Нещодавно ми зіткнулися з ситуацією, коли низка антивірусів (Касперський, Quttera, McAfee, Norton Safe Web, Bitdefender та дещо менш відомих) почали блокувати наш сайт. Вивчення ситуації призвело мене до розуміння, що потрапити до списку блокування дуже просто, достатньо кількох скарг (навіть без обґрунтування). Детальніше проблему опишу далі.
Проблема досить серйозна, тому що зараз майже кожен користувач має антивірус або файрвол. І блокування сайту великим антивірусом, таким як Касперський, може зробити сайт недоступним для багатьох користувачів. Хотілося б привернути увагу спільноти до проблеми, оскільки вона відкриває величезний простір для брудних методів боротьби з конкурентами.
Я не даватиму посилання на сам сайт або вказуватиму компанію, щоб це не було сприйнято, як якийсь піар. Вкажу тільки те, що сайт працює за законом, фірма має комерційну реєстрацію, всі дані наведені на сайті.
Нещодавно ми зіштовхнулися зі скаргами від клієнтів, що наш сайт блокується антивірусом як фішинговий. Численні перевірки з нашого боку не виявили жодних проблем на сайті. Я подав заяву через форму на сайті Касперського про помилкове спрацювання антивірусу. В результаті було отримано відповідь:
Ми перевірили посилання, яке Ви надіслали.
Інформація за посиланням становить загрозу втрати даних, хибне спрацювання не підтвердилося.
Жодних підтверджень, що сайт становить загрозу, дано не було. У ході подальших звернень було отримано таку відповідь:
Ми перевірили посилання, яке Ви надіслали.
Цей домен був доданий до бази у зв'язку зі скаргами користувачів. Посилання буде виключено з антифішингових баз, але включено моніторинг у разі повторних скарг.
Звідси стає зрозуміло, що достатньою причиною блокування є сам факт наявності хоч якихось скарг. Імовірно, сайт блокується, якщо було більше якоїсь кількості скарг, і якогось підтвердження скарги не потрібно.
У нашому випадку, зловмисники надіслали низку скарг. І нашому ДЦ, і низці антивірусів, і на такі сервіси, як phishtank. На phishtank скарги включали лише посилання на сайт і вказівку, що сайт фішинговий. І все, жодних доказів дано не було.
Виходить, можна блокувати неугодні сайти простим спамом скарг. Можливо, навіть є сервіси, які надають такі послуги. Якщо їх немає, вони з'являться незабаром, враховуючи простоту занесення сайту в бази деяких антивірусів.
Хотів би почути коментарі від представників Касперського. Також хотілося б почути коментарі від тих, хто сам стикався з такою проблемою і як швидко вона наважилася. Можливо, хтось порадить юридичні методи впливу в таких ситуаціях. Для нас ситуація спричинила репутаційні та грошові втрати, не кажучи вже про втрати часу на вирішення проблеми.
Хотілося б привернути якнайбільше уваги до ситуації, оскільки будь-який сайт знаходиться у групі ризику.
Доповнення.
У коментарях дали посилання на цікаву посаду від HerrDirektor з цієї проблеми. Процитую його
Я вам більше розповім - хочете за 10 хвилин часу створити проблеми майже будь-якому сайту (ну окрім великих, жирних та дуже відомих)?
Ласкаво просимо в phishtank.
Реєструємо 8-10 акаунтів (потрібно тільки емейл для підтвердження), вибираємо сайт, що сподобався, додаємо його з одного акаунта в базу фіштанка (для ускладнення життя власнику можна у форму при додаванні який-небудь лист з рекламою гей-порно з карликами засунути).
Обліками, що залишилися, голосуємо за фішинг, поки нам не напишуть «This is phish site!».
Готово. Сидимо та чекаємо. Хоча для закріплення успіху можна додати і http:// і https:// і зі слішем на кінці і без слішу, або з двома слішами. А якщо дуже багато часу, то ще й посилання можна на сайті додавати. Навіщо? А ось навіщо:Через 6-12 годин Аваст підтягується і бере звідти дані. Через 24-48 годин дані розповзаються по всіляких «антивірусах» - comodo, bit defender, clean mx, CRDF, CyRadar ... Звідки потім підсмоктує дані довбаний virustotal.
Зрозуміло, НІХТО не перевіряє достовірність даних, всім глибоко похрещений.І як результат, більшість «антивірусних» розширень для браузерів, безкоштовних антивірусів та іншого ПЗ починає на вказаний сайт лаятися усілякими способами, від червоних табличок, до повноцінних сторінок, що ведуть мовлення про те, що сайт страшенно небезпечний і перейти туди смерті подібно.
І щоб розгребти ці авгієві стайні, доводиться кожному з цих «антивірусів» писати на техпідтримку. На КОЖНЕ посилання! Аваст реагує досить швидко, решта тупо складають відомий орган.
Але навіть якщо зійдуться зірки і вдасться вичистити сайт з баз антивірусів, то «мега-ресурс» virustotal це зовсім не турбує. Немає тебе в базі phishtank'а? Та пофіг, колись був, показуватимемо що є. Немає тебе в bit defender? Не біда, однак покажемо, що був.
Відповідно, будь-яке ПЗ або сервіс, що орієнтується на virustotal, буде до кінця століть показувати, що на сайті все погано. Можна довго і планомірно довбати цей убогий ресурс і можливо пощастить звідти вилізти. Але може й не поталанити.
* Серед тих, хто блокує сайт, виявився навіть провайдер Fortinet. І ми досі ще не вивели сайт із деяких списків фішингових сайтів.
* Це мій перший пост на Хабрі. На жаль, раніше він був просто читачем, але поточна ситуація мотивувала написати пост.
Джерело: habr.com