不等注册商,也能让钓鱼站被拦下来 — 浏览器 blocklist 通报实务

Google Safe Browsing、Microsoft SmartScreen、DNS 级 blocklist 各自的通报流程与生效时间。在注册商的 abuse 队列还在处理的时间里,直接在浏览器端保护终端用户的并行路径。

前一篇注册商 abuse 通报的写法最后列了一张 escalation 表,上面最被低估的路径是浏览器端的 blocklist。注册商还在审的时间里,浏览器已经可以直接警告你的用户。

关键洞察是:浏览器 blocklist 不需要注册商做任何事。钓鱼站点还活着,DNS 还正常,HTTP 还返回 200——但用户的浏览器在访问时会显示整屏 "Deceptive site ahead" 警告。终端用户保护和注册商响应速度脱钩了

本文覆盖 3 条实操的拦截路径——Google Safe BrowsingMicrosoft SmartScreenDNS 级 blocklist——包括提交流程、生效时间、以及如何验证通报真的生效了。

全景:浏览器侧有 3 层防御

路径覆盖的客户端生效时间提交难度
Google Safe BrowsingChrome、Safari、Firefox、Android24–48 小时
Microsoft SmartScreenEdge、Outlook、Windows Defender、Teams12–72 小时
DNS 级 blocklistQuad9、Cloudflare 1.1.1.1 for Families、OpenDNS数分钟到数小时

三条都可以并行提交——没有 reporter 信誉冲突、没有奖励瓜分。和注册商 abuse 通报一起跑是默认策略。

1. Google Safe Browsing

提交

公开提交入口: https://safebrowsing.google.com/safebrowsing/report_phish/

关键字段:

  • URL — 完整钓鱼 URL,包括 path 和 query
  • Comments — 可选但强烈推荐。phishing credential-theft page impersonating yourbrand 比留空获得明显优先级
  • reCAPTCHA — v2,过一次

生效时间

经验分布:

  • 24 小时内:多数情况下,Chrome 和 Android 会显示整屏 "Deceptive site ahead" 警告
  • 几小时:如果其他信号背书(PhishTank、多用户提交)
  • 48 小时以上:如果 Google 二次验证无法确认 live 钓鱼行为,警告永远上不去

可以用 Safe Browsing API 自助验证:

bash
curl "https://safebrowsing.googleapis.com/v4/threatMatches:find?key=$API_KEY" \
  -d '{
    "threatInfo": {
      "threatTypes": ["SOCIAL_ENGINEERING"],
      "platformTypes": ["ANY_PLATFORM"],
      "threatEntryTypes": ["URL"],
      "threatEntries": [{"url": "https://example-phish.com/login"}]
    }
  }'

有匹配返回表示已被加入黑名单——终端用户警告生效中。

  • 粒度是 URL 不是 domain:攻击者换个 path 就绕过去了,需要重新提交
  • 误判 appeal:正规站点被误列,走 Search Console → Security Issues → reconsideration request,通常数小时解除
  • 非可爬 URL 不生效:短链重定向背后的 URL、或需要特定 UA 才能访问的 URL,Google 无法复验,警告不生效

2. Microsoft SmartScreen

提交

https://feedback.smartscreen.microsoft.com/feedback.aspx?t=0

字段:

  • URL
  • Threat typePhishing / Malware / Unwanted software
  • 证据截图必须附上。SmartScreen 对证据的权重比 Safe Browsing 更高,没截图的提交很可能滞留

状态机

SmartScreen ticket 的状态流转:

  1. Submitted — 受理
  2. Under review — 分析师验证中
  3. Effective / Not effective — 最终裁定;Effective = 警告在 Microsoft 产品生态上线

Microsoft 会在每次状态变化发邮件通知。把通知地址加白名单(常被 spam 过滤)。

  • 低分辨率截图会被要求重传1280x800 以上更稳
  • 非 Microsoft 客户端不覆盖 — Firefox、Chrome 用户看不到 SmartScreen 警告
  • 生效时间方差大 — 最快 12 小时,最慢 72 小时,容量规划按上界算

3. DNS 级 blocklist

这类拦截发生在 DNS 解析层——用户的浏览器连域名都没解析出 IP。

Quad9(9.9.9.9

免费的公开过滤型 DNS resolver,背后是 IBM X-Force 和多个威胁情报 feed。通报入口: https://quad9.net/report/

Quad9 优先处理 feed 合作方 提交,所以 PhishTank / OpenPhish 等上游的通报会间接被 Quad9 消化。

Cloudflare 1.1.1.1 for Families

Cloudflare Gateway 的消费级 DNS:1.1.1.3 屏蔽 malware,1.1.1.2 屏蔽 malware + 成人内容。企业客户用 Cloudflare Gateway 可以在 dashboard 设置分类级钓鱼拦截。逐 URL 提交: https://cloudflare.com/report-abuse/phishing

Cloudflare 的表单简短,团队反应快——经常 24 小时内 feed 反映。公开通报工具链里最快的一条

OpenDNS(Cisco Umbrella)

偏 B2B 的 DNS 过滤,企业网里大量使用。通报入口: https://phish.opendns.com/

即使是小规模 campaign 也值得一报——只要任何一个客户的员工在 OpenDNS 保护的网络里,这条路径就能保护他们。

提交后验证生效

提交 ≠ 生效。要验证:

Google Safe Browsing 状态

chrome://safe-browsing-diagnostic?site=https://example-phish.com

贴到 Chrome 地址栏,可以看到 Google 的最新判定。提交前后 diff 就知道你的通报是不是真的起作用。

第三方聚合器

  • VirusTotal — 把 Google Safe Browsing、Opera、PhishTank 等多家厂商的判定并排给你看
  • urlscan.io — 提交后重新扫一次,和之前对比 verdict

SmartScreen ticket 查询

https://www.microsoft.com/en-us/wdsi/filesubmission/detail?id={ticket_id}

用提交邮件里的 ticket ID 随时查状态。

OpenBait 的自动化

检测管道 里标记为 live 的每个候选,OpenBait 自动执行:

  1. Headless Chromium 截图
  2. 并行向 Google Safe Browsing、Microsoft SmartScreen、Cloudflare 提交
  3. Ticket 状态跟踪(Submitted → Under review → Effective),webhook 接收
  4. Stale 证据关单(Effective 后关 ticket)

人工每候选约 20 分钟的活,管道 30 秒做完。和注册商 abuse 通报并行跑,把终端用户保护和注册商响应速度解耦——这才是重点。


发现仿冒域名,你不需要把自己绑在任何单一下架通道上。浏览器 blocklist 通报是最快保护真实用户的路径——不需要 reporter 信誉、不需要官僚式 escalation、接收端是实时客户端。想把这条管道自动化,免费注册

保护您的品牌免受钓鱼威胁

免费开始监控域名仿冒和社交媒体品牌冒充。

免费开始

相关文章

Building an Anti-Phishing Defense That Actually Works in 2026

How mid-market security teams should layer detection, takedown, and customer-side protection into one operational flow. Field notes from a year of running this stack against AI-generated phishing campaigns — what saves time, what wastes budget, and where vendors over-promise.

不等注册商,也能让钓鱼站被拦下来 — 浏览器 blocklist 通报实务 | OpenBait