Google钓鱼网站误标解封记

  • 2024年5月15日

通过网页(Web)实施网络诈骗行为是不法分子从互联网空间侵入他人计算机系统或获取他人敏感信息的重要途径。网络黑客通过钓鱼式诱惑攻击、欺骗性虚假内容、伪装成可信实体等手段诱使访问者执行某些危险操作,例如透露机密信息或下载不安全的软件,这对防范意识薄弱的绝大多数用户的数据安全、财产安全产生严重威胁。这种诈骗行为无需依托特别精湛的黑客技术,仅需针对和利用大众的认知缺陷,因此在计算机行业语境中被称为“社会工程学”,以区别于其他针对信息网络系统漏洞的攻击方式。

Google 开发的 Chrome 浏览器在全球拥有断崖式领先的市占率,成为了绝大部分网络用户的 Web 入口。Google 通过在浏览器客户端部署防御措施,有意识地采用多种手段预防黑客攻击,包括上述“社会工程学”攻击。具体而言,Google 会分析互联网上的大量网站,将可能存在虚假信息和恶意内容的网站标记为可疑网站,然后通过在 Chrome 浏览器中针对这些可疑网站设置访问障碍和提示来阻止用户浏览“钓鱼网站”。用户浏览到这些网页时,Google 会弹出醒目提示告知用户该网页不安全,并且用户需要额外点击“仍要前往不安全的网页”才能继续访问。不仅如此,由于 Google 在业界内的良好声誉,其他浏览器也或多或少地会参考 Google 标记的恶意网站,同样警告和阻止用户访问。(至少经我测试的 Safari 如此)

不幸地,2024 年 5 月 14 日,我在极小范围内维护的一个工具站被 Google 误识别为危险网站。

1

也许是因为域名过于顶级(5 位纯字母顶级域名***.**),即便我从未公开宣传过该网站,并且通过口令严格限制了公众使用网站上的服务,Google 依然扫描到了它。我部署的该服务源自一个广为人知的开源项目(Github 近 70k 星),在互联网上被个人开发者极广泛地部署和使用。我在源代码上并没有作多少实质修改就投入了生产环境,为何唯独我的网站被 Google 制裁?不得而知,目前也只能归因于短域名。

虽然通过点击详情→仍要访问可以访问,但复杂的流程和大面积红色页面严重影响了使用体验。另外,该网站的服务主要是给家人朋友,尤其是家中长辈使用,对易用性要求较高。因此我第一时间联系 Google 解除该警告。

不得不抱怨的是,Google 相比其他几家互联网巨头,除了 Chrome、Gmail 等拳头产品,UX 并不那么友好。也许是许多业务部门长久没有重视并更新前端的缘故。通过查阅 Google 并不易读的文档,找到如下两个申诉页面:
Google Safe Browsing 报告错误页面
Google Search Console 页面
2

在确认了我的服务器没有被恶意软件入侵,也确实不存在欺诈性行为后,我为页面额外添加悬挂了安全警示,随后将如下的小作文内容提交给 Google:

I'm hosting a …… app on …… and reverse proxying it from a …… server. I've double-checked both servers to ensure there is no malicious malware to the best of my knowledge. I've also posted a notice to remind the user not to send sensitive data as the user input would be sent across the internet to ……. Please review the safety status of my app and reapply your safeguard measures. Thanks!

Google 的工作人员动作倒是不慢,中午提交的申诉晚上就有了结果:(间隔约 13 个小时)
3

至此,此次乌龙事件结束,网站又恢复了正常访问。可以总结的经验是:

  1. Google Safe Browsing(谷歌安全浏览)对互联网上网站的扫描不是饱和式的,对热门地址、短域名可能有更高的优先级。毕竟短域名在遍历索引的时候也具有更高的优先级。同样的服务部署在更高价值的短域名上可能会被 Google 认为具有相对更显著的威胁广泛性和审查重要性。
  2. 为了保证网站持续健康运营,有必要额外悬挂提示,要求用户注意保护个人信息,这对允许用户大量输入内容的应用尤为重要。这不是为了满足法律合规的要求,甚至也不是为了符合 Google 安全网站的标准,而是为了避免 Google 可能的误封。这对网站运营者,尤其是商业网站运营者来说是笔不小的额外开销。
  3. Google 坐拥 Chrome 的巨大用户群和行业影响力,仅凭自己的(并不全知全能的)判断就可以实质性地阻断任一网站的访问,尤其是将网站页面替换为“危险网站”警告,在妨碍网站业务进行的同时严重影响网站声誉,商业网站可能会因为 Google 的这一行为损失惨重。在我的例子中 Google 仅仅是没有正确实行判断力就导致误封,那么 Google 是否采用了合理措施防止这一手段被故意滥用?Google 实质上掌握了封杀任一网站的权力,并且正在以安全浏览之名公开地使用这项权力,实在值得警惕。这不仅违反互联网自由发展的原则,在法律上也值得商榷。

以上,供广大站长、运维、SEO 参考。