Проблема довольно серьезная, так как сейчас почти у каждого пользователя установлен антивирус или файрвол. И блокировка сайта крупным антивирусом, таким как Касперский, может сделать сайт недоступным для большого количества пользователей. Хотелось бы привлечь внимание сообщества к проблеме, так как она открывает огромный простор для грязных методов борьбы с конкурентами.
Я не буду давать ссылку на сам сайт или указывать компанию, чтобы это не было воспринято, как какой-то пиар. Укажу только то, что сайт работает по закону, фирма имеет коммерческую регистрацию, все данные даны на сайте.
Недавно мы столкнулись с жалобами от клиентов, что наш сайт блокируется антивирусом Касперский, как фишинговый. Множественные проверки с нашей стороны не выявили каких-то проблем на сайте. Я подал заявление через форму на сайте Касперского, о ложном срабатывании антивируса. В результате был получен ответ:
Мы проверили ссылку, которую Вы прислали.
Информация по ссылке представляет угрозу потери пользовательских данных, ложное срабатывание не подтвердилось.
Никаких подтверждений, что сайт представляет угрозу, дано не было. В ходе дальнейших обращений был получен следующий ответ:
Мы проверили ссылку, которую Вы прислали.
Данный домен был добавлен в базу в связи с жалобами пользователей. Ссылка будет исключена из антифишинговых баз, но включён мониторинг на случай повторных жалоб.
Отсюда становится понятно, что достаточной причиной блокировки, является сам факт наличия хоть каких-то жалоб. Предположительно сайт блокируется, если было более какого-то количества жалоб, и какого-то подтверждения жалобы не требуется.
В нашем случае, злоумышленники, отправили ряд жалоб. И нашему ДЦ, и ряду антивирусов, и на такие сервисы, как phishtank. На phishtank жалобы включали только ссылку на сайт, и указание, что сайт фишинговый. И все, никаких подтверждений дано не было.
Получается можно блокировать неугодные сайты простым спамом жалоб. Возможно даже есть сервисы, которые предоставляют такие услуги. Если их нет, они явно появятся скоро, учитывая простоту занесения сайта в базы некоторых антивирусов.
Хотелось бы услышать комментарии от представителей Касперского. Так же, хотелось бы услышать комментарии от тех, кто сам сталкивался с такой проблемой и как быстро она решилась. Возможно кто-то посоветует юридические методы воздействия, в таких ситуациях. Для нас ситуация повлекла за собой репутационные и денежные потери, не говоря уже о потерях времени на решение проблемы.
Хотелось бы привлечь как можно больше внимания к ситуации, так как любой сайт находится в группе риска.
Дополнение.
В комментариях дали ссылку на интересный пост от HerrDirektor habr.com/ru/post/440240/#comment_19826422 по этой проблеме. Процитирую его
Я вам больше расскажу — хотите за 10 минут времени создать проблемы почти любому сайту (ну кроме крупных, жирных и очень известных)?
Добро пожаловать на phishtank.
Регистрируем 8-10 аккаунтов (потребуется только емейл для подтверждения), выбираем понравившийся сайт, добавляем его с одного аккаунта в базу фиштанка (для усложнения жизни владельцу можно в форму при добавлении какое-нибудь письмо с рекламой гей-порно с карликами засунуть).
Оставшимися аккаунтами голосуем за фишинг, пока нам не напишут «This is phish site!».
Готово. Сидим и ждем. Хотя для закрепления успеха можно добавить и http:// и https:// и со слешем на конце и без слеша, или с двумя слешами. А если совсем времени много, то еще и ссылки можно на сайте подобавлять. Зачем? А вот зачем:
Через 6-12 часов подтягивается Аваст и берет оттуда данные. Через 24-48 часов данные расползаются по всевозможным «антивирусам» — comodo, bit defender, clean mx, CRDF, CyRadar… Откуда потом подсасывает данные долбаный virustotal.
Разумеется, НИКТО не проверяет достоверность данных, всем глубоко похрен.
И как результат, большинство «антивирусных» расширений для браузеров, бесплатных антивирусов и другого ПО начинает на указанный сайт ругаться всевозможными способами, от красных табличек, до полноценных страниц, вещающих о том, что сайт страшно опасен и перейти туда смерти подобно.
И чтобы разгрести эти авгиевы конюшни, приходится каждому из этих «антивирусов» писать в техподдержку. На КАЖДУЮ ссылку! Аваст реагирует довольно быстро, остальные тупо складывают известный орган.
Но даже если сойдутся звезды и получится вычистить сайт из баз антивирусов, то «мега-ресурс» virustotal совершенно это не заботит. Нет тебя в базе phishtank'а? Да пофиг, когда-то же был, будем показывать что есть. Нет тебя в bit defender? Не беда, все равно покажем, что был.
Соответственно, любое ПО или сервис, ориентирующийся на virustotal, будет до скончания веков показывать, что на сайте все плохо. Можно долго и планомерно долбить этот убогий ресурс и может быть повезет оттуда вылезть. Но может и не повезти.
* Среди тех, кто блокирует сайт, оказался даже провайдер fortinet. И мы до сих пор еще не вывели сайт из некоторых списков фишинговых сайтов.
* Это мой первый пост на Хабре. К сожалению, раньше был просто читателем, но текущая ситуация мотивировала написать пост.
up7
А вы точно-точно белые и пушистые? Может быть, было подключено что-то типа определения профилей посетителя сайта вконтакте, фейсбук, одноклассники и тд?
sibero Автор
Подключена яндекс метрика, виджет zendesk, googletagmanager. Нам нет нужды делать то, за что наш сайт будут блокировать, все таки сайт коммерческий. И причину блокировки нам указали, жалобы от пользователей, а не какой-то код на сайте
Akuma
Не уточняли «жалобы на что конкретно»?
sibero Автор
К сожалению, нам не дали никакой детальной информации, только короткие отписки
mkll
Была же год назад статья на Хабре с подобной ситуацией, и вот в этом комментарии к ней довольно подробно изложено, как вообще все это антивирусное потреблятство работает в части блокировки «опасных» ссылок, да, собственно, и в других сферах примерно так же.
Спойлер — работает ужасно. Добро пожаловать в brave new world компаний с миллионами клиентов (прям начиная с гугла и ютубчика, и не заканчивая), для которых закон не писан (зато есть TOS), где все автоматизировано и никто ни в чем не хочет разбираться. Но мало того, что не хочет — еще и врет о том, что разбираются и «факты подтвердились». Не удивлюсь, если сообщения об этом тоже генерируются автоматически.
P.S. Из комментариев к той статье: "Google Safe Browsing как-то несколько лет назад забанил свой googleapis.com, с которого многие грузили JQuery и т.п.". В общем, это все, что нужно знать про эту кухню. :)
sibero Автор
Спасибо за ссылку и информацию, я себе примерно так и представлял этот процесс, и это грустно