Недавно мы столкнулись с ситуацией, когда ряд антивирусов (Касперский, Quttera, McAfee, Norton Safe Web, Bitdefender и несколько менее известных) начали блокировать наш сайт. Изучение ситуации привело меня к пониманию, что попасть в список блокировки крайне просто, достаточно нескольких жалоб (даже без обоснования). Детальнее проблему я опишу дальше.
Проблема довольно серьезная, так как сейчас почти у каждого пользователя установлен антивирус или файрвол. И блокировка сайта крупным антивирусом, таким как Касперский, может сделать сайт недоступным для большого количества пользователей. Хотелось бы привлечь внимание сообщества к проблеме, так как она открывает огромный простор для грязных методов борьбы с конкурентами.
Я не буду давать ссылку на сам сайт или указывать компанию, чтобы это не было воспринято, как какой-то пиар. Укажу только то, что сайт работает по закону, фирма имеет коммерческую регистрацию, все данные даны на сайте.
Недавно мы столкнулись с жалобами от клиентов, что наш сайт блокируется антивирусом Касперский, как фишинговый. Множественные проверки с нашей стороны не выявили каких-то проблем на сайте. Я подал заявление через форму на сайте Касперского, о ложном срабатывании антивируса. В результате был получен ответ:
Никаких подтверждений, что сайт представляет угрозу, дано не было. В ходе дальнейших обращений был получен следующий ответ:
Отсюда становится понятно, что достаточной причиной блокировки, является сам факт наличия хоть каких-то жалоб. Предположительно сайт блокируется, если было более какого-то количества жалоб, и какого-то подтверждения жалобы не требуется.
В нашем случае, злоумышленники, отправили ряд жалоб. И нашему ДЦ, и ряду антивирусов, и на такие сервисы, как phishtank. На phishtank жалобы включали только ссылку на сайт, и указание, что сайт фишинговый. И все, никаких подтверждений дано не было.
Получается можно блокировать неугодные сайты простым спамом жалоб. Возможно даже есть сервисы, которые предоставляют такие услуги. Если их нет, они явно появятся скоро, учитывая простоту занесения сайта в базы некоторых антивирусов.
Хотелось бы услышать комментарии от представителей Касперского. Так же, хотелось бы услышать комментарии от тех, кто сам сталкивался с такой проблемой и как быстро она решилась. Возможно кто-то посоветует юридические методы воздействия, в таких ситуациях. Для нас ситуация повлекла за собой репутационные и денежные потери, не говоря уже о потерях времени на решение проблемы.
Хотелось бы привлечь как можно больше внимания к ситуации, так как любой сайт находится в группе риска.
Дополнение.
В комментариях дали ссылку на интересный пост от HerrDirektor habr.com/ru/post/440240/#comment_19826422 по этой проблеме. Процитирую его
* Среди тех, кто блокирует сайт, оказался даже провайдер fortinet. И мы до сих пор еще не вывели сайт из некоторых списков фишинговых сайтов.
* Это мой первый пост на Хабре. К сожалению, раньше был просто читателем, но текущая ситуация мотивировала написать пост.
Проблема довольно серьезная, так как сейчас почти у каждого пользователя установлен антивирус или файрвол. И блокировка сайта крупным антивирусом, таким как Касперский, может сделать сайт недоступным для большого количества пользователей. Хотелось бы привлечь внимание сообщества к проблеме, так как она открывает огромный простор для грязных методов борьбы с конкурентами.
Я не буду давать ссылку на сам сайт или указывать компанию, чтобы это не было воспринято, как какой-то пиар. Укажу только то, что сайт работает по закону, фирма имеет коммерческую регистрацию, все данные даны на сайте.
Недавно мы столкнулись с жалобами от клиентов, что наш сайт блокируется антивирусом Касперский, как фишинговый. Множественные проверки с нашей стороны не выявили каких-то проблем на сайте. Я подал заявление через форму на сайте Касперского, о ложном срабатывании антивируса. В результате был получен ответ:
Мы проверили ссылку, которую Вы прислали.
Информация по ссылке представляет угрозу потери пользовательских данных, ложное срабатывание не подтвердилось.
Никаких подтверждений, что сайт представляет угрозу, дано не было. В ходе дальнейших обращений был получен следующий ответ:
Мы проверили ссылку, которую Вы прислали.
Данный домен был добавлен в базу в связи с жалобами пользователей. Ссылка будет исключена из антифишинговых баз, но включён мониторинг на случай повторных жалоб.
Отсюда становится понятно, что достаточной причиной блокировки, является сам факт наличия хоть каких-то жалоб. Предположительно сайт блокируется, если было более какого-то количества жалоб, и какого-то подтверждения жалобы не требуется.
В нашем случае, злоумышленники, отправили ряд жалоб. И нашему ДЦ, и ряду антивирусов, и на такие сервисы, как phishtank. На phishtank жалобы включали только ссылку на сайт, и указание, что сайт фишинговый. И все, никаких подтверждений дано не было.
Получается можно блокировать неугодные сайты простым спамом жалоб. Возможно даже есть сервисы, которые предоставляют такие услуги. Если их нет, они явно появятся скоро, учитывая простоту занесения сайта в базы некоторых антивирусов.
Хотелось бы услышать комментарии от представителей Касперского. Так же, хотелось бы услышать комментарии от тех, кто сам сталкивался с такой проблемой и как быстро она решилась. Возможно кто-то посоветует юридические методы воздействия, в таких ситуациях. Для нас ситуация повлекла за собой репутационные и денежные потери, не говоря уже о потерях времени на решение проблемы.
Хотелось бы привлечь как можно больше внимания к ситуации, так как любой сайт находится в группе риска.
Дополнение.
В комментариях дали ссылку на интересный пост от HerrDirektor habr.com/ru/post/440240/#comment_19826422 по этой проблеме. Процитирую его
Я вам больше расскажу — хотите за 10 минут времени создать проблемы почти любому сайту (ну кроме крупных, жирных и очень известных)?
Добро пожаловать на phishtank.
Регистрируем 8-10 аккаунтов (потребуется только емейл для подтверждения), выбираем понравившийся сайт, добавляем его с одного аккаунта в базу фиштанка (для усложнения жизни владельцу можно в форму при добавлении какое-нибудь письмо с рекламой гей-порно с карликами засунуть).
Оставшимися аккаунтами голосуем за фишинг, пока нам не напишут «This is phish site!».
Готово. Сидим и ждем. Хотя для закрепления успеха можно добавить и http:// и https:// и со слешем на конце и без слеша, или с двумя слешами. А если совсем времени много, то еще и ссылки можно на сайте подобавлять. Зачем? А вот зачем:
Через 6-12 часов подтягивается Аваст и берет оттуда данные. Через 24-48 часов данные расползаются по всевозможным «антивирусам» — comodo, bit defender, clean mx, CRDF, CyRadar… Откуда потом подсасывает данные долбаный virustotal.
Разумеется, НИКТО не проверяет достоверность данных, всем глубоко похрен.
И как результат, большинство «антивирусных» расширений для браузеров, бесплатных антивирусов и другого ПО начинает на указанный сайт ругаться всевозможными способами, от красных табличек, до полноценных страниц, вещающих о том, что сайт страшно опасен и перейти туда смерти подобно.
И чтобы разгрести эти авгиевы конюшни, приходится каждому из этих «антивирусов» писать в техподдержку. На КАЖДУЮ ссылку! Аваст реагирует довольно быстро, остальные тупо складывают известный орган.
Но даже если сойдутся звезды и получится вычистить сайт из баз антивирусов, то «мега-ресурс» virustotal совершенно это не заботит. Нет тебя в базе phishtank'а? Да пофиг, когда-то же был, будем показывать что есть. Нет тебя в bit defender? Не беда, все равно покажем, что был.
Соответственно, любое ПО или сервис, ориентирующийся на virustotal, будет до скончания веков показывать, что на сайте все плохо. Можно долго и планомерно долбить этот убогий ресурс и может быть повезет оттуда вылезть. Но может и не повезти.
* Среди тех, кто блокирует сайт, оказался даже провайдер fortinet. И мы до сих пор еще не вывели сайт из некоторых списков фишинговых сайтов.
* Это мой первый пост на Хабре. К сожалению, раньше был просто читателем, но текущая ситуация мотивировала написать пост.
