert hvis det var flere enn et visst antall klager, og det kreves ingen bekreftelse på klagen.
I vårt tilfelle sendte angriperne en rekke klager. Og vår DC, og en rekke antivirus, og tjenester som phishtank. På phishtank inkluderte klagene kun en lenke til nettstedet, og en indikasjon på at nettstedet var phishing. Og likevel ble det ikke gitt noen bekreftelse.
Det viser seg at du kan blokkere støtende nettsteder med en enkel spam med klager. Kanskje er det til og med tjenester som tilbyr slike tjenester. Hvis de ikke er der, vil de åpenbart vises snart, gitt hvor enkelt det er å legge inn nettstedet i databasene til noen antivirus.
Jeg vil gjerne høre kommentarer fra representanter for Kaspersky. Jeg vil også gjerne høre kommentarer fra de som selv har støtt på et slikt problem og hvor raskt det ble løst. Kanskje noen vil gi råd om juridiske metoder for påvirkning, i slike situasjoner. For oss innebar situasjonen omdømmetap og økonomiske tap, for ikke å snakke om tap av tid til å løse problemet.
Jeg vil gjerne trekke så mye oppmerksomhet som mulig til situasjonen, siden ethvert nettsted er i fare.
Supplement.
I kommentarfeltet ga de en link til et interessant innlegg fra HerrDirektor på dette spørsmålet. Jeg skal sitere ham
Jeg skal fortelle deg mer - vil du skape problemer for nesten alle nettsteder på 10 minutter (vel, bortsett fra store, dristige og veldig kjente)?
Velkommen til phishtank.
Vi registrerer 8-10 kontoer (du trenger bare en e-post for bekreftelse), velg nettstedet du liker, legg det til fra én konto i fisketankdatabasen (for å gjøre livet vanskeligere for eieren, kan du legge inn noen brevreklame for homofil porno med dverger inn i formen når du legger den til).
Med de resterende kontoene stemmer vi for phishing til de skriver til oss "Dette er phish-side!".
Klar. Vi sitter og venter. Men for å konsolidere suksess kan du legge til både http:// og https:// og med en skråstrek på slutten og uten skråstrek, eller med to skråstreker. Og hvis det er mye tid, kan lenker også legges til nettstedet. For hva? Men hvorfor:Etter 6-12 timer trekker Avast opp og tar data derfra. Etter 24-48 timer sprer dataene seg gjennom alle slags "antivirus" - comodo, bit defender, clean mx, CRDF, CyRadar ... Fra hvor den jævla virustotalen suger dataene.
Selvfølgelig sjekker INGEN nøyaktigheten av dataene, alle er dypt knullet.Og som et resultat begynner de fleste "antivirus"-utvidelsene for nettlesere, gratis antivirus og annen programvare å sverge på det angitte nettstedet på alle mulige måter, fra røde skilt til fullverdige sider som kringkaster at nettstedet er fryktelig farlig og gå der som døden.
Og for å rydde opp i disse Augian-stallene, må hver av disse "antivirusene" skrive til teknisk støtte. For HVER lenke! Avast reagerer ganske raskt, resten legger dumt ned et kjent orgel.
Men selv om stjernene konvergerer og det viser seg å rense nettstedet fra antivirusdatabasene, bryr seg ikke "mega-ressurs" virustotal i det hele tatt. Er du ikke i phishtanks database? Ja, ikke bry deg, når det først var, vil vi vise hva som er. Er du ikke i bit forsvarer? Det spiller ingen rolle, vi skal vise deg hva det var uansett.
Følgelig vil enhver programvare eller tjeneste som fokuserer på virustotal vise frem til tidenes ende at alt er dårlig på nettstedet. Du kan hakke denne dårlige ressursen i lang tid og systematisk, og kanskje du vil være heldig å komme deg ut derfra. Men du er kanskje ikke heldig.
* Blant de som blokkerer siden, var det til og med en fortinet-leverandør. Og vi har fortsatt ikke fjernet nettstedet fra noen lister over phishing-nettsteder.
* Dette er mitt første innlegg på Habré. Dessverre pleide jeg bare å være en leser, men den nåværende situasjonen motiverte meg til å skrive et innlegg.
Kilde: www.habr.com