שיטות מומלצות לשימוש ב-Submission API

במסמך הזה מתוארת ההטמעה המומלצת של Submission API:

  • שליחת כתובות URL מלאות: צריך לציין את כתובת ה-URL המלאה והישירה לתוכן הזדוני, ולא רק את הדומיין.
  • שליחה של כתובות URL פעילות בלבד: שליחה של כתובות URL פעילות בלבד. אי אפשר לעבד אתרים במצב אופליין או אתרים שלא ניתן לגשת אליהם.

  • כולל הפרות מדיניות: שולחים רק כתובות URL שיש סיבה להאמין שהן לא בטוחות ומפירות את המדיניות של גלישה בטוחה של Google.

  • שליחה באמצעות תוכנה: אפשר להשתמש ב-Submission API כדי להפוך לאוטומטי את הדיווח על נפח גבוה של נתונים ממקורות חיצוניים, כמו צוותים של Security Operations Center או דוחות של משתמשי קצה.

  • הוספת מטא-נתונים: כדי לשפר את המהירות והדיוק של זיהוי האיומים, כדאי לספק מטא-נתונים עם הפריטים ששולחים. מידע נוסף זמין במאמר שיפור יכולת הזיהוי באמצעות ThreatInfo ו-ThreatDiscovery.

שיפור הזיהוי באמצעות ThreatInfo ו-ThreatDiscovery

מומלץ להשתמש בשדות הבאים ThreatInfo ו-ThreatDiscovery כדי לספק מידע נוסף על בקשות, שיכול לשפר את הזיהוי ולהגדיל את הסיכוי לחסימת בקשה.

  • משתמשים ב-ThreatInfo כדי לספק מידע נוסף על הסיבה לשליחת ה-URI.
  • אפשר להשתמש ב-ThreatDiscovery כדי לספק מידע נוסף על האופן שבו האיום זוהה.

דוגמה

תוקף מפעיל אתר פישינג לגניבת פרטי כניסה שמכוון ללקוחות של בנק שממוקם באיטליה. לקוחות שהם יעד להתקפה מתחילים לקבל מהתוקף הודעות טקסט מטעות עם קישור לדף כניסה מזויף. הבנק מקבל דיווחים מלקוחות שקיבלו את הודעות הטקסט, פותח בחקירה ומאשר שהאתר הוא אתר פישינג לגניבת פרטי כניסה.

כדי להגן על הלקוחות שלהם, הבנק שולח את אתר הפישינג אל Web Risk עם גוף הבקשה הבא:

{
  "submission": {
    "uri": "http://example.com/login.html"
  },
  "threatDiscovery": {
    "platform": "ANDROID",
    "regionCodes": "IT"
  },
  "threatInfo": {
    "abuseType": "SOCIAL_ENGINEERING",
    "abuseSubtype": "BANK_PHISHING",
    "threatJustification": {
      "labels": ["USER_REPORT", "MANUAL_VERIFICATION"],
      "comments": "Site is impersonating a bank and phishing for login credentials"
    },
    "threatConfidence": {
      "level": "HIGH"
    },
    "targetedBrand": {
      "brandName": "Altostrat",
      "domain": "altostrat.com"
    }
  }
}

כשהבנק בודק את סטטוס השליחה באמצעות שם הפעולה שמוחזר על ידי Submission API, הסטטוס הוא SUCCEEDED. הסטטוס הזה מציין שכתובת ה-URL שנשלחה נוספה לרשימת החסימה של הגלישה הבטוחה.

המאמרים הבאים

  • אפשר לעיין בהפניית ה-API של ThreatInfo ושל ThreatDiscovery (RPC, ‏ REST).