fritz.box führt auf seltsame Drittseite

[lumlacb]

Liebe Community,

ich wollte gestern wie üblich über fritz.box die Oberfläche meiner FRITZ!Box in Safari im Inkognito Modus aufrufen. Dabei kam dann die Fehlermeldung, dass die Seite unsicher sei, was aber ab und an vorkommt, weil der Aufruf über HTTP erfolgt, also habe ich mir nichts dabei gedacht und auf 'Trotzdem besuchen' geklickt.

Der Warnhinweis kam erneut, ich dachte, es ist ein Bug und habe einige Male bestätigt, bis ich dann am Ende plötzlich auf einer seltsamen fremden Seite gelandet bin (siehe Screenshots im Anhang, auch via Google auffindbar).

Wenn ich im 'normalen' Modus in Safari auf fritz.box gehe, lande ich auch korrekt beim Login der FRITZ!Box.

Jetzt bin ich etwas beunruhigt und habe zwei Fragen:

• Wie kann es denn überhaupt passieren, dass ich auf dieser Fremdseite lande?
• Nachdem diese Seite irgendwie nach Scam aussieht, kann man irgendwie ‚aus der Ferne‘ feststellen, ob ich mir alleine durch den Besuch (einmal auf Mac, einmal auf einem iPad, Browser war immer Safari) irgendwelche Schadsoftware eingefangen habe?

Vielen Dank für eure Hilfe!

 

[MadDog]

das passiert normalerweise, wenn du nicht im Netz der Fritzbox bist (z.B. keine WLAN Verbindung zur Box hast)

 

[Raijin]

ich wollte gestern wie üblich über fritz.box die Oberfläche meiner FRITZ!Box in Safari im Inkognito Modus aufrufen. Dabei kam dann die Fehlermeldung, dass die Seite unsicher sei

Safari wird im Inkognito Modus mutmaßlich einen anderen DNS verwenden, einen DNS im www. Dieser DNS hat natürlich keine Ahnung davon, dass du mit "fritz.box" deine eigene lokale Fritzbox meinst. Stattdessen wird er diese Domain im www suchen und anschließend landest du eben auf dieser öffentlichen Webseite im Internet und nicht auf deiner Fritzbox.

Im normalen Modus wird der DNS des Systems genutzt und das wird die IP deiner Fritzbox sein. Die Fritzbox weiß als DNS aber, dass sie selbst gemeint ist, wenn du fritz.box eingibst und dann landest du auch auf der richtigen Seiten.


DNS ist wie ein Telefonbuch und es macht eben einen Unterschied ob du sozusagen im Familientelefonbuch auf der Kommode nach "Fritz" guckst oder ob du in einem anderen Telefonbuch nachschaust.

 

[SaxnPaule]

Nutzt Safari im Inkognito Modus evtl. einen anderen Nameserver?

Edit: Zu spät

 

[Azghul0815]

Je nach Einstellungen muss Apple eigene Name Server nutzen.
Im Standardmodus nutzt mir weder am Mqc noch am IPhone mein PiHole etwas.

 

[lumlacb]

das passiert normalerweise, wenn du nicht im Netz der Fritzbox bist (z.B. keine WLAN Verbindung zur Box hast)

Lieben Dank für das Feedback. In diesem Fall kann das nicht passiert sein, außer der FRITZ!Box habe ich keinerlei andere Möglichkeit, eine Internetverbindung aufzubauen, d.h. wenn Mac und iPad nicht mit der FRITZ!Box verbunden wären, hätten sie gar keine Verbindung – und direkt per IP lt. Support Page bzw. ohne Inkognito Modus war die FRITZ!Box ja erreichbar.

DNS ist wie ein Telefonbuch und es macht eben einen Unterschied ob du sozusagen im Familientelefonbuch auf der Kommode nach "Fritz" guckst oder ob du in einem anderen Telefonbuch nachschaust.

Oh, das klingt logisch, lieben Dank für die detaillierte Erklärung, auch an alle anderen, die noch kommentiert haben. Das erklärt dann auch, wieso die FRITZ!Box auch im Inkognito Modus direkt per IP normal erreichbar ist, weil der DNS dann keine 'Interpretationsmöglichkeit' hat, richtig?

Dann wäre nur noch die Frage offen, ob ich mir durch den Besuch dieser Seite seltsamen öffentlichen fritz.box irgendwelche Malware oder sonstige Schadsoftware geholt haben könnte. Habt ihr da eine Einschätzung?

 

[Nilson]

IP normal erreichbar ist, weil der DNS dann keine 'Interpretationsmöglichkeit' hat, richtig

Wenn du einen Webserver per IP ansprichst, spielt DNS keine Rolle.

 

[Raijin]

Man kann das auch mal selbst ausprobieren. Unter Windows zum Beispiel so:
(bei MacOS sollte es nslookup auch geben, ggfs abweichende Syntax)

Start --> cmd
--> nslookup fritz.box
--> nslookup fritz.box 8.8.8.8

Mit dem ersten Kommando wird der im System eingestellte DNS verwendet. Das wird die Fritzbox sein. Ergo antwortet die Fritzbox auch selbst auf diesen DNS-Query und das Ergebnis ist zB 192.168.178.1

Das zweite Kommando hingegen fragt explizit den google DNS. Dieser hat ebenso wie der vom Safari-Inkognito keine Ahnung von deiner Fritzbox, nicht zuletzt weil es Millionen von den Kisten gibt und alle hören sie auf den Namen "fritz.box". Deswegen wird der google DNS jetzt in der großen Datenbank des www nachgucken wo sich fritz.box öffentlich befindet. Die Antwort wird daher eine öffentliche IP-Adresse sein und nicht die deiner Fritzbox. Auf dieser IP könnte ganz banal eine Webseite von Fritz Meier, leidenschaftlicher Boxfan (fritz.box eben ), sein, aber wenn's dumm läuft ist es die Webseite eines Menschen, der Böses im Schilde führt.

Das erklärt dann auch, wieso die FRITZ!Box auch im Inkognito Modus direkt per IP normal erreichbar ist, weil der DNS dann keine 'Interpretationsmöglichkeit' hat, richtig?

Korrekt. Wenn man direkt eine IP eingibt, spielt DNS keine Rolle. Um wieder den Vergleich zum Telefonbuch zu ziehen: Wenn du deine Eltern anrufst, schaust du auch nicht erst ins Telefonbuch, um ihre Nummer rauszusuchen. (Kurzwahlen und "auf Namen klicken" lassen wir mal außen vor).

Dann wäre nur noch die Frage offen, ob ich mir durch den Besuch dieser Seite seltsamen öffentlichen fritz.box irgendwelche Malware oder sonstige Schadsoftware geholt haben könnte.

Ja, das kann sein. Du solltest auf jeden Fall einen Malware-Scan machen und vor allem nicht mehr so ohne weiteres Warnungen im Browser wegklicken. Sie sollen schließlich vor genau solchen Gefahren .. .. warnen

 

[lumlacb]

Ja, das kann sein. Du solltest auf jeden Fall einen Malware-Scan machen und vor allem nicht mehr so ohne weiteres Warnungen im Browser wegklicken. Sie sollen schließlich vor genau solchen Gefahren .. .. warnen

Erneut lieben Dank für die detaillierte Erklärung. In Zukunft bin ich auf jeden Fall schlauer, ich hatte die Warnung leider nur falsch gedeutet, da sie ja in einem anderen Zusammenhang bereits aufgetreten ist.

Das potentielle Sicherheitsrisiko, das ich mir da jetzt ggf. eingeschleppt habe, macht mich nun natürlich überhaupt nicht glücklich. Gibt es denn Empfehlungen, wie man einen Mac und ein iPad am besten auf Schadsoftware etc. überprüfen kann?

 

[Incanus]

Gar nicht, denn dafür gibt es so gut wie keine, und ohne ausdrückliches Zustimmen von Dir kann da auch nicht so einfach was installiert werden. Ein Risiko ist daher nicht vorhanden (iPad) beziehungsweise gering (Mac).

 

[Raijin]

Da @lumlacb augenscheinlich sämtliche Warnungen weggeklickt hat, ist nicht auszuschließen, dass da auch eine etwaige Bestätigung dabei war. Bei MacOS bin ich aber raus, da habe ich keine Ahnung von. Es wird aber mit Sicherheit einen Standard-Scanner im System geben und den würde ich einfach mal laufen lassen. Schaden kann es sicher nicht.

 

[Incanus]

Nein, so etwas gibt es auf dem Mac nicht, das Konzept ist anders:
https://support.apple.com/de-de/guide/security/sec469d47bd8/web

 

[Raijin]

Bei MacOS bin ich blank und kann schlecht dagegenhalten. Wenn dem so ist, dann ist dem so

 

[lumlacb]

Da @lumlacb augenscheinlich sämtliche Warnungen weggeklickt hat, ist nicht auszuschließen, dass da auch eine etwaige Bestätigung dabei war. Bei MacOS bin ich aber raus, da habe ich keine Ahnung von. Es wird aber mit Sicherheit einen Standard-Scanner im System geben und den würde ich einfach mal laufen lassen. Schaden kann es sicher nicht.

Soweit ich das gesehen habe, waren die Warnungen alle 'vom System', d.h. die Standardseite, die der Browser aufruft, um zu warnen, aber es ist vermutlich auch nicht auszuschließen, dass jemand diese Seite simuliert und so irgendeine Zustimmung oder Bestätigung abgreift. Im Nachhinein fühle ich mich richtig dumm.

Gar nicht, denn dafür gibt es so gut wie keine, und ohne ausdrückliches Zustimmen von Dir kann da auch nicht so einfach was installiert werden. Ein Risiko ist daher nicht vorhanden (iPad) beziehungsweise gering (Mac).

Danke für diesen Hinweis, @Incanus. Das bedeutet also, ich müsste mir hier keine Sorgen machen? Oder sollte ich trotzdem irgendwelche Schritte einleiten, diese seltsame Seite irgendeiner Untersuchung unterziehen o.Ä.?

 

[chrigu]

Der inkognito Modus speichert nur keine Daten bei dir ab, so kann niemand auf dem pc sehen was du surfst oder suchst. Also Cookies und der Verlauf wird leer bleiben.
Diverse Browser bieten noch ein vpn „Schutz“ an, damit deine ip „verschleiert“ wird. Beides hat aber weder mit irgendwelchen Anonymisierung oder mit Sicherheit zu tun.
Dein Fehlerbeschreibung bedeutet nur das dein Browser deine Eingabe nicht auflösen kann und gar nicht weiter im Internet sucht.
Mac os ist abgeschottet, die Wahrscheinlichkeit eines Infekt ist sehr gering, einzig eine Weiterleitung des Browser auf eine dubiose Website ist möglich, aber das erkennst du selber an der Adresse die nicht stimmt

 

[lumlacb]

Mac os ist abgeschottet, die Wahrscheinlichkeit eines Infekt ist sehr gering, einzig eine Weiterleitung des Browser auf eine dubiose Website ist möglich, aber das erkennst du selber an der Adresse die nicht stimmt

Danke auch dir für das Feedback. Die URLs der 'Fehlerseiten' habe ich nicht geprüft, weil ich da noch nicht vermutet habe, dass irgendetwas Seltsames vorgeht und davon ausgegangen bin, dass das vom System kommt, d.h. falls da eine 'böse' Seite dabei war, habe ich definitiv etwas angeklickt.

Als ich dann am Ende diese seltsame fritz.box erreicht habe, habe ich natürlich gesehen, dass etwas nicht stimmt und nichts mehr angeklickt, aber manchmal reicht ja auch der Aufruf einer Seite schon, damit irgendeine Malware o.Ä. auf dem Rechner landet.

 

[SaxnPaule]

Dein Fehlerbeschreibung bedeutet nur das dein Browser deine Eingabe nicht auflösen kann und gar nicht weiter im Internet sucht.

Doch. Und eben genau das ist der Grund für das vom TE beobachtete Verhalten. Es wird nicht der Nameserver der Fritzbox genutzt, sondern ein öffentlicher im Internet.

einzig eine Weiterleitung des Browser auf eine dubiose Website ist möglich, aber das erkennst du selber an der Adresse die nicht stimmt

Achso? Die Adresse stimmt doch aber. Sieht man doch am Screenshot. Es ist nur eben die öffentliche fritz.box Domain und nicht die lokale.

Um es mit den Worten von @Raijin zu sagen: Er hat den falschen Max Mustermann angerufen.

Es gibt zwei Telefonbücher. In einem steht fritz.box mit der Nummer 192.168.178.1 und in dem anderen mit 52.20.143.163

Je nachdem in welchem Telefonbuch man nachsieht, ruft man eben bei der falschen/richtigen Nummer an.

Die Reihenfolge ist i.d.R. so, dass zuerst das lokale Telefonbuch genommen wird. Wird da kein Eintrag gefunden, wird im öffentlichen nachgesehen.
Im Fall von Safari im Inkognito Modus greift aber scheinbar eine Ausnahme und es wird direkt das öffentliche genommen.

https://de.wikipedia.org/wiki/Domain_Name_System

 

[prian]

Ich habe einen ähnlichen Effekt auch seit gestern unter Windows 10 mit dem aktuellen FF (122) und dem Vorgänger.
https://fritz.box liefert

Der Zugriff auf - bei mir - 192.168.1.1 funktioniert jedoch.

Der Edge hat mit der https://fritz.box keine Probleme.

 

[qiller]

Vlt. hat FF die DoH Richtlinie geändert (DoH ist bei uns per GPO deaktiviert).

 

[prian]

Nein, FF hat da ein Problem.
Ich habe bei DNS über HTTPS von erhöhtem Schutz auf Standardschutz zurückgetellt und dann wieder auf erhöhten Schutz, jetzt geht es wieder.

Ergänzung: Klappt doch nicht, beim Einloggen kommt dann die identische Fehlermeldung.