Recentemente, encontramos uma situação em que vários antivírus (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender e vários outros menos conhecidos) começaram a bloquear nosso site. O estudo da situação me levou a entender que é extremamente fácil entrar na lista de bloqueio, bastando algumas reclamações (mesmo sem justificativa). Descreverei o problema com mais detalhes mais adiante.
O problema é bastante sério, pois agora quase todos os usuários possuem um antivírus ou firewall instalado. E bloquear um site por um antivírus importante como o Kaspersky pode tornar o site inacessível para um grande número de usuários. Gostaria de chamar a atenção da comunidade para o problema, pois abre uma enorme margem para métodos sujos de lidar com os concorrentes.
Não irei fornecer link para o site em si nem indicar a empresa, para que isso não seja percebido como uma espécie de PR. Ressaltarei apenas que o site funciona de acordo com a lei, a empresa possui registro comercial, todos os dados são fornecidos no site.
Recentemente, recebemos reclamações de clientes de que nosso site foi bloqueado pelo antivírus Kaspersky como um site de phishing. Várias verificações de nossa parte não revelaram nenhum problema no site. Enviei um relatório através de um formulário no site da Kaspersky sobre um falso positivo do antivírus. O resultado foi a seguinte resposta:
Verificamos o link que você enviou.
As informações no link representam uma ameaça de perda de dados do usuário; um falso positivo não foi confirmado.
Nenhuma confirmação foi dada de que o site representa uma ameaça. Durante novas consultas, a seguinte resposta foi recebida:
Verificamos o link que você enviou.
Este domínio foi adicionado ao banco de dados devido a reclamações de usuários. O link será excluído das bases de dados antiphishing, mas o monitoramento será habilitado em caso de reclamações repetidas.
A partir daqui fica claro que motivo suficiente para o bloqueio é o próprio fato da presença de pelo menos algumas reclamações. Presumivelmente, o site será bloqueado se houver mais de um determinado número de reclamações e nenhuma confirmação da reclamação for necessária.
No nosso caso, os invasores enviaram diversas reclamações. E ao nosso DC, a vários antivírus e a serviços como o phishtank. No phishtank, as reclamações incluíam apenas um link para o site e uma indicação de que o site era um site de phishing. E é isso, nenhuma confirmação foi dada.
Acontece que você pode bloquear sites indesejados com simples spam de reclamação. Pode até haver serviços que forneçam tais serviços. Se não estiverem, aparecerão claramente em breve, dada a facilidade de inserir o site nas bases de dados de alguns antivírus.
Gostaria de ouvir comentários dos representantes da Kaspersky. Além disso, gostaria de ouvir comentários daqueles que encontraram esse problema e com que rapidez ele foi resolvido. Talvez alguém aconselhe métodos legais de influência em tais situações. Para nós, a situação acarretou perdas reputacionais e monetárias, sem falar na perda de tempo para resolver o problema.
Gostaria de chamar o máximo de atenção possível para a situação, pois qualquer site está em risco.
Suplemento
Nos comentários eles forneceram um link para uma postagem interessante do HerrDirektor nesse assunto. vou citá-lo
Vou lhe contar mais: você quer criar problemas para quase todos os sites (bem, exceto para os grandes, gordos e muito conhecidos) em 10 minutos?
Bem-vindo ao phishtank.
Registramos de 8 a 10 contas (você só precisa de um e-mail para confirmação), selecionamos o site que você gosta, adicionamos de uma conta ao banco de dados do aquário (para dificultar a vida do proprietário, você pode inserir algum tipo de carta publicitária gay pornografia com anões no formulário ao adicionar).
Votamos a favor do phishing com as contas restantes até que nos escrevam “Este é um site de phishing!”
Preparar. Sentamos e esperamos. Porém, para consolidar o sucesso, você pode adicionar http:// e https:// e com uma barra no final e sem barra, ou com duas barras. E se você realmente tiver muito tempo, também poderá adicionar links no site. Para que? Aqui está o porquê:Após 6 a 12 horas, o Avast abre e coleta os dados de lá. Após 24-48 horas, os dados se espalham por todos os tipos de “antivírus” - comodo, bit defender, clean mx, CRDF, CyRadar... De onde a porra do vírus total suga os dados.
Claro, NINGUÉM verifica a precisão dos dados, ninguém dá a mínima.E, como resultado, a maioria das extensões de “antivírus” para navegadores, antivírus gratuitos e outros softwares começam a xingar o site especificado de todas as maneiras, desde sinais vermelhos até páginas completas transmitindo que o site é terrivelmente perigoso e está indo para lá. como a morte.
E para limpar estes estábulos Augianos, cada um destes “antivírus” tem que escrever para o suporte técnico. Para CADA link! O Avast reage rapidamente, o resto dobra estupidamente o conhecido órgão.
Mas mesmo que as estrelas se alinhem e seja possível limpar o site dos bancos de dados de antivírus, o “mega-recurso” virustotal não se importa nem um pouco. Você não está no banco de dados do phishtank? Não importa, já esteve lá uma vez, vamos mostrar o que é. Você não está no pouco defensor? Não importa, vamos mostrar o que foi de qualquer maneira.
Dessa forma, qualquer software ou serviço que tenha como foco o virustotal mostrará até o fim dos tempos que tudo está ruim no site. Você pode passar muito tempo martelando sistematicamente esse recurso miserável e talvez tenha sorte se sair de lá. Mas você pode não ter tanta sorte.
* Até o provedor Fortinet estava entre os que bloquearam o site. E ainda não removemos o site de algumas listas de sites de phishing.
* Este é meu primeiro post no Habré. Infelizmente, eu era apenas um leitor, mas a situação atual me motivou a escrever um post.
Fonte: habr.com