|
Diskussionsforum: Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
09.11.2024, 21:43 | #1 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Hallo, ich habe gerade eine Website aufgerufen, die ich wohl nicht hätte aufrufen sollen, infolge eines Tippfehlers in der Browseradresszeile. Zwar hat uBlock und weitere Blocker es blockiert, ich habe allerdings reflexartig "weiter" geklickt. Vorweg, ich nutze MacOS Sonoma (neueste Version) und Firefox for Mac (neueste Version). Mir ist klar, dass hier keine MacOS-Untersuchung angeboten wird, aber ich würde gern fragen, ob ihr wisst, wo (hier?) man sich als Laie ganz grob informieren kann, wie ein Scan-Report einer URL (NICHT eines Computers) einzuschätzen ist. Der Scanner https://www.criminalip.io/domain (auf den blauen button "full scan" klicken) schien auf den ersten Blick für mich als Laie noch am ehesten brauchbare Ergebnisse zu bringen (einschlägige andere Scanner habe ich ebenfalls verwendet). https://www.criminalip.io ist allerdings beschränkt und möchte, dass man sich registriert, wenn man mehr als einmal scannt -> new session/IP/... . Darüber hinaus habe ich zum Vergleich www.bing.com/news gescannt, auf das die dubiose Seite letztlich weiterleitet. Diese Seite (von MS) führt zu ähnlichen Warnungen wie die verdächtige Seite mit Ausnahme der mit von mit mit #### markierten 4 Zeilen. Meine Frage ist im Wesentlichen, was läuft auf solchen dubiosen Seiten eigentlich typischerweise ab? Klar, das könnte alles mögliche sein, Drive By Download oder sonstwas. Aber wenn da steht "Phishing >90%", was genau wird dann da veranstaltet? Oder habe ich z.B. ein Popup nicht gesehen, weil geblockt, und das wäre der Phishing Attempt gewesen? Wie verhaltet ihr euch nach so einem Klick-Fauxpas (auf MacOS/FF for MacOS) (falsche Forum, klar, aber ich frage dennoch mal generell). Ich kann mal Scan-Ergebnisse hier posten. --- Danke! Warnung. Es folgt eine unsichere URL. Diese habe ich so verändert, dass unbedarfte User sie nicht einfach kopieren können. q l t u h . a n d e s (DIESE URL NICHT VERWENDEN) p a t h . t o p Nach der URL kommt noch /space-robot/?pl=(...)&sm=space-robot&click_id=(...)&nrid=(...)&hash=(...) URL with IP 0 Suspicious Length False DGA Score 0 URL with @ False URL with Multiple http False URL with PunyCode False Probability of Phishing URL 99.34% ####1 Common Fake Domain False Invalid SSL False MITM Attack False Locations Newborn Domain N/A Phishing Record 0 Mail Server False #####2 Spam (SPF1 Result) N/A HTML Hidden Element !3 Hidden Iframe 0 Iframe !6 Obfuscated Script !6 Suspicious HTML Element !5 Suspicious Program 0 Button Trap Normal Credential Input Form Safe Form Event !1 Fake Favicon !1 Page Warning !True Suspicious Footer !True Email Domain Check !True Network Redirection to another AS !1 ####3 Redirection to another country 0 Redirection to another domain !2 ####4 Suspicious Cookie False Domain in Subdomain False Title Search News JARM Hash 27d40d40d00040d1dc42d4....... Redirect to https://www.bing.com/news Page Redirections Total: 3 302 https://c.clarity.ms/c.gif https://c.bing.com/c.gif?ctsa=mr&CtsSy ... 200 /c.gif?ctsa=mr&CtsSyn... 302 https://login.live.com/login.srf?wa=wsign 200 https://www.bing.com/secure/Passport.aspx?popup=1&s Frames total 3 https://login.microsoftonline.com /common/oauth2/... https://3pcookiecheck.azureedge.net /instrument/cookieenabled https://login.live.com /login.srf?wa=wsignin1.0&rpsnv=11&ct=17 ... === |
10.11.2024, 01:40 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Es läuft eigentlich immer daraus hinaus, dass die bösen Mädels und Jungs irgendwelche Daten/Passwörter erbeuten wollen. Auf welchem Weg und mit welchem Quellcode auch immer.
__________________Auch sehr beliebt: die Dateien verschlüsseln. Das geht aber erst, wenn entsprechende Malware ausgeführt wurde. Zitat:
__________________ |
10.11.2024, 02:14 | #3 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Die Informationen, die lucina liefert, reichen nicht aus, um die Situation zu reproduzieren.
__________________Eine kurze Recherche ergibt allerdings, dass es sich offenbar um den üblichen notifications-Dreck handelt. |
11.11.2024, 22:18 | #4 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Wirklich vielen Dank für Eure Antworten. Hier ein Tipp für uBlock-Nutzer, die es gewohnt sind, bei affiliate-Links und anderen harmloseren Sachen auf "proceed" zu klicken, und dann aus Versehen irgendwann auf eine Malware-Seite geraten, weil sie reflexartig Proceed klicken: Ihr könnt 1. Die Farbe der Warnung ändern in den Settings, ich empfehle FF4427 (Return-Taste nach dem Pasten), und 2. den Zoom-Faktor von uBlock so stark machen, dass man immer scrollen muss, um auf Proceed zu klicken. |
12.11.2024, 01:28 | #5 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) |
12.11.2024, 01:37 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload)
__________________ --> Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) |
12.11.2024, 08:04 | #7 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Beruhigen Sie sich die Herren. Man darf nicht vergessen, dass 98% der PC/Laptop/Internetnutzer nicht ganz so bewandert ist, wie ihr. Die installieren sich ublock, weil sie denken das Ding schützt schon vor allem möglichen (blockt ja ab und an auch was weg) und klicken dann, wie lucina sagt oft unbedacht drauf los. Hab da auch eine Seite, wenn ich von der wegverlinkt werde schalten sie immer awin oder sowas dazwischen, was ublock erstmal blockt. Da klick ich dann auch blind drauf los Find die Idee prinzipiell gar nicht so doof für Oma Hildegard, damit sie noch ein zweites Mal nachdenkt, bevor sie klickt |
12.11.2024, 09:48 | #8 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Da muß aber erstmal jemand sein, der der Oma das so einstellt und wenn er das so einstellt, kommt die Oma erst recht nicht damit klar und ruft jedesmal an "wie geht es weiter?" Ansonsten: hektische Klickwut bremsen und dem Gehirn die Kontrolle über die Finger lassen. In mehr als 20 Jahren intensiver Internetsurferei hat es kein Virus/Trojaner auf meine PC geschafft.
__________________ Glaub ja nicht, was du denkst, wer ich bin |
12.11.2024, 10:12 | #9 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Ja ach Oma Hildegrad war auch nur ein doofes Beispiel. Aber schau dir doch mal die Internetrambos heutzutage an. Klar Adblocker bekommen sie noch hin, liest und hört man ja auf TikTok. Aber alles danach wird schon brenzlig. Man darf eben nicht vergessen, dass wir hier im TB schon in einer Bubble sind. Nur weil dir nie etwas passiert ist, da du weißt wie/wo/wann man seinen Kopf mal einschalten muss, heißt nicht, dass das andere auch schon seit Jahren so fabrizieren. Oder andersrum: Bei einem User erstmal davon ausgehen, dass er unerfahren ist und keine Ahnung hat - Da dann direkt mit "Extrem bescheuert." und "Nutzlos" zu reagieren, weiiiiiiiiiiiß ich jetzt nicht Auch mal ein bisschen outside-the-bubble denken |
12.11.2024, 12:17 | #10 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Du glaubst gar nicht wie viel Bubbles ich kenne, ganze Schaumbäder hier ist nicht das einzige Forum, in dem ich mitwirke.....
__________________ Glaub ja nicht, was du denkst, wer ich bin |
12.11.2024, 12:48 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload)Zitat:
Sofern diese Leute überhaupt noch nen Desktop oder Notebook haben, viele haben ja nur noch ein Smartphone.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.11.2024, 23:00 | #12 |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Hallo, cosinus und _698 hatten eine sehr starke (und bestimmt begründet starke) Reaktion auf meinen Vorschlag, die uBlock-Blockseite so zu gestalten, dass sie versehentliche Klicks unwahrscheinlicher macht. Mir hat das sehr zu denken gegeben - könntet ihr, also cosinus und _698, kurz erklären könnten, was genau die Gründe für das (a) "bescheuert" und das (b) "nutzlos" (warum genau?) waren, es müssen ja sehr schwerwiegende Gründe gewesen sein, und ich bin jetzt etwas verunsichert. Ich gehe noch etwas mehr ins Detail: 1. uBlock blockt *auch* malware Seiten, allerdings ist sein Fokus (so verstehe ich es) auf Werbung usw. Auch ist in der Begründung für ein Seitenblocking (also gesamte Seite geblockt) (derzeit) nicht zwingend eine Liste zu sehen, die auf Malware hindeutet, weil der Blockierungsgrund auch auf eine Nicht-Malware-Liste zurückgehen kann. Man muss sich bei einem Seitenblock sehr genau die URL anschauen und kann nicht nach der angezeigten Liste gehen - jedenfalls nicht derzeit, vielleicht wird das bei uBlock irgendwann geändert und alle Listen, die die URL beinhalten, werden in diesem Fall angezeigt. 2. Mir ist klar, dass uBlock kein dediziertes Antivirus-Programm/Extension ist. Ich nutze auf meinem MacBook (derzeit) kein Virenprogramm, habe aber die FF-Extensions "Avira Browser Safety" und "Bitdefender Traffic Light" installiert.(OK, ich nutze auch noch Windows 11 ARM mit Defender in der VM/Parallels). Es ist technisch nicht möglich, in Firefox zu konfigurieren, in welcher Reihenfolge Extensions agieren, zumal das gesamte Zusammenspiel komplexer ist. Dies könnte zur Folge haben, dass potentiell (Spekulation) das Zusammenspiel aus uBlock und den beiden AV-Extensions dazu führt, dass eine Malware-Seite aufgerufen wird, nachdem sie in uBlock vom User versehentlich "genehmigt" wurde aufgrund eines Reflexes/menschlichen Fehlers/Übermüdung. So war es auch im vorliegenden Fall, hatte ich den Eindruck. (Ich könnte es theoretisch reproduzieren, wenn euch das wichtig ist). 3. Ich nutzen den Browser am Tag >6 Stunden. Ein Fehler wie der obige unterläuft mir im Schnitt nur einmal alle 5 Jahre (also ein Fehlklick in 10.000 Stunden), und damit meine ich nicht, dass ich mir dann was eingefangen habe, sondern halt nur ein bloßer harmloser Fehlklick, in dessen Folge ich auf irgendeiner harmlosen Werbeseite lande oder so. Er wäre mir nicht unterlaufen, wenn ich hätte nach unten scrollen müssen und die Farbe rot als Signalfarbe gewirkt hätte. Es war eine Verkettung von Zufällen (kurz davor zig Affiliate-Blocks weggeklickt (angenervt und übermüdet) und dann eine URL-Fehleingabe in der Adresszeile. (Ich bin auch in der Lage eine URL zu lesen, auch wenn sie "Verschleierungsmethoden" anwendet, und habe sogar mitbekommen, dass insbesondere offenbar harmlos aussehende FB- und Instagram-Links auf Malwareseiten dennoch weiterleiten können (meine ich mich zu erinnern), also dass insbesondere dort (und in ähnlichen Fällen) die Regel "vertrauenswürdige TLD" nicht greift. Also hab noch ein paar Rest-Hirnzellen beisammen, grad noch so. 4. Es ist m.E. ein Systemproblem bei uBlock, dass ungefährliche Links, die man oft geradezu zulassen *muss* (weil man was kaufen will) auf derselben Ebene behandelt werden wie Malware - und das potentiell mit AV-Extensions interagiert (?). Es könnte aber auch sein, dass uBlock keinen Unterschied macht (auch wenn man es dort zulässt) und die AV-Extensions sich immer so verhalten hätten. Ich hatte immer mal den Eindruck, dass manchmal eine schädliche URL kurzzeitig für Millisekunden aufgerufen wird, bevor kurz danach eine Extension sie blockiert, aber ich mag mich täuschen. Geändert von lucina (12.11.2024 um 23:16 Uhr) |
13.11.2024, 23:41 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) Ich versuch mal meine Reaktion zu erklären: du steckst da eine unglaubliche Energie und einen unglaublichen Anufwand hinein. Jedenfalls nach dem zu urteilen was du da so treibst nach deinen Beschreibungen. Das ist nicht sinnvoll, die Zeit kann man besser in andere Maßnahmen zur Absicherung oder ins Backupkonzept stecken anstatt ein Großteil der Zeit mit diesem "popligen" Addon zu verplempern. Hier und da mal auf irgendwelche schrottigen Internetseiten zu landen ist nun echt nicht das Problem, das so einen Aufwand rechtfertigt. Oder glaubst du wirklich, dass sofort Pest und Gonorrhoe auf dem System sind nach dem Besuch einer Schrottseite?
__________________ Logfiles bitte immer in CODE-Tags posten |
28.11.2024, 22:41 | #14 | |
| Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload)Zitat:
diesem Vorwurf muss ich entschieden widerspechen. Meiner Meinung nach ist uBlock Origin empfehlenswert. Als Werbeblocker, der das Surfen komfortabler macht. Mehr nicht. Statt "extrem bescheuert" hätte ich auch schreiben können: Das komplette Sicherheitskonzept des TOs ist krude und nicht zur Nachahmung empfohlen. |
Themen zu Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload) |
blockiert, button, check, cookie, download, fake, falsche, favicon, firefox, folge, forum, frage, geblockt, klicke, kopieren, mail, phishing, popup, script, seite, seiten, server, spam, temp, warning |