Generelle Frage zu dubiosen URLs/Seiten (z.B. Phishing/DriveByDownload)

lucina

Hallo,

ich habe gerade eine Website aufgerufen, die ich wohl nicht hätte aufrufen sollen, infolge eines Tippfehlers in der Browseradresszeile. Zwar hat uBlock und weitere Blocker es blockiert, ich habe allerdings reflexartig "weiter" geklickt.

Vorweg, ich nutze MacOS Sonoma (neueste Version) und Firefox for Mac (neueste Version).

Mir ist klar, dass hier keine MacOS-Untersuchung angeboten wird, aber ich würde gern fragen, ob ihr wisst, wo (hier?) man sich als Laie ganz grob informieren kann, wie ein Scan-Report einer URL (NICHT eines Computers) einzuschätzen ist.


Der Scanner https://www.criminalip.io/domain (auf den blauen button "full scan" klicken) schien auf den ersten Blick für mich als Laie noch am ehesten brauchbare Ergebnisse zu bringen (einschlägige andere Scanner habe ich ebenfalls verwendet). https://www.criminalip.io ist allerdings beschränkt und möchte, dass man sich registriert, wenn man mehr als einmal scannt -> new session/IP/... . Darüber hinaus habe ich zum Vergleich www.bing.com/news gescannt, auf das die dubiose Seite letztlich weiterleitet. Diese Seite (von MS) führt zu ähnlichen Warnungen wie die verdächtige Seite mit Ausnahme der mit von mit mit #### markierten 4 Zeilen.

Meine Frage ist im Wesentlichen, was läuft auf solchen dubiosen Seiten eigentlich typischerweise ab? Klar, das könnte alles mögliche sein, Drive By Download oder sonstwas. Aber wenn da steht "Phishing >90%", was genau wird dann da veranstaltet? Oder habe ich z.B. ein Popup nicht gesehen, weil geblockt, und das wäre der Phishing Attempt gewesen? Wie verhaltet ihr euch nach so einem Klick-Fauxpas (auf MacOS/FF for MacOS) (falsche Forum, klar, aber ich frage dennoch mal generell).

Ich kann mal Scan-Ergebnisse hier posten. --- Danke!

Warnung. Es folgt eine unsichere URL. Diese habe ich so verändert, dass unbedarfte User sie nicht einfach kopieren können.
q l t u h . a n d e s (DIESE URL NICHT VERWENDEN) p a t h . t o p
Nach der URL kommt noch /space-robot/?pl=(...)&sm=space-robot&click_id=(...)&nrid=(...)&hash=(...)

URL with IP 0
Suspicious Length False
DGA Score 0
URL with @ False
URL with Multiple http False
URL with PunyCode False
Probability of Phishing URL 99.34% ####1
Common
Fake Domain False
Invalid SSL False
MITM Attack False
Locations
Newborn Domain N/A
Phishing Record 0
Mail Server False #####2
Spam (SPF1 Result) N/A
HTML
Hidden Element !3
Hidden Iframe 0
Iframe !6
Obfuscated Script !6
Suspicious HTML Element !5
Suspicious Program 0
Button Trap Normal
Credential Input Form Safe
Form Event !1
Fake Favicon !1
Page Warning !True
Suspicious Footer !True
Email Domain Check !True

Network
Redirection to another AS !1 ####3
Redirection to another country 0
Redirection to another domain !2 ####4
Suspicious Cookie False
Domain in Subdomain False

Title
Search News
JARM Hash
27d40d40d00040d1dc42d4.......
Redirect to https://www.bing.com/news

Page Redirections
Total: 3
302
https://c.clarity.ms/c.gif
https://c.bing.com/c.gif?ctsa=mr&CtsSy ...
200 /c.gif?ctsa=mr&CtsSyn...

302 https://login.live.com/login.srf?wa=wsign
200 https://www.bing.com/secure/Passport.aspx?popup=1&s

Frames
total 3

https://login.microsoftonline.com /common/oauth2/...
https://3pcookiecheck.azureedge.net /instrument/cookieenabled
https://login.live.com /login.srf?wa=wsignin1.0&rpsnv=11&ct=17 ...

===