В своих статьях я часто обращаюсь к теме фишинговых фильтров. И снова встал вопрос. Если в тестах NSS Labs все так хорошо и безоблачно, почему у меня так плохо? На мой взгляд, причина полученных данных в том, что:

1. Предпочтительным рынком для браузеров сегодня является рынок США, на котором и ведутся основные войны
2. Фишинговые фильтры в браузерах работают на основе данных поисковых машин, в первую очередь, Bing и Google (вспомним, что только в Opera используются данные Yandex).
3. Как следствие:

3.1. В первую очередь, обрабатываются англоязычные страницы

3.2. В первую очередь, обрабатываются страницы с высоким поисковым рейтингом

3.3. А так как среднее время жизни фишинговых ссылок, как указывалось, не превышает 12 часов,то эффективность таких фильтров все же остается низкой. Особенно в русскоязычном сегменте интернета.

1. Низкая эффективность бесплатных плагинов (в первую очередь, WOT, G Data) обусловлена тем, что решение о том, вредоносная ссылка или нет, принимается на основании мнения пользователей. В свою очередь пользователи в массе своей ленивы, а следовательно, ввиду короткой жизни вредоносных ссылок, такие плагины просто не успевают их корректно отрабатывать. Хотя покажут среднюю эффективность в случае, если ссылка живет долго.
2. Наиболее эффективными все же являются фишинговые ссылки в браузерах, особенно при условии использования облачных сервисов репутации (стоит добавить, что при этом репутация должна собираться не только при помощи мнения пользователей, как это делается у некоторых вендоров).

Почему так? Причина найдена и до безобразия очевидна.

Как страницы помечаются как вредоносные? Рассмотрим на примере работы Kaspersky Security Network:

1.1. Если в Kaspersky Security Network хотя бы на одном из ПК происходит заражение, автоматически в KSN высылается информация о том, откуда был загружен файл. Данной странице и всему сайту снижается репутация.

1.2. Если идет попытка несанкционированного действия с помощью апплета с сайта - репутация также снижается. Т.е. достаточно на одном ПК хотя бы одного из этих действий – репутация снижается для него автоматически.

1.3. Если страница похожа на вредносную по каким-то признакам – все, что с нее пытаются загрузить, автоматически получает снижение репутации.

1. Таким образом, поисковая машина тут ни при чем, ее роль играют ПК пользователей. Как следствие, вредоносные ссылки отрабатываются значительно быстрее. А так как среднее время жизни вредоносных сайтов 12 часов, выводы очевидны
2. Похожим образом работает не только KSN, но и Trend Micro.
3. Но так как на русскоязычном рынке продукты «Лаборатории Касперского» значительно более распространены, чем продукты того же Trend Micro, то и результаты в обработке вредоносных ссылок у «Лаборатории Касперского» будут значительно выше.

Как вывод, можно отметить, что на сегодня использование антивирусных облачных технологий является заведомо лучшим способом себя защитить.