Ich wurde eben durch Klick auf den Link einer Google-Ergebnisseite auf eine Seite geleitet, die sich mit einem Pieps meldete und dann eine "Umfrage" mit Gewinn (ein Samsung S9, glaube ich) zeigte: "Jährliche Besucherumfrage 2018", die URL lautete
http://prize3723.great-our-prize86.loan/?utm_medium=NQ3aDvyuBCtafRQJPeFC66tm%2bMNW8T%2baflxP0d0AJGo%3d&t=main6
Fälschlicherweise hielt die Seite mich für einen Chrome-Nutzer, obwohl ich einen Firefox-Browser nutze.
Natürlich habe ich nichts angeklickt, sondern den Reiter zugemacht. Als ich von der Google-Ergebnisseite denselben Link (deutsche Website eines Medienschaffenden) noch einmal anklickte, war die Umfrage verschwunden und die korrekte Homepage wurde angezeigt.
Bei Eingabe von "great-our-prize86.loan" (ohne Sub-Domain und Rattenschwanz) bekam ich eine weiße Seite angezeigt und oben eine kurze Meldung: "Under construction".
Das who.is ergab keine Treffer.
Auch eine Google-Suche nach "great-our-prize86.loan" ergab keine hilfreichen Treffer. Die Seite als solche kommt nirgends vor und niemand hat bisher darüber geschrieben.
Als ich die Seite "great-our-prize86.loan" ein paar Minuten später erneut im Browser aufrufen wollte, bekam ich einen Netzwerkfehler angezeigt. Auch ein Ping schlägt jetzt fehl: "Unknown host."
Wenn ich Zahl in der Domain durch eine andere ersetze, z. B. "great-our-prize70.loan" bekomme ich wieder die weiße Seite mit der Meldung "Under construction". Auch pingen geht jetzt wieder. 0 % packet loss.
Das kann man mit verschiedenen Zahlen probieren. Die IPs, die dabei rauskommen, gehören scheinbar alle zu LINODE, LLC.
Nicht aber mit "great-our-prize86.loan", da heißt es weiterhin Netzwerkfehler.
WTF?!
Ich habe mir mal die Log-Datei meines Pi-Holes (ein Raspberry Pi am Router, der Werbung und böswillige Seiten abhalten soll) angeschaut und ein paar merkwürdige Einträge rund um den Aufruf der Seite "great-our-prize86.loan" entdeckt. Darunter
wpad
aia.startssl.com
fuhcuouodxgfu
kyyypxwjzdas
mjmwapo
"wpad" ist wohl keine gute Sache, wie eine kurze Suche auf heise ergab: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html
FRAGE: Was ist da los? Ist etwas auf meinem Rechner gelandet? Hat es mit dem Browser oder einem der Plugins zu tun oder ist etwa die ursprüngliche Seite dieses Medienschaffenden schuld (und vielleicht infiziert)? Sie bietet nur http, kein https.
Allerdings: Ich habe die Seite von einem anderen Rechner im Netzwerk (gleiche Hardware, Mac) aufgerufen und die "Umfrage"-Seite _nicht_ erneut angezeigt bekommen.
Bisher hatte ich nie Probleme mit böswilliger Software auf dem Mac. Auch das Netzwerk ist m. E. ausreichend abgesichert.
Jay