Hallo,

ich habe gerade eine Website aufgerufen, die ich wohl nicht hätte aufrufen sollen, infolge eines Tippfehlers in der Browseradresszeile. Zwar hat uBlock und weitere Blocker es blockiert, ich habe allerdings reflexartig "weiter" geklickt.

Vorweg, ich nutze MacOS Sonoma (neueste Version) und Firefox for Mac (neueste Version).

Mir ist klar, dass hier keine MacOS-Untersuchung angeboten wird, aber ich würde gern fragen, ob ihr wisst, wo (hier?) man sich als Laie ganz grob informieren kann, wie ein Scan-Report einer URL (NICHT eines Computers) einzuschätzen ist.


Der Scanner https://www.criminalip.io/domain (auf den blauen button "full scan" klicken) schien auf den ersten Blick für mich als Laie noch am ehesten brauchbare Ergebnisse zu bringen (einschlägige andere Scanner habe ich ebenfalls verwendet). https://www.criminalip.io ist allerdings beschränkt und möchte, dass man sich registriert, wenn man mehr als einmal scannt -> new session/IP/... . Darüber hinaus habe ich zum Vergleich www.bing.com/news gescannt, auf das die dubiose Seite letztlich weiterleitet. Diese Seite (von MS) führt zu ähnlichen Warnungen wie die verdächtige Seite mit Ausnahme der mit von mit mit #### markierten 4 Zeilen.

Meine Frage ist im Wesentlichen, was läuft auf solchen dubiosen Seiten eigentlich typischerweise ab? Klar, das könnte alles mögliche sein, Drive By Download oder sonstwas. Aber wenn da steht "Phishing >90%", was genau wird dann da veranstaltet? Oder habe ich z.B. ein Popup nicht gesehen, weil geblockt, und das wäre der Phishing Attempt gewesen? Wie verhaltet ihr euch nach so einem Klick-Fauxpas (auf MacOS/FF for MacOS) (falsche Forum, klar, aber ich frage dennoch mal generell).

Ich kann mal Scan-Ergebnisse hier posten. --- Danke!

Warnung. Es folgt eine unsichere URL. Diese habe ich so verändert, dass unbedarfte User sie nicht einfach kopieren können.
q l t u h . a n d e s (DIESE URL NICHT VERWENDEN) p a t h . t o p
Nach der URL kommt noch /space-robot/?pl=(...)&sm=space-robot&click_id=(...)&nrid=(...)&hash=(...)

URL with IP 0
Suspicious Length False
DGA Score 0
URL with @ False
URL with Multiple http False
URL with PunyCode False
Probability of Phishing URL 99.34% ####1
Common
Fake Domain False
Invalid SSL False
MITM Attack False
Locations
Newborn Domain N/A
Phishing Record 0
Mail Server False #####2
Spam (SPF1 Result) N/A
HTML
Hidden Element !3
Hidden Iframe 0
Iframe !6
Obfuscated Script !6
Suspicious HTML Element !5
Suspicious Program 0
Button Trap Normal
Credential Input Form Safe
Form Event !1
Fake Favicon !1
Page Warning !True
Suspicious Footer !True
Email Domain Check !True

Network
Redirection to another AS !1 ####3
Redirection to another country 0
Redirection to another domain !2 ####4
Suspicious Cookie False
Domain in Subdomain False

Title
Search News
JARM Hash
27d40d40d00040d1dc42d4.......
Redirect to https://www.bing.com/news

Page Redirections
Total: 3
302
https://c.clarity.ms/c.gif
https://c.bing.com/c.gif?ctsa=mr&CtsSy ...
200 /c.gif?ctsa=mr&CtsSyn...

302 https://login.live.com/login.srf?wa=wsign
200 https://www.bing.com/secure/Passport.aspx?popup=1&s

Frames
total 3

https://login.microsoftonline.com /common/oauth2/...
https://3pcookiecheck.azureedge.net /instrument/cookieenabled
https://login.live.com /login.srf?wa=wsignin1.0&rpsnv=11&ct=17 ...

===

Es läuft eigentlich immer daraus hinaus, dass die bösen Mädels und Jungs irgendwelche Daten/Passwörter erbeuten wollen. Auf welchem Weg und mit welchem Quellcode auch immer.
Auch sehr beliebt: die Dateien verschlüsseln. Das geht aber erst, wenn entsprechende Malware ausgeführt wurde.

Zitat:

Wie verhaltet ihr euch nach so einem Klick-Fauxpas (auf MacOS/FF for MacOS) (falsche Forum, klar, aber ich frage dennoch mal generell).

Tab schließen und das Ganze vergessen. Wenn allein durch das Aufrufen was passiert hast du ganz andere Probleme als das, was hier versucht wird zu thematisieren.

Die Informationen, die lucina liefert, reichen nicht aus, um die Situation zu reproduzieren.
Eine kurze Recherche ergibt allerdings, dass es sich offenbar um den üblichen notifications-Dreck handelt.

Wirklich vielen Dank für Eure Antworten.

Hier ein Tipp für uBlock-Nutzer, die es gewohnt sind, bei affiliate-Links und anderen harmloseren Sachen auf "proceed" zu klicken, und dann aus Versehen irgendwann auf eine Malware-Seite geraten, weil sie reflexartig Proceed klicken:

Ihr könnt 1. Die Farbe der Warnung ändern in den Settings, ich empfehle FF4427 (Return-Taste nach dem Pasten), und 2. den Zoom-Faktor von uBlock so stark machen, dass man immer scrollen muss, um auf Proceed zu klicken.

Zitat:

Zitat von lucina

Hier ein Tipp

Extrem bescheuert.

Zitat:

Zitat von _698

Extrem bescheuert.

Und nutzlos.

Beruhigen Sie sich die Herren. Man darf nicht vergessen, dass 98% der PC/Laptop/Internetnutzer nicht ganz so bewandert ist, wie ihr.
Die installieren sich ublock, weil sie denken das Ding schützt schon vor allem möglichen (blockt ja ab und an auch was weg) und klicken dann, wie lucina sagt oft unbedacht drauf los.
Hab da auch eine Seite, wenn ich von der wegverlinkt werde schalten sie immer awin oder sowas dazwischen, was ublock erstmal blockt. Da klick ich dann auch blind drauf los
Find die Idee prinzipiell gar nicht so doof für Oma Hildegard, damit sie noch ein zweites Mal nachdenkt, bevor sie klickt

Da muß aber erstmal jemand sein, der der Oma das so einstellt
und wenn er das so einstellt, kommt die Oma erst recht nicht
damit klar und ruft jedesmal an "wie geht es weiter?"

Ansonsten: hektische Klickwut bremsen und dem Gehirn die Kontrolle
über die Finger lassen. In mehr als 20 Jahren intensiver Internetsurferei
hat es kein Virus/Trojaner auf meine PC geschafft.

Ja ach Oma Hildegrad war auch nur ein doofes Beispiel.
Aber schau dir doch mal die Internetrambos heutzutage an. Klar Adblocker bekommen sie noch hin, liest und hört man ja auf TikTok. Aber alles danach wird schon brenzlig.

Man darf eben nicht vergessen, dass wir hier im TB schon in einer Bubble sind. Nur weil dir nie etwas passiert ist, da du weißt wie/wo/wann man seinen Kopf mal einschalten muss, heißt nicht, dass das andere auch schon seit Jahren so fabrizieren.

Oder andersrum: Bei einem User erstmal davon ausgehen, dass er unerfahren ist und keine Ahnung hat - Da dann direkt mit "Extrem bescheuert." und "Nutzlos" zu reagieren, weiiiiiiiiiiiß ich jetzt nicht
Auch mal ein bisschen outside-the-bubble denken

Du glaubst gar nicht wie viel Bubbles ich kenne, ganze Schaumbäder

hier ist nicht das einzige Forum, in dem ich mitwirke.....

Zitat:

Zitat von Explo

Beruhigen Sie sich die Herren. Man darf nicht vergessen, dass 98% der PC/Laptop/Internetnutzer nicht ganz so bewandert ist, wie ihr.

Solche Leute die du jetzt meinst kenn aber auch uBlock nicht. Die wissen grade mal wie man den PC einschaltet und "das Internet" aufmacht
Sofern diese Leute überhaupt noch nen Desktop oder Notebook haben, viele haben ja nur noch ein Smartphone.

Hallo, cosinus und _698 hatten eine sehr starke (und bestimmt begründet starke) Reaktion auf meinen Vorschlag, die uBlock-Blockseite so zu gestalten, dass sie versehentliche Klicks unwahrscheinlicher macht.

Mir hat das sehr zu denken gegeben - könntet ihr, also cosinus und _698, kurz erklären könnten, was genau die Gründe für das
(a) "bescheuert"
und das
(b) "nutzlos" (warum genau?)
waren, es müssen ja sehr schwerwiegende Gründe gewesen sein, und ich bin jetzt etwas verunsichert.

Ich gehe noch etwas mehr ins Detail:

1. uBlock blockt *auch* malware Seiten, allerdings ist sein Fokus (so verstehe ich es) auf Werbung usw. Auch ist in der Begründung für ein Seitenblocking (also gesamte Seite geblockt) (derzeit) nicht zwingend eine Liste zu sehen, die auf Malware hindeutet, weil der Blockierungsgrund auch auf eine Nicht-Malware-Liste zurückgehen kann. Man muss sich bei einem Seitenblock sehr genau die URL anschauen und kann nicht nach der angezeigten Liste gehen - jedenfalls nicht derzeit, vielleicht wird das bei uBlock irgendwann geändert und alle Listen, die die URL beinhalten, werden in diesem Fall angezeigt.

2. Mir ist klar, dass uBlock kein dediziertes Antivirus-Programm/Extension ist. Ich nutze auf meinem MacBook (derzeit) kein Virenprogramm, habe aber die FF-Extensions "Avira Browser Safety" und "Bitdefender Traffic Light" installiert.(OK, ich nutze auch noch Windows 11 ARM mit Defender in der VM/Parallels). Es ist technisch nicht möglich, in Firefox zu konfigurieren, in welcher Reihenfolge Extensions agieren, zumal das gesamte Zusammenspiel komplexer ist. Dies könnte zur Folge haben, dass potentiell (Spekulation) das Zusammenspiel aus uBlock und den beiden AV-Extensions dazu führt, dass eine Malware-Seite aufgerufen wird, nachdem sie in uBlock vom User versehentlich "genehmigt" wurde aufgrund eines Reflexes/menschlichen Fehlers/Übermüdung. So war es auch im vorliegenden Fall, hatte ich den Eindruck. (Ich könnte es theoretisch reproduzieren, wenn euch das wichtig ist).

3. Ich nutzen den Browser am Tag >6 Stunden. Ein Fehler wie der obige unterläuft mir im Schnitt nur einmal alle 5 Jahre (also ein Fehlklick in 10.000 Stunden), und damit meine ich nicht, dass ich mir dann was eingefangen habe, sondern halt nur ein bloßer harmloser Fehlklick, in dessen Folge ich auf irgendeiner harmlosen Werbeseite lande oder so. Er wäre mir nicht unterlaufen, wenn ich hätte nach unten scrollen müssen und die Farbe rot als Signalfarbe gewirkt hätte. Es war eine Verkettung von Zufällen (kurz davor zig Affiliate-Blocks weggeklickt (angenervt und übermüdet) und dann eine URL-Fehleingabe in der Adresszeile.
(Ich bin auch in der Lage eine URL zu lesen, auch wenn sie "Verschleierungsmethoden" anwendet, und habe sogar mitbekommen, dass insbesondere offenbar harmlos aussehende FB- und Instagram-Links auf Malwareseiten dennoch weiterleiten können (meine ich mich zu erinnern), also dass insbesondere dort (und in ähnlichen Fällen) die Regel "vertrauenswürdige TLD" nicht greift. Also hab noch ein paar Rest-Hirnzellen beisammen, grad noch so.

4. Es ist m.E. ein Systemproblem bei uBlock, dass ungefährliche Links, die man oft geradezu zulassen *muss* (weil man was kaufen will) auf derselben Ebene behandelt werden wie Malware - und das potentiell mit AV-Extensions interagiert (?). Es könnte aber auch sein, dass uBlock keinen Unterschied macht (auch wenn man es dort zulässt) und die AV-Extensions sich immer so verhalten hätten. Ich hatte immer mal den Eindruck, dass manchmal eine schädliche URL kurzzeitig für Millisekunden aufgerufen wird, bevor kurz danach eine Extension sie blockiert, aber ich mag mich täuschen.

Ich versuch mal meine Reaktion zu erklären: du steckst da eine unglaubliche Energie und einen unglaublichen Anufwand hinein. Jedenfalls nach dem zu urteilen was du da so treibst nach deinen Beschreibungen. Das ist nicht sinnvoll, die Zeit kann man besser in andere Maßnahmen zur Absicherung oder ins Backupkonzept stecken anstatt ein Großteil der Zeit mit diesem "popligen" Addon zu verplempern. Hier und da mal auf irgendwelche schrottigen Internetseiten zu landen ist nun echt nicht das Problem, das so einen Aufwand rechtfertigt. Oder glaubst du wirklich, dass sofort Pest und Gonorrhoe auf dem System sind nach dem Besuch einer Schrottseite?