不等注册商,也能让钓鱼站被拦下来 — 浏览器 blocklist 通报实务

前一篇注册商 abuse 通报的写法最后列了一张 escalation 表,上面最被低估的路径是浏览器端的 blocklist。注册商还在审的时间里,浏览器已经可以直接警告你的用户。
关键洞察是:浏览器 blocklist 不需要注册商做任何事。钓鱼站点还活着,DNS 还正常,HTTP 还返回 200——但用户的浏览器在访问时会显示整屏 "Deceptive site ahead" 警告。终端用户保护和注册商响应速度脱钩了。
本文覆盖 3 条实操的拦截路径——Google Safe Browsing、Microsoft SmartScreen 和 DNS 级 blocklist——包括提交流程、生效时间、以及如何验证通报真的生效了。
全景:浏览器侧有 3 层防御
| 路径 | 覆盖的客户端 | 生效时间 | 提交难度 |
|---|---|---|---|
| Google Safe Browsing | Chrome、Safari、Firefox、Android | 24–48 小时 | 低 |
| Microsoft SmartScreen | Edge、Outlook、Windows Defender、Teams | 12–72 小时 | 中 |
| DNS 级 blocklist | Quad9、Cloudflare 1.1.1.1 for Families、OpenDNS | 数分钟到数小时 | 中 |
三条都可以并行提交——没有 reporter 信誉冲突、没有奖励瓜分。和注册商 abuse 通报一起跑是默认策略。
1. Google Safe Browsing
提交
公开提交入口: https://safebrowsing.google.com/safebrowsing/report_phish/
关键字段:
- URL — 完整钓鱼 URL,包括 path 和 query
- Comments — 可选但强烈推荐。
phishing credential-theft page impersonating yourbrand比留空获得明显优先级 - reCAPTCHA — v2,过一次
生效时间
经验分布:
- 24 小时内:多数情况下,Chrome 和 Android 会显示整屏 "Deceptive site ahead" 警告
- 几小时:如果其他信号背书(PhishTank、多用户提交)
- 48 小时以上:如果 Google 二次验证无法确认 live 钓鱼行为,警告永远上不去
可以用 Safe Browsing API 自助验证:
curl "https://safebrowsing.googleapis.com/v4/threatMatches:find?key=$API_KEY" \
-d '{
"threatInfo": {
"threatTypes": ["SOCIAL_ENGINEERING"],
"platformTypes": ["ANY_PLATFORM"],
"threatEntryTypes": ["URL"],
"threatEntries": [{"url": "https://example-phish.com/login"}]
}
}'有匹配返回表示已被加入黑名单——终端用户警告生效中。
坑
- 粒度是 URL 不是 domain:攻击者换个 path 就绕过去了,需要重新提交
- 误判 appeal:正规站点被误列,走 Search Console → Security Issues → reconsideration request,通常数小时解除
- 非可爬 URL 不生效:短链重定向背后的 URL、或需要特定 UA 才能访问的 URL,Google 无法复验,警告不生效
2. Microsoft SmartScreen
提交
https://feedback.smartscreen.microsoft.com/feedback.aspx?t=0
字段:
- URL
- Threat type —
Phishing/Malware/Unwanted software - 证据截图 — 必须附上。SmartScreen 对证据的权重比 Safe Browsing 更高,没截图的提交很可能滞留
状态机
SmartScreen ticket 的状态流转:
- Submitted — 受理
- Under review — 分析师验证中
- Effective / Not effective — 最终裁定;Effective = 警告在 Microsoft 产品生态上线
Microsoft 会在每次状态变化发邮件通知。把通知地址加白名单(常被 spam 过滤)。
坑
- 低分辨率截图会被要求重传 —
1280x800以上更稳 - 非 Microsoft 客户端不覆盖 — Firefox、Chrome 用户看不到 SmartScreen 警告
- 生效时间方差大 — 最快 12 小时,最慢 72 小时,容量规划按上界算
3. DNS 级 blocklist
这类拦截发生在 DNS 解析层——用户的浏览器连域名都没解析出 IP。
Quad9(9.9.9.9)
免费的公开过滤型 DNS resolver,背后是 IBM X-Force 和多个威胁情报 feed。通报入口: https://quad9.net/report/
Quad9 优先处理 feed 合作方 提交,所以 PhishTank / OpenPhish 等上游的通报会间接被 Quad9 消化。
Cloudflare 1.1.1.1 for Families
Cloudflare Gateway 的消费级 DNS:1.1.1.3 屏蔽 malware,1.1.1.2 屏蔽 malware + 成人内容。企业客户用 Cloudflare Gateway 可以在 dashboard 设置分类级钓鱼拦截。逐 URL 提交: https://cloudflare.com/report-abuse/phishing
Cloudflare 的表单简短,团队反应快——经常 24 小时内 feed 反映。公开通报工具链里最快的一条。
OpenDNS(Cisco Umbrella)
偏 B2B 的 DNS 过滤,企业网里大量使用。通报入口: https://phish.opendns.com/
即使是小规模 campaign 也值得一报——只要任何一个客户的员工在 OpenDNS 保护的网络里,这条路径就能保护他们。
提交后验证生效
提交 ≠ 生效。要验证:
Google Safe Browsing 状态
chrome://safe-browsing-diagnostic?site=https://example-phish.com
贴到 Chrome 地址栏,可以看到 Google 的最新判定。提交前后 diff 就知道你的通报是不是真的起作用。
第三方聚合器
- VirusTotal — 把 Google Safe Browsing、Opera、PhishTank 等多家厂商的判定并排给你看
- urlscan.io — 提交后重新扫一次,和之前对比 verdict
SmartScreen ticket 查询
https://www.microsoft.com/en-us/wdsi/filesubmission/detail?id={ticket_id}
用提交邮件里的 ticket ID 随时查状态。
OpenBait 的自动化
对 检测管道 里标记为 live 的每个候选,OpenBait 自动执行:
- Headless Chromium 截图
- 并行向 Google Safe Browsing、Microsoft SmartScreen、Cloudflare 提交
- Ticket 状态跟踪(Submitted → Under review → Effective),webhook 接收
- Stale 证据关单(Effective 后关 ticket)
人工每候选约 20 分钟的活,管道 30 秒做完。和注册商 abuse 通报并行跑,把终端用户保护和注册商响应速度解耦——这才是重点。
发现仿冒域名,你不需要把自己绑在任何单一下架通道上。浏览器 blocklist 通报是最快保护真实用户的路径——不需要 reporter 信誉、不需要官僚式 escalation、接收端是实时客户端。想把这条管道自动化,免费注册。
相关文章
Building an Anti-Phishing Defense That Actually Works in 2026
How mid-market security teams should layer detection, takedown, and customer-side protection into one operational flow. Field notes from a year of running this stack against AI-generated phishing campaigns — what saves time, what wastes budget, and where vendors over-promise.
How a `.cn` Phishing Site Was Taken Down in Hours via Tencent — and Ignored by Google for 3 Days
A concrete case from a customer takedown: the same phishing site reported on day zero to both Google Safe Browsing and Tencent's abuse channel. Tencent removed it within 24 hours; Google never responded. What this means for anyone running anti-phishing for a brand exposed to Chinese-hosted infrastructure.
The First 48 Hours of a Phishing Incident — A 7-Step Response Playbook
What to do in the first 48 hours after a phishing site impersonating your brand goes live. Scoped to mid-market security teams without a 24/7 SOC. Each step has an owner, an output, and a hard deadline — based on the response runs we operate at OpenBait.