Как конкуренты могут легко заблокировать ваш сайт

    Недавно мы столкнулись с ситуацией, когда ряд антивирусов (Касперский, Quttera, McAfee, Norton Safe Web, Bitdefender и несколько менее известных) начали блокировать наш сайт. Изучение ситуации привело меня к пониманию, что попасть в список блокировки крайне просто, достаточно нескольких жалоб (даже без обоснования). Детальнее проблему я опишу дальше.

    Проблема довольно серьезная, так как сейчас почти у каждого пользователя установлен антивирус или файрвол. И блокировка сайта крупным антивирусом, таким как Касперский, может сделать сайт недоступным для большого количества пользователей. Хотелось бы привлечь внимание сообщества к проблеме, так как она открывает огромный простор для грязных методов борьбы с конкурентами.


    Я не буду давать ссылку на сам сайт или указывать компанию, чтобы это не было воспринято, как какой-то пиар. Укажу только то, что сайт работает по закону, фирма имеет коммерческую регистрацию, все данные даны на сайте.

    Недавно мы столкнулись с жалобами от клиентов, что наш сайт блокируется антивирусом Касперский, как фишинговый. Множественные проверки с нашей стороны не выявили каких-то проблем на сайте. Я подал заявление через форму на сайте Касперского, о ложном срабатывании антивируса. В результате был получен ответ:
    Мы проверили ссылку, которую Вы прислали.
    Информация по ссылке представляет угрозу потери пользовательских данных, ложное срабатывание не подтвердилось.

    Никаких подтверждений, что сайт представляет угрозу, дано не было. В ходе дальнейших обращений был получен следующий ответ:
    Мы проверили ссылку, которую Вы прислали.
    Данный домен был добавлен в базу в связи с жалобами пользователей. Ссылка будет исключена из антифишинговых баз, но включён мониторинг на случай повторных жалоб.

    Отсюда становится понятно, что достаточной причиной блокировки, является сам факт наличия хоть каких-то жалоб. Предположительно сайт блокируется, если было более какого-то количества жалоб, и какого-то подтверждения жалобы не требуется.

    В нашем случае, злоумышленники, отправили ряд жалоб. И нашему ДЦ, и ряду антивирусов, и на такие сервисы, как phishtank. На phishtank жалобы включали только ссылку на сайт, и указание, что сайт фишинговый. И все, никаких подтверждений дано не было.

    Получается можно блокировать неугодные сайты простым спамом жалоб. Возможно даже есть сервисы, которые предоставляют такие услуги. Если их нет, они явно появятся скоро, учитывая простоту занесения сайта в базы некоторых антивирусов.

    Хотелось бы услышать комментарии от представителей Касперского. Так же, хотелось бы услышать комментарии от тех, кто сам сталкивался с такой проблемой и как быстро она решилась. Возможно кто-то посоветует юридические методы воздействия, в таких ситуациях. Для нас ситуация повлекла за собой репутационные и денежные потери, не говоря уже о потерях времени на решение проблемы.

    Хотелось бы привлечь как можно больше внимания к ситуации, так как любой сайт находится в группе риска.

    Дополнение.
    В комментариях дали ссылку на интересный пост от HerrDirektor habr.com/ru/post/440240/#comment_19826422 по этой проблеме. Процитирую его

    Я вам больше расскажу — хотите за 10 минут времени создать проблемы почти любому сайту (ну кроме крупных, жирных и очень известных)?
    Добро пожаловать на phishtank.
    Регистрируем 8-10 аккаунтов (потребуется только емейл для подтверждения), выбираем понравившийся сайт, добавляем его с одного аккаунта в базу фиштанка (для усложнения жизни владельцу можно в форму при добавлении какое-нибудь письмо с рекламой гей-порно с карликами засунуть).
    Оставшимися аккаунтами голосуем за фишинг, пока нам не напишут «This is phish site!».
    Готово. Сидим и ждем. Хотя для закрепления успеха можно добавить и http:// и https:// и со слешем на конце и без слеша, или с двумя слешами. А если совсем времени много, то еще и ссылки можно на сайте подобавлять. Зачем? А вот зачем:

    Через 6-12 часов подтягивается Аваст и берет оттуда данные. Через 24-48 часов данные расползаются по всевозможным «антивирусам» — comodo, bit defender, clean mx, CRDF, CyRadar… Откуда потом подсасывает данные долбаный virustotal.
    Разумеется, НИКТО не проверяет достоверность данных, всем глубоко похрен.

    И как результат, большинство «антивирусных» расширений для браузеров, бесплатных антивирусов и другого ПО начинает на указанный сайт ругаться всевозможными способами, от красных табличек, до полноценных страниц, вещающих о том, что сайт страшно опасен и перейти туда смерти подобно.

    И чтобы разгрести эти авгиевы конюшни, приходится каждому из этих «антивирусов» писать в техподдержку. На КАЖДУЮ ссылку! Аваст реагирует довольно быстро, остальные тупо складывают известный орган.
    Но даже если сойдутся звезды и получится вычистить сайт из баз антивирусов, то «мега-ресурс» virustotal совершенно это не заботит. Нет тебя в базе phishtank'а? Да пофиг, когда-то же был, будем показывать что есть. Нет тебя в bit defender? Не беда, все равно покажем, что был.
    Соответственно, любое ПО или сервис, ориентирующийся на virustotal, будет до скончания веков показывать, что на сайте все плохо. Можно долго и планомерно долбить этот убогий ресурс и может быть повезет оттуда вылезть. Но может и не повезти.


    * Среди тех, кто блокирует сайт, оказался даже провайдер fortinet. И мы до сих пор еще не вывели сайт из некоторых списков фишинговых сайтов.
    * Это мой первый пост на Хабре. К сожалению, раньше был просто читателем, но текущая ситуация мотивировала написать пост.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 184

      +5
      Информация по ссылке представляет угрозу потери пользовательских данных, ложное срабатывание не подтвердилось.

      А вы точно-точно белые и пушистые? Может быть, было подключено что-то типа определения профилей посетителя сайта вконтакте, фейсбук, одноклассники и тд?
        +7
        Подключена яндекс метрика, виджет zendesk, googletagmanager. Нам нет нужды делать то, за что наш сайт будут блокировать, все таки сайт коммерческий. И причину блокировки нам указали, жалобы от пользователей, а не какой-то код на сайте
          +1
          Не уточняли «жалобы на что конкретно»?
            +8
            К сожалению, нам не дали никакой детальной информации, только короткие отписки
            +4
            Была же год назад статья на Хабре с подобной ситуацией, и вот в этом комментарии к ней довольно подробно изложено, как вообще все это антивирусное потреблятство работает в части блокировки «опасных» ссылок, да, собственно, и в других сферах примерно так же.

            Спойлер — работает ужасно. Добро пожаловать в brave new world компаний с миллионами клиентов (прям начиная с гугла и ютубчика, и не заканчивая), для которых закон не писан (зато есть TOS), где все автоматизировано и никто ни в чем не хочет разбираться. Но мало того, что не хочет — еще и врет о том, что разбираются и «факты подтвердились». Не удивлюсь, если сообщения об этом тоже генерируются автоматически.

            P.S. Из комментариев к той статье: "Google Safe Browsing как-то несколько лет назад забанил свой googleapis.com, с которого многие грузили JQuery и т.п.". В общем, это все, что нужно знать про эту кухню. :)
              0
              Спасибо за ссылку и информацию, я себе примерно так и представлял этот процесс, и это грустно
          0
          А SSL-сертификат от доверенного центра сертификации вы использовали на сайте?
            0
            На данный момент сертификат от letsencrypt. Скоро планируем поставить сертификат EV SSL — Green Bar
              +7
              Скоро планируем поставить сертификат EV SSL — Green Bar

              Можно узнать для чего? Он, мягко говоря, нафиг никому не сдался и дополнительной защиты не приносит вообще от слова совсем. Есть какие-то метрики которые повышают доверие к сайту за такой сертификат, которыми вы руководствуетесь?

              Вот вам ссылка на увлекательное чтиво на тему от Троя Ханта.
                +1
                Для сайтов связанных с финансами это удобно. Например, помните DNS атаку на myetherwallet? Злоумышленники могли сделать обычный DV сертификат через какой-нить LE и тогда единственной реальной возможностью понять что что-то не так было бы исчезновение EV сертификата, которое трудно не заметить (хотя Хром все для этого делает).
                  +1
                  Видел недавно как один скаммерский сайт после нажатия «авторизоваться через Steam» открывал окно без адресной строки браузера, которая на самой странице поп-апа была в виде набора картинок с учётом разных вариантов отображения сайтов с EV.
                    +1
                    И вот тут то пригодилось бы сидеть на одном браузере с UA другого.
                      +1
                      Мне почему-то кажется, что интерфейс Vivaldi они отрисовывать не стали.
                        +1

                        Именно поэтому нормальные браузеры уже давно рисуют адресную строку везде, даже если сайт говорит, что не надо.

                          0
                          Таки откопал видос, адресную строку тоже рисовали. Попап такой правдоподобный (:
                          image
                        0
                        В выше приведённой статье Троя эта проблематика тоже затрагивается.
                        TLDR: Вы легко можете зарегистрировать левую фирму и на неё зелёный сертификат который будет в браузерах при дефолтных настройках неотличим для пользователей от оригинала. Так что нет, ни удобства, ни дополнительной защиты в вашем примере EV не даёт.
                          +1
                          Все таки это уже сложнее сделать. В моем примере они вообще самоподписанным сертификатом воспользовались, регать левую фирму и так далее явно сложнее чем получить обычный DV сертификат. Сложность атаки уже снижается, а это хорошо.
                            0

                            Для EV фирма должна существовать минимум полгода и должна предоставить выписку из банка по арендным/коммунальным платежам за полгода же. Решаемо кончено но всё-таки усложнение какое-никакое.

                            0

                            Если вы потеряли контроль над своим доменом то какая уже разница в том какие сертификаты вы используете на своем сайте. Кто владеет доменом владеет всем что на нем находится. Вас никак EV не спасет.

                              –1
                              В случае атаки на MyEtherWallet контроль над доменом потерян не был, был временно потерян контроль над DNS.
                                +1
                                А это по вашему мнению это не значит потеря контроля над доменом? Глобально такую компроментацию проще и быстрее восстановить чем угон у регистратора, но сути дела (скомпроментированный резолвинг) это не меняет, даже наоборот, можно незаметно для всех вносить изменения, когда угон домена с регистратора сложно не заметить.
                                  0
                                  Это неполная временная потеря. В любом случае я бы насторожился если бы вместо EV строки увидел обычный сертификат.
                                0
                                Вас никак EV не спасет.

                                Теоретически пользователь может насторожится, когда вместо зелёной строки появляется просто замочек.
                                  +1

                                  А на деле уже никто и не видит EV сертификаты. Выше ссылка на статью Т.Ханта которой уже года 2 о его ресурсе HIBP, в котором был EV, и о том как он его молча заменил на сертификат от Let's Encrypt, сам был свидетелем этого и ничего не заметил. Заметили единицы "везунчиков" за 2 недели, а у сайта посещаемость очень высокая и большинство технические люди. Так что экспериментально доказано — EV бесполезен.

                              +3
                              Данный сертификат сложно получить, и он дает гарантию, что компания существует и была проверена, и что есть люди которые несут ответственность за проект. Учитывая, что сервис работает с деньгами — это важно.
                                +1
                                Микрофинансы?
                                  +2
                                  Значит вы статью Троя не читали, см. вот этот ответ выше.
                                  Мой совет — не тратьте ни время ни деньги, не поможет. Зелёных сертификатов я разным клиентам наполучал достаточно. «Сложно получить», сводится к абсолютно смешной проверке существования фирмы.
                                    0
                                    Спасибо за совет. Но этот вопрос решает руководство, на мне только техническая реализация
                            0
                            Абстрактная жалоба на ложное срабатывание, не думаю что вендоры будут обсуждать что-то с такими вводными.
                              +3
                              Можем предоставить все нужные данные вендору. Просто не хочется публиковать данные сайта в публичный доступ, чтобы не было обвинений, что цель поста — пиар сайта
                                0
                                У тех же Касперов, я уверен, есть адрес на сайте, куда можно отправить письмо от имени организации…
                                  +14
                                  Мы уже написали, и сайт вывели из списка. Но это не отменяет факт, что несколько дней сайт был блокирован и ситуация может повториться вновь. В ответе было следующее «Ссылка будет исключена из антифишинговых баз, но включён мониторинг на случай повторных жалоб». А повторные жалобы очень возможны, ведь кто-то целенаправленно шлет жалобы на наш сайт, в разные сервисы (возможно конкуренты)

                                  И проблема в том, что мы получаем по сути простые отписки, без какого-то анализа ситуации
                                  +5
                                  Можем предоставить все нужные данные вендору. Просто не хочется публиковать данные сайта в публичный доступ, чтобы не было обвинений, что цель поста — пиар сайта

                                  В комментариях думаю можно было и ответить и подозрений не возникнет. Сейчас у меня больше вызывает подозрения, что вы слишком как-то настойчиво не хотите давать ссылку на свой сайт.
                                    0
                                    Если Вам интересно, напишите в личку, я дам ссылку. На счет публичного размещения ссылки, пока моя позиция прежняя
                                      0
                                      Раз у многих возникает интерес, что за проект, оставлю ссылку buyex.exchange
                                        –2
                                        А зачем ваш сайт ставит печеньку с идентификатором на целый год (а так же записывает кучу данных в локальное хранилище), если я еще не согласился на их использование и ни куда не двинулся с главной страницы сайта?

                                        Вас за это не конкуренты, а именно простые пользователи в черные списки отправляют.
                                          0
                                          Я не разработчик, тут нужно у программистов уточнять(передал инфу). Думаю никакого злого умысла не было, и если бы была хоть одна жалоба в саппорт, думаю уже изменили бы этот момент.
                                            0
                                            Хотя, если вы на Cloudflare находитесь, то могут они ставить куку на год, такая у них пакость появилась в этом году :(

                                            __zlcmid:"wyiwkpl5rcLLZl"
                                            CreationTime:"Fri, 28 Feb 2020 09:53:50 GMT"
                                            Domain:".buyex.exchange"
                                            Expires:"Sat, 27 Feb 2021 09:53:50 GMT"
                                            HostOnly:false
                                            HttpOnly:false
                                            LastAccessed:"Fri, 28 Feb 2020 10:31:00 GMT"
                                            Path:"/"
                                            SameSite:"Lax"
                                            Secure:false
                                              0

                                              __zlcmid — это Zopim Live Chat ID.


                                              Его добавляет не Cloudflare, а кнопка "Чат" в правом нижнем углу экрана.

                                                –1
                                                Понавешают левых скриптов на сайт, а потом жалуются, что там вирусы находят. А ещё утверждают, что всё проверили. Да нифига тут проверить нельзя, пока скрипты с других хостов грузятся!
                                            +4

                                            Ну сейчас будем жаловаться на куки в антивирусные компании...


                                            Так уж вышло, что каждый первый сайт следит за пользователем, а каждый второй к тому же делает это с нарушениями. Весь интернет блокировать будем?


                                            В любом случае, антивирус не является средством борьбы с куками. Если на них и жалуются простые пользователи — то точно не за это.

                                              0
                                              >Ну сейчас будем жаловаться на куки в антивирусные компании…
                                              Что за антивирус такой, который на сайтах работает?

                                              >Весь интернет блокировать будем?
                                              Почему нет, если нарушают? Увидел кто-то нарушение, накатал жалобу. Это разве не так же реально как конкуренты?
                                                +1
                                                Что за антивирус такой, который на сайтах работает?

                                                Обсуждаемый (Касперский). Автора "забанил" именно он же.


                                                Почему нет, если нарушают? Увидел кто-то нарушение, накатал жалобу.

                                                Потому что


                                                1. официально "войну" кукам антивирусные компании не объявляли, с чего бы они такую жалобу вообще стали рассматривать?


                                                2. такую жалобу можно "накатать" на каждый второй сайт в интернете. Но их почему-то за это не блокируют.



                                                Для примера — medium. Зашёл на сайт — получил 14 кук и 3 ключа в Local Storage.


                                                facebook: 4 куки, 1 ключ в Local Storage и 3 ключа в Session Storage


                                                vk: 10 кук, 1 ключ в Local Storage


                                                Когда ждать блокировки этих сайтов?

                                                  –1
                                                  >Обсуждаемый (Касперский). Автора «забанил» именно он же.
                                                  Он у пользователей стоит на компьютерах и трафик смотрит их же, а вас я понял как «у хостера антивирус стоит и куки свои записывает после проверки сайта» :)

                                                  А про куки: Раз компания зарегистрированная в Эстонии, разве она не подпадает под GDPR, про который тут на Хабре усилено писали не так давно?
                                                  Я глянув на куку, увидел время жизни 1 год и сразу в голове всплыло «кука не сессионная, я согласие не давал на ее использование, сайт компании из Евросоюза -> значит нарушаем».
                                                    +2
                                                    а вас я понял как «у хостера антивирус стоит и куки свои записывает после проверки сайта»

                                                    Не читайте в моих комментариях того, чего там нет.


                                                    А про куки: Раз компания зарегистрированная в Эстонии, разве она не подпадает под GDPR, про который тут на Хабре усилено писали не так давно?

                                                    Нарушения GDPR разбираются регуляторами, а не антивирусными компаниями.


                                                    Если бы пользователи жаловались именно по части GDPR — автору бы "прилетел" штраф, а не блокировка.

                                    –31

                                    Крч посоны, там были терабайты вареза, а еще требовалось ввести емейл, который тут же вместе с паролем добавлялся в колонку новостей на сайте, чтобы все видели.


                                    Или речь не об этом сайте? А то не очень понятно без ссылки.

                                      +2
                                      Сайт является сервисом для обмена и хранения криптовалют. Есть лицензия выданная в Эстонии. Соответственно сервис работает по закону Евросоюза. Пока не хочу размещать ссылку в публичный доступ. Если бы что-то сомнительное было на сайте, я бы не стал размещать пост на хабре. Я не владелец сайта, я системный администратор, рассказываю о проблеме, с которой столкнулся в ходе работы. Но да, пишу отчасти от лица компании, так как сейчас защищаю её интересы
                                        –11
                                        Ну учитывая сейчас примерно каждая вторая новость про крипту это «у нас опять все украли!» — это нормально, что вас считают фишинговым ресурсом.
                                          +9
                                          А что здесь нормального? Разве криптовалюта вне закона и нельзя делать проекты с ней связанные?
                                            –14
                                            А где я писал что-то про законы? Я про то, что все эти обменники кошельки итд переодически закрываются унося крипту доверчивых анонимусов в неизвестном направлении. image
                                              +9
                                              И банки закрываются. И различные фирмы закрываются, не выполняя обязательств. Разве это может служить причиной, чтобы блокировать сайт какой-то компании, без серьезной на то причины?
                                                0

                                                Ну можно собрать статистику сколько и на какие суммы банков по миру кинули людей, и сколько всяких крипто-стартапов. Ну и даже тот фан, что вы подозреваете в этой "атаке" конкурентов, уже неплохо так характеризует тех, кто работает в этой сфере.

                                                  +9
                                                  Криптокидалам до банков далеко. По идее одни только невозвраты советских вкладов перекроют весь крипторынок.
                                                    +5
                                                    Тут наверное надо смотреть на относительные цифры и глубину истории. Если с криптой кидалово процентов 90, то в обычном банковском секторе, всё таки получше.

                                                    невозвраты советских вкладов
                                                    Это был форс-мажор. Т.е. нечто находяшееся вне контроля банками. В случае же с криптой, как мне кажется, в большинстве случаев это банальное мошенничество.
                                                      0
                                                      Откуда взята цифра в 90%? Она ведь явно завышена. Да, есть недобросовестные проекты, но в каком секторе их нет?
                                                        +2
                                                        Ну судя по новостям ICO, примерно так выходит.

                                                        Там где фактически живые деньги и нету никакого регулирования и ответственности, очень трудно сдержаться, даже тем кто изначально с самыми чистыми намерениями начинал.

                                                        Вон например polybius («полюбас») даже с некоторых посетителей хабра шерсти состриг немного.
                                                          +3
                                                          Эти 90% могут быть ошибкой выжившего. Никто не публикует новости «криптостартап такой-то НЕ кинул своих пользователей»
                                                            0
                                                            Оцените в таком случае объем рынка в целом
                                                              0

                                                              Как ни спросишь у людей, которые интересуются этой темой об успешных проектах, слышишь в основном что то типа "ну вот эти обещают что вот вот, и эти вроде что то сделали"

                                                                0
                                                                Мне кажется, чаще всего там просто нет полезности. Еще одна криптовалюта будет кому-то нужна, если она на порядок превосходит BC и эфир. Такую может, в принципе, сделать телеграм. А большинство проектов даже если и не мошеннические, не подразумевают ничего, кроме технической части, которая никому на практике не нужна.
                                                                  –1
                                                                  Да, только при этом 90% капитализации — это Bitcoin (62%), Ethereum (10%), XRP (4%), Tether, Litecoin, EOS, Binance и Tezos (каждый из них менее 2%). Из этого на кидалово тянет разве что Tether, и то очень очень с натяжкой.
                                                                +1

                                                                polybius. Это которые на хабре активно просвещали и даже заимели бумажку что они финансовая организация? Вроде как банчик?


                                                                А куда собственно они пропали?

                                                                  +1
                                                                  Они не то чтобы пропали, но сделали совсем не то, что обещали.
                                                            0
                                                            В крипте если по объемам смотреть, то тоже будет скорее форс-мажор, чем откровенное кидалово. Нет, откровенных кидал в проценте от проектов действительно много, но в проценте от капитализации не так чтобы очень.
                                                      –1
                                                      Абсолютно точно. А кто-то забывает. А еще на крипте в кошельке неплохо можно поиграть на бирже на подъем или на снижение.
                                                      В общем как и в любой финкомпании без каких либо рычагов проверки все обычно заканчивается сливом бабла в кошелек хозяина с посыланием всех остальных а вечный бан.
                                                      \Это обычно план МАКСИМУМ в любом таком криптовалютном «чуде» которое прото «не чудо».
                                                  +4

                                                  Вот придут человеки из Касперского, почитают этот пост. И на что они должны среагировать? "Где-то была фолса"? В интернетах кто-то не прав? Вы не представляете, сколько подобных обращений в сутки. Нет никаких деталей для ответа.

                                                    +2
                                                    Так проблема не единичная. Все компании рано или поздно, стараются уйти от ручной проверки на автоматическую. А автоматическую намного проще обмануть, засылая дезинформацию.
                                                      0
                                                      Поэтому пользователь всегда может добавить исключение и пойти куда ему нужно. Цена этого — 5 минут для пользователя и один день для сайта, на который сфолсили.

                                                      А цена пропущенного фишинга, как правило, куда выше. Для пользователя, само собой. Тут уж решать ему, доверять своему AV-вендору или выдаче в гугле/друзьям/еще кому-то
                                                        0
                                                        доверять своему AV-вендору или выдаче в гугле/друзьям/еще кому-то
                                                        Так заметка как раз о том, что из-за проделок конкурентов пользователи пугаются и не могут попасть на сайт. Они доверяют конкурентам сайта через доверие к вендору AV.
                                                          –1
                                                          Не, заметка, прежде всего, о накидывании на злую контору, которая по первому щелчку не разблокировала сайт юзера. До сих пор без деталей, кстати. Типа «Они — говно, но я вам доказательств не дам» — если Касперскому так нельзя, то ТСу можно.

                                                          Обычному юзеру в целом нет разницы, почему сайт считается плохим опредленным вендором. Он просто не будет рисковать.

                                                          Продвинутые юзеры знают, что AV-вендор не бывает без фолсы. Вот загуглил ты определенную тему. Перешел по ссылке. Тебе AV пишет — «Ахтунг, фишинг!» — и тут два варианта. Или ты доверяешь вендору и закрываешь сайт — или ты сомневаешься и перепроверяешь на каком-нибудь вирустотале.

                                                          Если это волнует владельца — он и должен решать эту проблему. Идти к вендору. У ТС на это ушел, судя по всему, аж целый один день.
                                                          +1
                                                          Пользователь увидит блокировку, испугается, и закроет сайт. В результате компания теряет огромное количество клиентов, которые не разбираются и просто доверяют антивирусу(что возлагает на него ответственность). А может быть и так, что завтра уже компания антивируса будет решать, какие сайты показывать, а какие нет. Какому бизнесу жить, а какому не стоит

                                                          Дополню. По ситуации. Давайте эту модель перенесем в жизнь. Полиция начинает сажать людей по любой жалобе, не проверяя её. А потом уже, когда родственники начнут запрашивать обоснования, может быть, уже выпускают человека. Как вам такая модель и почему на ваш взгляд она хороша в отношении сайтов?
                                                            –2

                                                            То есть, "огромное количество клиентов" вашей биржи — сугубо неразбирающиеся люди? Мудрый выбор целевой аудитории.


                                                            Насчет переноса в жизнь — вы путаете Касперского с Роскомнадзором. Правельнее будет сравнить с красной ленточкой на улице, которая предупреждает, что там крышу чистят и сосульки летят. Желающим никто не запрещает через ленточку пройти в данном случае.

                                                              +1
                                                              Люди мыслят проще, раз доверенный антивирус говорит, что этот сайт опасный, значит так и есть. И закрывают его и больше не приходят. Еще важный момент, Касперский ведь не пишет, что пришла неподтвержденная жалоба, что сайт может быть не безопасен. А они пишут, что сайт вредоносный и блокируют его. Сразу видно, что вы лично не сталкивались с проблемой, поэтому не понимаете, какие последствия это за собой несет.
                                                                +1
                                                                Отличная аналогия. Ещё бывает, что работы уже давно проведены, а ленточка остаётся. Бонус, если поперёк популярного маршрута типа входа в здание.
                                                                  0
                                                                  Бывает. Рескан по фишинговой/урловой базе не ежесекундный само собой. Что-то может оставаться некоторое время даже после очистки.
                                                          +1
                                                          Автор ждал ответа при обращении в техподдержку. И «детали для ответа» туда предоставил, как я понимаю. А в ответ получил отписки.
                                                            0
                                                            Все детали, нужные для анализа, мы предоставим сотрудникам Касперского. Возможно тут будет более детальный ответ, так как в переписке идут просто короткие отписки
                                                              –2
                                                              А как вы их определите и что вы от них ждете? Точных алгоритмов проверки сайтов? И почему именно Касперского? С ним одним проблема, что не убрал из баз?
                                                                0
                                                                Мне бы хотелось донести проблему. Что текущий вариант, при котором любой сайт может быть заблокирован из-за необоснованных жалоб, крайне плохой. И открывает огромный простор для атак на сайты через жалобы. И это вредит имиджу самого антивируса, клиенты которого все чаще начнут видеть вместо сайтов, окошко «заблокировано»
                                                                  0

                                                                  Вендоры об этой проблеме знают и по мере сил стараются бороться. Может, для кого-то тайна, но всякие AV-Test и прочие профильные линейки за фолсы снимают куда больше чем за миссы.

                                                                    0
                                                                    Может и знают, но текущий вариант никуда не годится. Сейчас достаточно наспамить любых жалоб и сайт уходит в блокировку
                                                                      +1
                                                                      А теперь другая ситуация. Наспамили жалоб на реально фишинговый сайт и «не разбирающиеся люди» не потеряли деньги.
                                                                      Извините, но лично мне финановая безопасность пенсионерки из Курска важнее, чем потерянная прибыль от таких же неразбирающихся людей очередного владельца очередной криптобиржи. Не хочется говорить слово «барыга».

                                                                      А если владелец сайта — добропорядочный предприниматель — ему не составит труда написать вендору и избавиться от блокировки. У вас же получилось?
                                                                        +1
                                                                        Опять получается, либо белое, либо черное. Может есть вариант, хоть какой-то проверки перед блокированием? Особенно если сайт ранее не был замечен в фишинге?
                                                                        Может тогда полицию (а еще лучше, частные рейтинговые агенства) наделить полномочиями, закрывать магазины и вешать на них табличку мошенники? Добропорядочный предпринимателю ведь не сложно потом будет съездить, написать объяснительную, и магазин через несколько дней откроют.
                                                                          +1
                                                                          Вы хотя бы примерно представляете, сколько записей добавляется в фишинговый фид в сутки? Подавляющее большинство — автоматикой. Потому что отсмотреть вручную столько фишингового и малварного дерьма можно только если все половину населения Москвы посадить изучать.
                                                                          Так что да. Есть жалобы — блокировать. ОСОБЕННО если сайт ранее не был замечен в фишинге. Потому что они все одноразовые. Потому что сайт могли угнать. Потому что срок аренды кончился, имя перехватили. Рецидив в мире фишинга — достаточно редкое явление.

                                                                          И хватит уже проводить параллели с турьма. Если бы Каспер разделегировал у вас домен и арестовал счет — вопросов нет. Я выше уже писал. Красная ленточка. Хочешь — заходи, но тебя предупредили.
                                                                            0
                                                                            Вот если за false positive AV будут нести _ощутимые_ убытки (не 15 минут времени техподдержки, тратящей по минуте на 15 отписок, а, например, повышение на 0.1% страховой премии на ближайший год по страхованию ответственности перед несправедливо оклеветанными) — то сразу найдут целую кучу вполне работающих способов отличать фишинг от ложных жалоб. Скоринг — довольно хорошо работающая штука, в случае, если правильность работы скоринга _действительно_ важна для тех, кто его настраивает.

                                                                            Сейчас все упирается в то, что AV ответственности не несут, и мотивация делать все правильно весьма зыбкая.
                                                                              0
                                                                              Вендор AV несет ответственность перед своими пользователями. Они за него рублём голосуют. Судя по тому, что они с рынка до сих пор не ушли из-за убытков, пользователей вполне устраивают текущие результаты.

                                                                              Я сейчас фокус покажу.
                                                                              Вирустотал — результаты скана архива с Process Hacker — думаю, многие в курсе, что это. Вполне легитимная утилита, детект которой, тем не менее, нужен пользователям, и ни одной жалобы на фолсу (от юзеров) я не припоминаю.

                                                                              Очевидно, что принципы работы AV его пользователей устраивают.
                                                                                –1
                                                                                Process Hacker для домохозяйки Веры Петровны нафиг не нужен, как и её сыну Васе, который хочет вконтактик, танчики, ютубчик. А вот если Вася «по ссылке из описания» наткнётся на ор его антивируса, что тут всё плохо и злобные хацкеры, то это уже другое.
                                                                              +1
                                                                              Да никого не волнует, сколько туда этих жалоб отправляется, это все частные детали реализации системы, от этого никто не должен страдать. Не можешь их адекватно обработать — не занимайся этим, не порть людям жизнь. А то понаделают всякой фигни, потом люди от этой фигни мучаются, а они: «ой, ну жалоб так много все не обработать». Ну так прекратите их принимать, раз вы с ними не справляетесь и не портите людям жизнь.
                                                                                0
                                                                                Когда список «людей, которые мучаются» будет отставать от списка людей, которых подобная паранойя спасла хотя бы на 5 порядков, а не как сейчас — я думаю, AV-вендоры обязательно задумаются.
                                                                                Интернет, засранный скамом, фишингом, инсталлерами браузеров Яндекс и Амиго в каждом углу — создали не AV-компании.
                                                                                  0
                                                                                  Так и не эти парни из поста, но пострадали почему то они.
                                                                                    0
                                                                                    Бывает. Для этого у всех вендоров есть процедура пересмотра результатов. Если ты владелец — пишешь развернутое объяснение (как парни из поста сделали на второе обращение) — и никаких проблем.
                                                                                      +1
                                                                                      Да, механизм работает, через сутки был получен ответ и сайт перестал детектироваться на сайте Касперского. Но продолжил блокироваться локально установленным антивирусом Касперского. Сколько, точно не знаю, возможно еще около суток. Но все еще остается факт блокирования сайтов, по не подтвержденным данным. Почему бы не двигаться в сторону более умных проверок? К примеру, чтобы указывали в жалобе, на какой сайт происходит фишинг. А потом уже проверять наличие похожих слов и картинок на сайте(на указанном url), автоматически. Сейчас, получается, можно просто пожаловаться, и сайт блокируют без проверок. И этим будут все чаще пользоваться для блокировки неугодных сайтов
                                                                                        0
                                                                                        Потому что проблемы кроются в нюансах. Для вас это, безусловно, неудобно, но при этом надо понимать, что на войне все средства хороши. На практике нынче так много адвары/фишинга и подобного уг развелось, что детальные разбирательства каждого случая будет занимать слишком много времени, а кол-во пострадавших за это время просто будет расти. Поэтому и блокируют. К сожалению далеко не все юзеры, а из обычных пользователей мало кто в этом разбирается как-то защищен, поэтому неудобства для отдельных личностей в целом менее болезненно, чем десятки и сотни и тд. пострадавших от фишинга.
                                                                                          0
                                                                                          Сомнительная логика. Опять буду проводить аналогии с другими областями. В полицию подают сотни тысяч заявлений, они могут сказать, нам некогда разбираться в каждой. Пока мы разбираемся, преступники будут убивать и грабить, поэтому мы ввели автоматическую систему, которая сажает людей в КПЗ, если на них была какая-то заявка. Вам понравится такая система? Почему же она хороша в отношении сайтов?
                                                                                0
                                                                                Есть жалобы — блокировать

                                                                                Есть вариант выдавать разные таблички в разных ситуациях.
                                                                                "Наши алгоритмы обнаружили подозрительную активность"
                                                                                и
                                                                                "По данным $ресурсенаме на сайт есть жалобы"
                                                                                выглядят совсем по-разному. Но есть пара проблем:


                                                                                • пользователи не читают таблички;
                                                                                • касперчик так не сделает по коммерческим соображениям.
                                                                  0
                                                                  И на что они должны среагировать?

                                                                  На то, что у них есть эксплоит в методике определения зловредных сайтов, через который злоумышленники уже проводят атаки.
                                                                    0
                                                                    У вас есть какие-то конкретные доказательства со списком злоумышленников? И прямо святая уверенность, что этот buyex.exchange обычные пользователи не репортят?
                                                                      0
                                                                      Может быть и обычные пользователи репортят. Есть ли какие-то основания для блокировки buyex.exchange? Ведь речь о том, что происходят блокировки без причины, по непроверенным данным. И блокировать могут любой сайт, и этим уже пользуются. И да, на phishtank помимо нашего сайта, от двух пользователей прилетели жалобы и на другие сайты (в одну минуту). Что говорит, что сообщения оставляли боты, так как человек бы не успел написать столько репортов за короткое время. И аккаунты были созданы заранее и в одно время, и подтверждали друг друга. Тут явно видны следи подготовленной атаки, и антивирус Касперского был использован для осуществления атаки, и будет использоваться дальше. Так как нет никакого механизма проверки жалоб
                                                                  0
                                                                  И какая же у вас лицензия и на что?
                                                                    0
                                                                    Зарегистрирована фирма и есть лицензия для осуществления финансовых операций (сервис производит обмен криптовалют). То есть речь идет даже не о анонимном сайте, а вполне себе о коммерческом зарегистрированном сервисе, который почему-то был блокирован без серьезных оснований (просто из-за наличия каких-то неподтвержденных жалоб на фишинг)
                                                                      –2
                                                                        +1
                                                                        Это похоже снова позиция «вы плохие, потому что связаны с криптовалютой». Но хотелось бы общаться на уровне доказательств и обоснований. Для меня, криптовалюты молодое и перспективное направление, уровень мошенничества в котором, не выше, чем в других секторах рынка.
                                                                          –3
                                                                          Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 27.12.2019) «О Центральном банке Российской Федерации (Банке России)» (с изм. и доп., вступ. в силу с 23.01.2020)
                                                                          Статья 27. Официальной денежной единицей (валютой) Российской Федерации является рубль. Один рубль состоит из 100 копеек.
                                                                          Введение на территории Российской Федерации других денежных единиц и выпуск денежных суррогатов запрещаются.
                                                                            0
                                                                            А это тут при чём? Криптовалюта не признана, как денежный суррогат, по российским законам
                                                                              0
                                                                              Этак можно очень быстро дойти до запрета фондового рынка. Вот просто сразу, в один шаг.
                                                                      0

                                                                      Аж на хабре зарегистрировался от неожиданности.


                                                                      NRM?


                                                                      Если да, то круг "подозреваемых" в потоке жалоб сужается до одного слова: "инвесторы". От которых NRM уже полгода откровенно прячется. А до этого больше года "завтраками" кормил.

                                                                        0
                                                                        А что за NRM?
                                                                          +1

                                                                          Проект называется "Neuromachine". Тоже платформа для обмена и хранения крипты, тоже лицензия эстонская. Если аббревиатура незнакома, то это не ваш проект, у них она на сайте везде, начиная с URL.

                                                                        +1
                                                                        Эстония, крипта? Не являетесь ли вы «наследниками» одиозно прославленного hashflare?
                                                                          0
                                                                          нет, к hashflare не имеем отношения, во всяком случае мне такого не известно.
                                                                        +4
                                                                        Это не единичный случай. У меня было похожее где-то пару лет назад. Сайт, который помогает с покупками в интернете.
                                                                        Microsoft антивирус стал блокировать доступ к сайту и отмечать программу для скачивания как фишинговую. После общения с Microsoft мне объяснили, что это из-за пользовательских жалоб. Но после более тщательной проверки сайта и программы, меня убрали из чёрного списка.
                                                                        Конкурентов у меня мало и они почти все более-менее адекватные. Предполагаю, что просто какой-то озлобленный пользователь, а не конкурент.
                                                                        Весь процесс занял примерно 2 дня, но было достаточно неприятно. Спасибо Microsoft'у за быстрые ответы и решение проблемы.
                                                                          0
                                                                          Спасибо, что написали о своей ситуации. Чем больше людей напишет о своих ситуациях, тем проще будет увидеть масштаб проблемы.
                                                                        0

                                                                        А Касперский не дал ссылку на документ, в котором описывается процедура подачи жалоб на фишинговые сайты и которым они руководствуются при занесении в свою базу?

                                                                          +1
                                                                          Нет, все полученные ответы я процитировал в посте. Это просто короткие отписки. Возможно кто-то из сообщества сможет прояснить этот момент, так как хотелось бы понять
                                                                            0

                                                                            Ну, по-моему, есть смысл направить официальное обращение с просьбой предоставить документ, на основании которого была произведена блокировка. Я не исключаю возможности банальных ошибочных действий, например, при подключении нового функционала. А отписка для того, чтобы не признавать ошибки. Например.

                                                                              0
                                                                              Спасибо за идею. Передам информацию руководству.
                                                                          +3
                                                                          Этим же страдает и др. веб. Достаточно нескольких жалоб и сайт вносят в чёрный список. Общая проблема то на самом деле шире, в юридической интерпретации это звучит, как отсутствие презумпции невиновности. Этим и пользуются недобросовестные конкуренты.
                                                                            +1
                                                                            Мне ттк регулярно каспера включает как «сервис».
                                                                            И блокировками на ровном месте страдают все. Таже мюматрица, с какими-то списками, иногда блочит на ровном месте.
                                                                              0
                                                                              А мне так Ростелеком Касперского бесплатно на месяц предложил.
                                                                              На что я им предложил прийти ко мне и попробовать его поставить. На Linux, ага :D
                                                                                +4

                                                                                И что так развеселило ?


                                                                                Kaspersky Endpoint Security for Linux уже не один год существует и версий уже много сменилось (то есть проект вполне себе живой).


                                                                                Так что с прийти и поставить никаких проблем нет.

                                                                                  +1
                                                                                  Про Endpoint я знаю, только вот я не думаю, что предлагали именно его, а не обычный Internet.
                                                                                    +4
                                                                                    После фразы «у меня линукс» у девочек-автоматов срабатывает goto «Извините_Досвиданья».
                                                                                      +1
                                                                                      Возможно, лайфхак про Linux со временем будет себя исчерпывать, и начнут предлагать продукты для него тоже. Но зато у нас есть много других ОС, типа FreeBSD, Solaris, Haiku…
                                                                                      0
                                                                                      Справедливости ради, линуксы разные бывают. Намного более разные чем «виндовсы» :)
                                                                                      Просто наличие версии касперского способной чисто теоретически подняться на убунте — вовсе не гарантирует отсутствие танцев и плясок в условной слаке или генту.
                                                                                        –1

                                                                                        Всё так но говоря "виндоуз" Вы же скорее всего не имеете ввиду ХР или Миллениум или NT или Сервер ?


                                                                                        Ну так % пользующихся слакой и генту от пользующихся убунтой примерно такой же как пользвотелей ХР от 7-и + 10-и :)

                                                                                          0
                                                                                          Честно говоря, именно про XP я и подумал. Но если еще можно согласиться с тем, что процент юзеров Win7-10 подавляюще велик, то подобное господство убунты кажется мне весьма маловероятным. Centos, Manjaro, Mint, Antergos, Suse, Debian и Fedora смотрят на такие заявления с усмешкой. А ведь есть и еще больший набор годных вариаций для десктопного использования. И под все из них собирать Касперского придется руками, учитывая все особенности.
                                                                                      +1
                                                                                      у меня как сервис: каспер со стороны провайдера проверяет, ничего устанавливать не надо, но ключик есть, для локальной установки.
                                                                                        +4
                                                                                        Ужас.
                                                                                          +1
                                                                                          Как именно это работает? Когда вы локально ставите какой-нить KES, то он ставит свой сертификат в доверенные и заменяет сертификаты сайтов на подписанные им самим, что позволяет расшифровывать трафик и проверять его.

                                                                                          А как это работает в случае с провайдером? Вы поставили провайдерский корневой сертификат в доверенные и провайдер осуществляет MITM?
                                                                                      +8
                                                                                      Когда-то давно, когда я был молодой и глупый, я сделал спам-рассылку. Текст содержал урезанную страницу сайта. Ссылок на сайт не давалось, только телефон. Меня вычислили за час и провайдер заблокировал сайт. Основанием было жалоба с какого-то сервиса отслеживания спама.
                                                                                      То есть, в моём случае всё было правильно. Но!
                                                                                      Выходит, если конкурент проводит какую-то рекламную акцию, мне достаточно не пожалеть сотни долларов и сделать рассылку спама с его текстом. Не со своего email, конечно же. И всё. Пока разберутся, пока купят другой хостинг, пока перенесут сайт, пока DNSы пропишутся… уже и акция кончится. Капитально так можно напакостить и буквально за копейки
                                                                                        –2
                                                                                        Ну как, не совсем так просто. Такое письмо, будучи отправленным не с официального домена антирекламируемого сайта, улетит в спам у большинства почтовых сервисов. Можно было бы поставить «от» какой нибудь адрес жертвы, но если конечно администратор атакуемого домена позаботился о политике spf и dkim подписи своих писем, это приведет к аналогичному результату.
                                                                                        Я сталкивался с такой атакой, от имени нашего сайта какие то хорошие люди слали всякий спам. К счастью, я сделал политики раньше, и письма и так в спам пошли. Как только узнал о факте рассылки, политику поменял на reject, в результате атаку пережили относительно спокойно.
                                                                                          +1
                                                                                          но если конечно администратор атакуемого домена позаботился о политике spf и dkim подписи своих писем

                                                                                          Распространённое заблуждение, настолько, что это даже у солидных компаний написано. SPF вообще никак не не помогает в борьбе со спамом. Внимательно прочитайте и поймите rfc7208. Сделать так чтобы прошел чек SPF не имея вообще никакого доступа к атакуемому домену проще пареной репы и ни гугл, ни микрософт письма с валидным SPF и отсутствующим DKIM в спам не кладут.
                                                                                          Панацея ТОЛЬКО правильно настроенная комбинация SPF + DMARK, причём DMARK reject

                                                                                          Если желаете, можем потренироваться — пишите в личку.
                                                                                            +2
                                                                                            Хм, а я вообще ничего не писал о реализации, не знаю из чего сделан вывод об этом:) dmark разве что не упомянул.

                                                                                            Да, именно так и делалось.
                                                                                            Помогло. К слову, почтовые сервисы достаточно адекватно помогают, если объяснить ситуацию и показать примеры вредоносных писем. mail.ru за время начала атаки все же успел забанить домен.

                                                                                            Да, забыл упомянуть — еще имеет смысл настроить dmark report, есть даже сервисы для автоматического их анализа. Помогают держать руку на пульсе.
                                                                                              +1
                                                                                              Вы написали:
                                                                                              Такое письмо, будучи отправленным не с официального домена антирекламируемого сайта, улетит в спам у большинства почтовых сервисов. Можно было бы поставить «от» какой нибудь адрес жертвы, но если конечно администратор атакуемого домена позаботился о политике spf и dkim подписи своих писем, это приведет к аналогичному результату.

                                                                                              И имеено из-за того что не упомянули DMARK, утверждение, что письмо улетит в спам, верным не является. Не улетит.
                                                                                                0

                                                                                                Вы три раза за два своих сообщения написали "DMARK".


                                                                                                Ну могли бы ещё написать про "ptf", "mta-ctc" и "stmp bannep" :(


                                                                                                Да, профессия постмастер мертва:(

                                                                                                  +1
                                                                                                  Я даже немного завис по началу, не поняв сути возмущения. Пошел искать вами приведённые примеры, и, ничего не найдя, с лёту вбил DMARC в поиск. И только потом понял.
                                                                                                  Да, вы правы, я очень часто ошибаюсь в написании этого акронима. В моём случае — не только из-за произношениюя, но и из-за написания слова postmark и ассоциаций, связывающих оба типа почты. Вот так, порой занятно и нелогично, может работать мозг. :)
                                                                                                    +2

                                                                                                    Ничего страшного :)


                                                                                                    У меня было "зашифровано" ptr, mta-sts и smtp banner

                                                                                            0
                                                                                            А кто нынче рассылает со своего сайта? Посмотрите сколько рассыльщиков развелось и как по-хозяйски они себя ведут — явно не от голода.
                                                                                            +2
                                                                                            У меня когда-то был сокращатель ссылок общедоступный. Делал для себя, но авторизацию не прикрутил и кто-то повадился использовать сокращенные ссылки для спама (то есть просто рассылал что-то вроде «нажми сюда: сокращенная ссылка»). В итоге абузы сыпались на меня и сервера блокировали тоже мне.
                                                                                              +1

                                                                                              была еще история про сайт, на котором отсылался е-майл для подтверждения регистрации, все работало нормально, а затем случился хабраэффект, и добавилось 6000 новых пользователей. после этого почту заблокировали за рассылку спама на уровне провайдера.

                                                                                              +10
                                                                                              Зайдите для начала на virustotal, вбейте свой url и посмотрите объем работы.
                                                                                              Затем каждому из «красненьких» нужно будет написать в саппорт и ждать, пока они раздуплятся.
                                                                                              Если сайт у вас многостраничный, то так же имеет смысл проверить если не каждую, то основные страницы, т.к. если за вас взялись серьезно (не школота-вымогатели, а нечистые на руку конкуренты, ну или озлобленная школота), то ссылок в фиштанк набьют по полной программе.

                                                                                              Особое внимание следует уделить так называемым «бесплатным антивирусам», которые имеют свои расширения для браузеров или приложения — огромное количество народа этими помоями пользуется, поэтому не удивляйтесь, если трафик на сайт сильно упадёт — плагин для браузера от какого-нибудь там Avast не даст нормально зайти на сайт, без воплей о том, что «этот сайт опасен, уверены, что хотите его посетить?».

                                                                                              Не забудьте вычистить свой url из базы фиштанка, иначе все труды пойдут прахом.

                                                                                              Ну и… Добро пожаловать в «свободный, регулируемый сообществом интернет».
                                                                                                +1
                                                                                                плагин для браузера от какого-нибудь там Avast
                                                                                                Недавно ведь попались они на том, что всю историю браузинга клиентов продавали левым компаниям.
                                                                                                  0
                                                                                                  Спасибо за советы! И я вынес ваш крайне полезный комментарий по данной теме, в статью
                                                                                                  –13

                                                                                                  Сайт про криптовалюту. Всё ясно, расходимся.

                                                                                                    0
                                                                                                    Извините не туда :(
                                                                                                      +2
                                                                                                      Мы столкнулись с совершенно такой же проблемой — конкуренты (и мы это знаем уже точно, и даже знаем кто) решили таким образом раздвинуть рынок, и отправили огромное количество заявок на фиштанк (часто даже на несуществующие страницы, возвращающие 404). Так как они зарегистрировали большое количество аккаунтов, то они просто подтверждали сами себя.
                                                                                                      Но у нас было хуже — регистратор домена разделегировал наш домен. Связывались, объясняли, исправили. Писали кучу заявлений в фиштанк, но он устроен так, что добиться чего-то почти невозможно.
                                                                                                      Это длится уже несколько месяцев и не смотря на то, что большинство мы побороли, отголоски (нортон, битдефендер) до сих пор есть…
                                                                                                        0
                                                                                                        осталось только заспамить подобной фигней сам фиштанк :)
                                                                                                        0
                                                                                                        Подтверждаю. Была простая страница без онлайн оплат (продажа сырья), которая умудрилась попасть в black-list. Причём, где как малваре, где как фишинг. Написал в Касперский — через несколько дней они убрали из чёрного списка. Но ведь есть сайты агрегаторы, типа вирус-лист — а там сайт остался.

                                                                                                        Так что проблема, действительно, есть. Отчасти этим могут промышлять компании, которые за деньги вытаскивают сайты из этих чёрных списков.
                                                                                                        • UFO just landed and posted this here
                                                                                                            +1
                                                                                                            Так они так и выглядят уже и давно потому что дешевле и вплоть до блокировки акаунтов в мессенджерах — тот же скайп например взять.
                                                                                                            И на Хабре та же самя фигня можно разрушить карму в один миг — они сами об этом в хелпах пишут.
                                                                                                              +1
                                                                                                              Это давно так работает.
                                                                                                              Вот хоть на тот же ютуб посмотреть — каналы закрывают только в путь, причём весь адский мусор там по-прежнему лежит.
                                                                                                              0
                                                                                                              Где то 2..3 года назад нас тоже так атаковали. В нашем проекте есть порядка 10..15 точек входа для асинхронных запросов, но в список касперскому попали только 2 урла и оба работали только для корзины и процесса оформления заказа. Заметили совершенно случайно, все остальные разделы без проблем работали. Написали письмо в саппорт касперского, объяснили ситуацию, прошли проверку и через неделю нас удалили из черного списка. После этого случая прикрутили мониторинг. Кстати, мониторинг выполнения запросов на клиенте ваще много всяких интересных открытий принес :)
                                                                                                                +1
                                                                                                                Кстати, мониторинг выполнения запросов на клиенте ваще много всяких интересных открытий принес :)
                                                                                                                — например? Ну, если это что-то достойное описания, и не являющееся тайной. Интересно! )
                                                                                                                  0

                                                                                                                  Например, выясняется, что скрипт яндекс-метрики недоступен, иногда для 4..5% всех живых посетителей. Это достаточно много. Также, проседания производительности видны после каких либо изменений, например подсчет количества вариантов при изменении параметров фильтра выборки товаров.

                                                                                                                    0
                                                                                                                    Осталось узнать, у скольки пользователей отключены скрипты или блокируются все сторонние домены.
                                                                                                                      +1
                                                                                                                      Мы рассматриваем работоспособность и производительность в рамках существования js машины и обычного типового посетителя. Иначе можно дойти до абсурда и начать считать и тех, у которых нет современного браузера и они используют только lynx или даже curl для просмотра контента.
                                                                                                                      Блокировка всех сторонних доменов — из этой же серии. ФФ сейчас например явно предупреждает, что работоспособность сайта может быть нарушена в случае такого запрета.
                                                                                                                        0
                                                                                                                        Так может их дофига, просто ваши инструменты их в принципе не видят, вот к чему я.
                                                                                                                          0

                                                                                                                          Они детектируются и попадают в другую категорию. Да, я имею в виду ботов. Кроме просмотра контента, такие клиенты не совершают никаких полезных действий.

                                                                                                                            0
                                                                                                                            Ну, детектится они могут только по логам на бекенде, а это такое себе, кроме факта загрузки ресурсов ничего нельзя сказать.
                                                                                                                            А отсутствие «полезных» действий скорее всего объясняется их недоступностью с отключенными скриптами. Хотя без сайта сказать ничего нельзя.
                                                                                                                              +1
                                                                                                                              Для понимания % соотношения таких посетителей к реальным ( те которые хотят действительно что-то купить) действительно, делается зеркалирование access лога(ов), проверка айпи по базе RIPE и/или резолвинг в имя, на тему кому принадлежит адрес и тут вот выясняется, что 99,9% это поисковые боты, боты различных сео-систем, скрапперы и прочие скачивальщики. А процент живых людей отключивших скрипты исчезающе мал.
                                                                                                                0

                                                                                                                Мне интересно, можно ли подать в суд за такое на Антивирусные компании, которые блокируют по ошибке и взыскать с них какую-то компенсацию. Понимаю, что в рамках РФ это не особо разумно, т.к. судебная система не работает, но что на счет США и Европы?


                                                                                                                P.S. Может если будет несколько крупных судебных разбирательств, антивирусные компании будут более внимательны в этом вопросе.

                                                                                                                  –3
                                                                                                                  И на составителей RuAdlist не забудьте. А то рекламные баннеры тоже кто-то рисовал, старался.
                                                                                                                  0
                                                                                                                  Подпишусь под этим, у нас в компании возникали похожие проблемы, сайт блокировался авастом, каспером.
                                                                                                                    0
                                                                                                                    похоже на то, как ГАИ поступает, если вдруг кто-то жалуется на то, что автомобиль не пропустил пешехода или припаркован не правильно, то сразу получает штраф без особых разбирательств
                                                                                                                      +2
                                                                                                                      В России 99,9999% случаев непропуска пешехода или неправильной парковки владелец авто вообще не получает никакого штрафа, о чем вы?
                                                                                                                        0
                                                                                                                        Так на них нет жалобы и ГАИ проглядело. Но это совсем не повод штрафовать кого попало.
                                                                                                                      0
                                                                                                                      Сталкивались с такой проблемой, тоже с немотивированных жалоб в fishtank всё началось, сразу не спохватились, и потом долго и нудно выковыривали домен из всяких-разных баз. Причём веселье накрыло заодно и почту, т.к. имя домена было общим с сайтом
                                                                                                                        0
                                                                                                                        В javascript обфускатор не используете? На это антивирус может ругаться.
                                                                                                                          +1
                                                                                                                          Причина блокировки указана, именно жалобы от пользователей, а не код на сайте.
                                                                                                                          0
                                                                                                                          Это только один из возможных векторов атаки.
                                                                                                                          Как защитить себя от произвола крупной корпорации — непонятно. Тут уже юридический вопрос.
                                                                                                                            0
                                                                                                                            del
                                                                                                                              +1
                                                                                                                              Странно, что никто до сих пор не отписался с наиболее прозаичной причиной:

                                                                                                                              Было у меня года 4-6 назад. Фирменный сайт на чистом HTML без наворотов вдруг перестал открываться так как и Гугл и антивирусы начали кричать, что сайт опасен и выводить красные таблички. Начал выяснять в чем причина и оказалось, что кто-то подобрал пароли к FTP и модифицировал HTML странички, подгрузив туда какой-то вирус, то ли на Javascript, то ли еще на чем-то. Пришлось перезалить все и поменять пароли к FTP. Гугл после этого еще месяц ругался.

                                                                                                                              Так что проверьте, может у вас кто-то действительно сайт взломал?
                                                                                                                                +1
                                                                                                                                Это проверили в первую очередь. Сайт чист, и причина блокировки указана именно «жалобы от пользователей», а не какой-то код на сайте
                                                                                                                                0
                                                                                                                                Один из сайтов заблокировали в FB, при попытке отправить в сообщении или иначе, пишет ошибку «сайт нарушает правила, смотрите их», так что да с корпорациями сложно, а «заявка на рассмотрения» висит без ответа уже долго
                                                                                                                                  0
                                                                                                                                  Главное не говорите роскомнадзору что так можно. И вторая мысль — отсыпать жалоб на гугл и сервисы (тытруба etc), мылосру (и вк), сайты антивирусов… Но вот 100% именно они все поголовно будут в некоем списке неприкасаемых.
                                                                                                                                    +1
                                                                                                                                    Думаю, сайты такого масштаба находятся белом списке и жалобы ничего не дадут.
                                                                                                                                    +1
                                                                                                                                    Кроме фиштанка есть например URLhaus.
                                                                                                                                    Сервис базируется на информации от «экспертов».
                                                                                                                                    Чтобы стать экспертом надо всего лишь иметь Twitter аккаунт.
                                                                                                                                    По итогам они спамят свомми «находками» хостеров, которые лихо блокируют аккаунты, ибо часто им некогда разбираться что это за «борцы» с вирусами им пишут и принимают за чистую монету.
                                                                                                                                      +2
                                                                                                                                      а можно их добавить друг в друга?
                                                                                                                                        0
                                                                                                                                        Это какая-то презумпция виновности!
                                                                                                                                        И кто-то явно совсем не хочет работать, а только деньги получать по подписке.

                                                                                                                                        Я бы поставил проблему ещё шире.
                                                                                                                                        Примеры:
                                                                                                                                        Требования к паролям всё возрастают.
                                                                                                                                        Капчи настолько сложные, что и человек не всегда разгадает.
                                                                                                                                        Поисковики выдают две страницы рекламных и проБампленных ссылок и на этом «успокаивается».
                                                                                                                                        Тенденция нарастает и усугубляется.
                                                                                                                                        Усреднение пользователя, «защита от дурака», автоматизированный маркетинг — превращают наш с вами интернет, не в чудесный мир вседоступной информации и коммуникаций, а в… что-то типа крана с горячей и холодной водой =)
                                                                                                                                        Атрофия смысла, зашаблонивание и тотальная реклама — вот такая побочка развития интернет-технологий.

                                                                                                                                        Хабр, кстати — одно из приятных и полезных исключений =)
                                                                                                                                          0
                                                                                                                                          Похожая проблема появилась и на заре эпохи начала «активной» борьбы со спамом в электронной почте примерно в начале 2000-х годов. Тогда тоже расплодилась куча чёрно-баз, в которые вносились ip-адреса почтовых серверов нормальных для того, чтобы почту с этих почтовых серверов не принимать. И прикол-то даже не в том, что эти чёрно-базы продолжают существовать и по ныне, а в том, что администраторы некоторых почтовых систем продолжают эти чёрно-базы к своим антиспамерским защитам подключать!

                                                                                                                                          По сайтам:

                                                                                                                                          У меня на сайте люди на форуме ставили ссылки, когда им это было надо и доставили их до того, что Файрфркс (без антивирусов) начал отказываться переходить по таким ссылкам. Ну ссылки у меня там на форуме отображались не совсем прямо, а примерно так: /goto/ссылка или /goto/?url=ссылка, ну не важно.
                                                                                                                                          Так вот Файрфокс заблокировал весь раздел /goto/
                                                                                                                                          После этого я убрал возможность вИдения пользовательских ссылок из интернетов — только авторизованным пользователям они теперь доступны. А всякие чёрно-системы мониторинга подозрительных ссылок на сайтах теперь идут лесом…
                                                                                                                                            0
                                                                                                                                            Пока на них не начнут подавать в суд за клевету и ущерб деловой репутации, ничего не изменится.
                                                                                                                                              0
                                                                                                                                              Недавно у нас случилось нечто подобное: Avast Mobile стал определять наше Android-приложение как троян. Все, кто использует их движок (например встроенный антивирус у Huawei), соответственно, тоже.
                                                                                                                                              Сначала мы отправляли отдельные apk в Avast для исключения, а потом договорились о фильтрации по fingerprint.
                                                                                                                                              Самое интересное, что происходило это только в одной стране (у нас разные package name для разных рынков) и не сразу, а через время после релиза. Поэтому мы тоже предположили, что проблема могла быть вызвана конкурентами, хотя доказательств у нас не было (разве что сам Avast Mobile показывал у себя рекламу конкурентов :)).
                                                                                                                                              Теперь при релизе один из шагов для QA-команды — просканировать приложение, скачав его из beta трека Google Play.
                                                                                                                                                0
                                                                                                                                                Сталкивался с подобным неоднократно, и началось всё это довольно давно. Самое поганое — это ужесточение санкций и «восстановительных» процедур в случае повторных «залётов», когда писем сотрудникам компании или тикетов через специальные формы уже будет 100% недостаточно для исключения домена из блэк-листов.

                                                                                                                                                Отчасти похожего результата добиваются злоумышленники, вбивающие во всякие формы на сайте несуществующие e-mail'ы: в политиках некоторых компаний достаточно порядка 20 недоставленных писем, чтобы как минимум блокировать услугу отправки писем. И сторонние блэк-листы тоже никто не отменял при таком сценарии.

                                                                                                                                                Only users with full accounts can post comments. Log in, please.