Zapraszamy na 23 szkoleń z e-marketingu i konferencję I ♥ Marketing oraz zakupu magazynu

19 Szkoleń i I ♥ Marketing oraz zakupu magazynu

Jak Google chroni przed phishingiem. Kto nas obroni przed naszymi obrońcami? [Aktualizacja: Google odpowiada na zarzuty]

W jaki sposób Google może obniżyć dostępność witryny w internecie? Pierwsza, oczywista odpowiedź to obniżenie pozycji w wynikach wyszukiwania lub usunięcie z tych wyników. Jednak Google dysponuje także innym narzędziem, które nie ma nic wspólnego z wyszukiwarką. Firma administruje bowiem bazą witryn malware’owych, z której korzystają niektórzy producenci przeglądarek, ostrzegając użytkowników przed zagrożeniem. Pomyłki w bazie się zdarzają, a metod ich szybkiego naprawiania – jak to w Google – nie ma. W ostatni długi weekend boleśnie przekonała się o tym polska platforma e-commerce IAI-Shop.com i jej klienci.


Baza witryn malware’owych, o której mowa, istnieje w ramach programu Google Safe Browsing, korzystają z niej przeglądarka Chrome, niektóre wersje Firefoksa i Safari. URL umieszczony w bazie zachowuje swoje pozycje w SERP-ach, ale użytkownicy korzystających z GSB przeglądarek widzą ostrzeżenie przed phishingiem, o takie:

1 falszywy alarm nt IAI Shop

Warto podkreślić: ostrzeżenie wyświetlane jest niezależnie od tego, jak użytkownik trafił na witrynę: wpisując bezpośrednio adres do paska adresowego, z wyszukiwarki, z innej witryny… Użytkownik może zignorować ostrzeżenie, o ile nie przestraszy się jego groźnie brzmiącej treści, a także dostrzeże niewielki link u dołu (“jeśli rozumiesz ryzyko, możesz przejść do witryny”). Krótko mówiąc, znalezienie się na liście GSB może zmniejszyć ruch o – trudno nawet powiedzieć – 30%, może nawet 50%. A to dopiero początek strat, bo szkody wizerunkowe mogą ciągnąć się za ukaranymi w ten sposób dużo dłużej. Co jest nawet sprawiedliwe, jeśli dotyczy witryn, które naprawdę wyłudzały dane lub infekowały komputery użytkowników.

Tak jednak nie było w przypadku IAI-Shop.com. Ale opowiedzmy wszystko od początku.

W zeszły czwartek, a więc na początku długiego weekendu, komunikaty takie, jak powyżej, zaczęły wyświetlać się użytkownikom wybranych przeglądarek przy próbie odwiedzenia witryny IAI-Shop.com i witryn wielu (wszystkich?) z 1500 sklepów internetowych korzystających z platformy IAI-Shop.com Ostrzeżenia wyświetlały się na wszystkich podstronach, które zawierały jakiekolwiek odwołania do problemowej domeny (np. zaciągały stamtąd obrazek, kod JavaScript lub cokolwiek innego).

Długi weekend dopiero się zaczyna, a w IAI-Shop.com panika i sprawdzanie: “czy na pewno nie zawiniliśmy?” Jak mówi założyciel firmy, Paweł Fornalski, nie udaje się znaleźć niczego, co uzasadniałoby komunikaty. “Czystość” domeny, teraz i w ciągu 90 poprzednich dni, potwierdza zresztą czarno na białym skaner samego Google:

2 skaner Google
(http://www.google.com/safebrowsing/diagnostic?site=http://www.iai-shop.com)

Rozpoczyna się szukanie źródła problemu. Jak powiedział nam Paweł Fornalski, przeszukano wszelkie bazy szkodliwych witryn, ale URL wskazujący IAI-Shop.com znalazł się tylko w bazie Google Safe Browsing. Dodatkowo, przycisk zgłoszenia błędu w Firefoksie także kierował do formularza Google. Przeanalizowanie kodu źródłowego projektu Mozilla Firefox również wskazuje na bazę Google jako jedynego dostawcy danych o szkodliwych witrynach dla tej przeglądarki. Nie ma więc wątpliwości, że informacja o rzekomych wyłudzeniach stosowanych w domenie IAI-Shop.com przyszła do przeglądarek z Google’a. Tego samego Google, którego skaner stwierdza wyraźnie że domena była i jest czysta.

Próby znalezienia odpowiedzi na pytanie “jak to się mogło stać”, tj. jakim cudem ciąg pasujący do domeny IAI-Shop.com mógł znaleźć się w bazie GSB przynoszą dość zaskakujące wyniki. Jak podaje Paweł Fornalski po lekturze stosownego dokumentu Google, “w zasadzie każda strona stosująca odwołania do popularnych marek i zawierająca pola login i hasło oraz odrobinę JavaScript może zostać potraktowana przez Google jako wyłudzająca”.

Jednocześnie, rezygnując z cieszenia się długim weekendem, firma podejmuje próby kontaktu z Google, wszelkimi dostępnymi drogami oficjalnymi oraz wykorzystując prywatne “dojścia” do pracowników Google. Jednak pracownicy Google’a nie odpowiadają na telefony (to akurat zrozumiałe, w końcu jest weekend). Gorzej, że Google nie przygotował też żadnego sformalizowanego procesu, pozwalającego szybko rozwiązywać takie problemy na drodze oficjalnego zgłoszenia. Długi weekend upływa więc pracownikom IAI-Shop.com na próbach kontaktu z Google, a wobec ich niepowodzenia – na próbach doraźnego obejścia problemu poprzez przeniesienie zasobów na nieblokowaną domenę i proszenie klientów, by dokonali stosownych zmian odwołań w kodach swoich sklepów. (Nawiasem mówiąc: taka operacja była skomplikowana może dla uczciwej firmy, muszącej angażować w nią własnych klientów, ale dla prawdziwych wyłudzaczy byłaby pestką).

Problem zostaje ostatecznie usunięty dopiero w poniedziałek, po 3 dniach. Jak powiedział nam przed chwilą (wtorek, 10 stycznia, 14:30) Paweł Fornalski, firma nie doczekała się dotąd żadnego kontaktu ze strony Google. Teraz IAI-Shop.com zamierza zażądać od Google’a wyjaśnień i oficjalnych przeprosin, które możnaby pokazać klientom i choć częściowo naprawić w ten sposób straty wizerunkowe. W razie braku przeprosin i “naprawienia szkód”, firma zamierza zgłosić sprawę do sądu bo, jak mówi Fornalski “pomówienie innych firm o phishing czyli działania kradzieży danych to przestępstwo i ktoś musi sprawę wyjaśnić i odpowiedzieć.”

Wysłaliśmy do Google kilka pytań dotyczących mechanizmów działania Google Safe Browsing i polityki komunikacji na linii Google – webmasterzy w sytuacjach kryzysowych. Zaktualizujemy ten tekst, jak tylko dostaniemy odpowiedź.

PS. Jako ciekawostka: osoba, która skorzysta z przygotowanego przez Google formularza “Zgłoś mylne ostrzeżenie przed oszustwem”, otrzyma średnio zabawne, biorąc pod uwagę swoją sytuację, podziękowanie:

3 podziekowanie za raport

Aktualizacja 11 stycznia, 17:00

Mamy reakcję Google Polska. Sami zobaczycie, w jakim stopniu zawiera ona odpowiedzi na postawione pytania:

SprawnyMarketing: Stosunkowo liczni wydawcy żalą się na nieuzasadnione wpisywanie ich witryn do bazy witryn niebezpiecznych, prowadzonej przez Google w ramach programu Google Safe Browsing. Zdarza się, że w bazie umieszczane są witryny uznawane jednocześnie za bezpieczne przez skaner programu Safe Browsing. Czy nie sądzicie, że kryteria uznawania witryn za niebezpieczne są zbyt luźne? Czy kryteria zostaną doprecyzowane?

Google: Właściciele witryn często nie zdają sobie sprawy, że ich witryna padła ofiarą ataku. Jeśli pojawia się tego typu ostrzeżenie, to z bardzo dużym prawdopodobieństwem witryna, którą zarządza webmaster zawiera złośliwe oprogramowanie, błędnie zaklasyfikowane witryny zdarzają się niezwykle rzadko.

Z witryn, które zostają oznaczone jako phishing, zaledwie jedna na 10 tys. jest oznaczona omyłkowo. Więcej na ten temat można znaleźć tutaj: http://googleonlinesecurity.blogspot.com/2010/03/phishing-phree.html

Prowadzenie bazy witryn niebezpiecznych, takiej jak Google Safe Browsing, z której bezpośrednio czerpią 3 popularne przeglądarki internetowe to odpowiedzialność. Umieszczenie witryny w bazie wpływa radykalnie na ruch witryny, a przede wszystkim jej wizerunek. Jednocześnie rozpatrywanie zgłoszeń o nieuprawnionym wpisaniu witryny na listę niebezpiecznych potrafi trwać u Was bardzo długo – dramatycznie długo, biorąc pod uwagę skalę katastrofy, jaką sprowadzacie na wydawcę taką pomyłką. Czy gwarantujecie jakieś określone czasy reakcji na takie zgłoszenia, a jeśli tak, to czy dotyczą one także dni wolnych od pracy?

W znacznej większości przypadków zgłoszenia rozpatrywane są do 24 godzin, najczęściej jednak odbywa się to znacznie szybciej.

Pomyłka na GSB ma nieporównanie dotkliwsze dla wydawcy skutki, niż pomyłkowy ban w wyszukiwarce, i to z dwóch powodów: 1) jest publicznym podważeniem uczciwości wydawcy, 2) skutkuje na poziomie niezależnych przeglądarek, a nie należącej do Google wyszukiwarki. Czy w takiej sytuacji nie powinniście uruchomić telefonicznego supportu dla wydawców witryn, które znalazły się na liście? Owszem, to byłoby duże przedsięwzięcie, ale kłopoty, jakie sprowadzacie na wydawców pomyłkowym wciągnięciem na listę są dla nich znacznie większe.

Podstawowym narzędziem kontaktu dla właścicieli witryn są Narzędzia dla Webmasterów, które zapewniają możliwie dużo informacji na temat ostrzeżenia oraz szybką możliwość wysłania zgłoszenia witryny do ponownego rozpatrzenia lub poinformowania, że została ona błędnie zaklasyfikowana.

sprawnymarketing

Maciej Janas

Od 2004 w poznańskich agencjach interaktywnych (UX, copy), od lutego 2010 do grudnia 2012 redaktor serwisu SprawnyMarketing.pl. Lubi tropić i opisywać trendy w biznesie internetowym, interesuje się interakcjami technologii z człowiekiem i społeczeństwem oraz współczesną polszczyzną. Google+


  • Redakcja

    Przy okazji przypominamy o nowej grupie na Facebooku, w której odpowiadamy na szereg pytań. Dołącz do Twoja firma w Internecie i Social Media.

    Subskrybuj Sprawny.Marketing na Messengerze, dostaniesz informację o każdym nowym artykule lub materiale video

    Wielkimi krokami zbliża się także dwudniowa konferencja I ♥ Marketing & Social Media oraz organizowane przez nas 24 szkolenia z zakresu marketingu.

    Możesz też zamówić prenumeratę drukowanego magazynu sprawny.marketing


    • Nie wierzę, żeby cokolwiek się zmieniło w polityce informacyjnej firmy Google.

      Sprawa dopóki nie trafi do sądu, albo nie zostanie poruszona, przez większą ilość mediów nie doczeka się żadnej odpowiedzi ze strony Google…

    • No to są prawdziwe “jaja” taka sytuacji, ja na miejscu firmy nie zastanawiałbym się tylko od razu wniósł sprawę do sądu, przecież takie coś = ogromne straty finansowe…

    • Najważniejszym problemem Google jest brak możliwości komunikowania się z technikami poprzez np: panel webmastera. Prowadzimy serwis mp4.com.pl nieprzerwanie od 1999 roku i pomimo tak długiej “współpracy” z gigantem jedyny help desk jaki tam funkcjonuje to AdSense/AdWord.
      W ciągu kilku lat mieliśmy kilka pytań, które z braku innych opcji musiały zostać zadane na forum Google, podobno odwiedzane przez techników. Nie zauważyliśmy tam obecności techników Googla, dominują niskiej jakości rozmowy osób, które z jakiś powodów ukrywają swoją tożsamość, prawdopodobnie są to pracownicy firm SEO. Tak więc nie ma żadnej możliwości kontaktu z technikami Googla. Taka sytuacja powoduje, że poważniejsze serwisy zaczynają coraz mocniej wchodzić w Facebooka kosztem Googla.

      Mam nadzieję, że w końcu gigant uruchomi helpdesk, którego brakuje nie od roku, czy dwóch, ale od początku istnienia wyszukiwarki.

    • Problem jest poważny i dotknął całkiem dużą firmę. W takich sytuacjach pozostaje chyba tylko droga sądowa.

    • Paweł Fornalski

      Witam,
      Komentarz Google nie jest niczym nowym, a jedynie powiela FAQ.
      2 istotne informacje:
      1. Google przyznaje się do pomyłek, mówiąc że są rzadkie, ale jak potwierdza – są. A zatem problem realnie istnieje i dotknął IAI S.A. i tysiące sklepów internetowych poważnie narażając ich wizerunek na szwank, a to już łamanie prawa.
      2. Podstawowym narzędziem komunikacji jest Google Webmaster Tools. Otóż problem polega na tym, że w Google Webmaster Tools taka blokada nie była sygnalizowana. Jeżeli takie były w przeszłości to wskazywały one na link dokładnie taki sam jak w przypadku przeglądarki i linka “zgłoś błąd”. Ląduje się w formularzu Googla, który jest wypełniony URL, wpisuje się captcha i jest miejsce na uzasadnienie. Takie formularze zawsze klikamy i wypełniamy. W przypadku ostatniej sprawy zarówno my jak i nasi klienci klikali je od czwartku, bezskutecznie. A zatem informacja o 24h jest nieprawdziwa.

    • Paweł Fornalski

      Znamy narzędzie Google Webmaster Tools i regularnie z niego korzystamy.
      Dla domeny iai-shop.com ostatnie ostrzeżenie pojawiło się 4 grudnia 2011r. i dotyczyło adresu podejrzanego o wyłudzenie o adresie http://eltel.iai-shop.com/panel/auctions-templates.php czyli zupełnie przypadkowego. Blokada natomiast nastąpiła miesiąc później i od 4 grudnia nie otrzymaliśmy żadnej innej informacji. Jak zawsze w tym przypadku skorzystaliśmy z dostępnego linka w takiej wiadomości, który kieruje na stronę http://www.google.com/safebrowsing/report_error/?tpl=emailer Jest to zatem ta sama strona, jaka otwiera się po wybraniu opcji zgłaszania błędu gdy pojawi się plansza o Phishingu w przeglądarce Chrome, FireFox czy Safari.
      Korzystając ze skanera stron, można sprawdzić, że adres został błędnie zakwalifikowany i rozpoznany. Pokazuje to URL http://www.google.com/safebrowsing/diagnostic?site=http://eltel.iai-shop.com/panel/auctions-templates.php
      A zatem informacje o komunikacji poprzez narzędzie dla Webmasterów jest zwyczajnie nieprawdziwe w tej sytuacji i oznacza tyle, że strony IAI i jej klientów zostały zablokowane bez ostrzeżenia i powodu.

    • Google powinno zdecydowanie bardziej zawracać uwagę na takie rzeczy. No i przede wszystkim szybciej reagować bo takie akcje mogą im solidnie zepsuć reputację.

    • Proponuje zaktualizować nieco artykuł o uwagi kolegi Frędzel z blogu AntyWeba … podstawa tego, ze IAI samo się pogrzebało jest dość oczywista. A gugiel zareagował jak zareagował.

    • Jak dla mnie sedno sprawy tkwi nie w tym z jakiego powodu doszło do uznania tych stron jako phishingowe (bo to po trochu zwykłe przepychanki), a w tym w jakim tempie reagowano na zgloszenie fałszywego alarmu.

    • Maciej Janas

      @ Zgred: Wskaż fragment, w którym kolega Frędzel (albo ktokolwiek inny) udowadnia, że IAI *wyłudzało* dane.

      Znajdziesz tylko zarzuty, że IAI mógł popełnić techniczne błędy, które dla ułomnego algorytmu WYGLĄDAŁY jak charakterystyczne dla wyłudzaczy. A to jest logika “za kradzież batonika sprawiedliwa jest kara jak za morderstwo”, bo przecież komunikaty wyświetlane użytkownikom mówiły o prawdopodobnej próbie wyłudzenia.

      I to właśnie taka logika jest jedną z przyczyn całej afery. I nie ma dla mnie znaczenia, czy IAI popełnił jakieś błędy, czy nie – nawet jeśli popełnił (tego nie wiem), to kara była całkowicie niewspółmierna do przewinienia.

      Zwolennikom tezy “Google niewinny, tę aferę rozdmuchują ignoranccy pieniacze nienawidzący wielkich korporacji” proponuję eksploatację kwestii czy i ew. w jakim stopniu Google jest faktycznie odpowiedzialny za wyświetlanie tego komunikatu. Tutaj faktycznie sprawa nie jest jasna w 100%, chociaż wziąwszy pod uwagę, że Google nie zamierza się zniżać do wyjaśniania czegokolwiek, to mają dosyć utrudnione zadanie.

    • Od dawna wiadomo że Zgred pracuje na usługach Google.

    • Zgred po prostu zachowuje obiektywność, w przeciwieństwie do większości komentujących. To, co zostało napisane we wskazanym komentarzu z technicznego punktu widzenia jest racją – logowanie powinno odbywać się dalej w obrębie tej samej domeny.

      Natomiast pozostaje jeszcze ta kwestia usuwiana alertu. Nie wyobrażam sobie, zeby np. w Esecie czy Avaście czekali na lepsze czasy z sprawdzeniem zgłoszenia dotyczącego 1500 programów.

    • @Ciasno: dawno dawno temu, za 7 rzeczkami, za 7 górkami … daleko jeszcze ?

      @Maciej: Google zrobiło to co zrobiło – i to jest fakt niepodważalny i przecież nie zaprzeczam, ale wskazane jest napisać, że panel IAI jest czy tez był źle zaprojektowany bo został potraktowany jako “phish”…. zauważam też, że MCAFFE (na moim kopie) też drze ryja o phishingu i to nadal.

      Procedurka którą stosuję: wyszukałem stronę z IAI szopem tutaj jest to gorteks.com.pl, następnie włączam sobie cache i masz https://imageshack.us/photo/my-images/829/phishiaishop.png/

      Oczywiście ewidentnie w G nadal strona jest oflagowana … więc miło by było gdybyście tak łaskawie napisali suplemencik. Nie bronię Google, ale IAI też powinno dostać po łbie.

      Dziękuję, nie mam więcej pytań.

    • Co by było gdyby faktycznie znalazł się tam phising/malware? Pisałbyś dziś o tym jak to ułomny mechanizm Google nie uchronił 50tys ludzi przed wykradzeniem ich haseł? Ludzie skarżyliby Google, że algorytm nie działa, a powinien?

      Mówienie o blokowaniu czy oczernianiu 1500 sklepów jest tu dużym nadużyciem. Google nie wymierzyło żadnej kary ani nie blokowało dostępu. Informowało, że na stronie może być phising i ostrzegało przed jej otwarciem.

      Mechanizm GSB można wyłączyć lub skorzystać z innej przeglądarki. Czy jest to tak trudno zrozumieć? Jego ograniczona odpowiedzialność jest zrozumiała bo są to tylko algorytmy.

      Podziwiam Frędzla, który na Antywebie prezentował logiczne argumenty i że chciało mu się tak długo dyskutować. Jak widzę kolejny artykuł na ten temat na DI to ręce mi się załamują, że IAI Shop nadal chce się kompromitować.

    • Maciej Janas

      Do Mohera:

      @”Co by było gdyby faktycznie znalazł się tam phising/malware? Pisałbyś dziś o tym jak to ułomny mechanizm Google nie uchronił 50tys ludzi przed wykradzeniem ich haseł? Ludzie skarżyliby Google, że algorytm nie działa, a powinien?”

      Nie pisałbym. I mam na to mocny dowód: wyłudzenia danych mają miejsce codziennie od dawna na tysiącach witryn internetowych, a ja na ten temat ani pół artykułu. Za wyłudzenia odpowiadają wyłudzacze, za nieprawdziwe ostrzeżenia o wyłudzaczach odpowiadają ostrzegający.

      @Tezy typu “niczego nie blokowano, przecież gdyby pani Krysia-ekspedientka miała lupę, wiedzę o phishingu, metodach heurystycznych i mocne nerwy, to mogłaby kliknąć link u dołu, że jest świadoma ryzyka”.

      Proponujesz faktyczne zniesienie odpowiedzialności za pomówienia – wystarczy dodać do dowolnie sfingowanego oskarżenia słowo “prawdopodobnie”/”może” i już wolno wszystko. Jednocześnie proponujesz ukryte założenie, że 100% internautów to głęboko racjonalni eksperci od bezpieczeństwa i heurystyk antyphishingowych, na tyle zdeterminowani by dostać się na wybraną witrynę, że gotowi na podejmowanie ryzyka (przed którym zostali ostrzeżeni przez – jakby się wydawało – kompetentny podmiot).

      @ “Jego ograniczona odpowiedzialność jest zrozumiała bo są to tylko algorytmy.”

      Świetnie, od odpowiedzialności za pomówienia miałby zwalniać według ciebie algorytmiczny charakter pomawiającego. Może by to jakoś zaadaptować do polityki, np. partie tworzyłyby algorytm oceniania uczciwości posłów konkurencji pod nazwą np. “Kto dzisiaj wziął łapówkę?”.
      Jeśli jakiś podmiot bierze na siebie taką odpowiedzialność, jak ocenianie uczciwości innych podmiotów i masowe ogłaszanie tych ocen, to powinien zachować najwyższą staranność, w szczególności:
      1) zadbać o bezbłędność algorytmu,
      2) jeśli to niemożliwe – zapewnić weryfikację wątpliwych przypadków przez ludzi,
      3) a na wypadek, gdyby i takie środki nie pomogły – a) zagwarantować natychmiastową reakcję na zgłoszenia o błędnej kwalifikacji, b) oficjalnie przepraszać błędnie zakwalifikowanych, jako i błędna kwalifikacja została oficjalnie ogłoszona.

    • @Maciej: jest jeszcze jeden punkt: wykonawcy oprogramowania powinni/muszą (niepotrzebne skreślić) prawidłowo projektować swoje skrypty – dlaczego więc Presta nie ma z tym problemu, czy KQS czy inne skrypty ???. Podkreślam – według Mnie – wina jest po obu stronach.

    • Paweł Fornalski

      Zgred, co Cię motywuje do takiej aktywności na Antyweb i tutaj? Występujesz “anonimowo” więc przypuszczam, że masz jakiś osobisty interes w tym, aby siać zamęt.

      Dla Twojej informacji – w stronach logowania kod się nie zmienił od 2006 roku, czyli przez ponad 5 lat i też nie było problemu. A zatem nie insynuuj nic zanim nie zadasz właściwych pytań. Inaczej odbiorę Cię jako kogoś zainteresowanego black PRem.

    • PTroka z Fizyki

      Odpowiedź z Google Polska jak zwykle lakoniczna, skrajnie defensywna i pozbawiona sensu, przecież popełnili błąd a piszą jakby nic się nie stało ;/

    • @Paweł: bo przedstawiony jest jeden punkt widzenia/siedzenia. A drugi już nie – zmiany w 2006 roku jak widać nie były wystarczające. Ale masz rację – skończmy dyskusję bo i tak do niczego nie prowadzi.

    • No tak. Pan Fornalski chce wojny z Googlem, ale to jego klienci dostaną bacikiem jak przegra (a nawet wygra) bo Google obniży wartość stron i sobie polecą w wynikach. Gratuluje pomysłu.

    Dodaj komentarz

    Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *