Zur Info: es gibt einen Trick, mit dem man durch bestimmte kyrillische Sonderzeichen im Domainnamen dem Browser

Ihr bekommt eine Email mit link zu https://apple.com, beim Überfahren des Link mit der maus wird klar https://apple.com angezeigt. Auch beim anklicken steht ganz klar : "sicher" und https://apple.com in der Adresszeile des Browsers

nur: das ist eine ganz andere Seite: statt dem latainischen "a" (U+0041) von apple beginnt der domainname mit dem Kyrillischen "a" (U+0430) usw.

Analog auf der Seite unten noch das beispiel zu epic.com. Mit dem Trick lassen sich auch beliebige andere Webseiten Domains wie Allplan.com, stadtsparkasse.de usw. problemlos nachbauen, so eine Domain kostet nur wenige euro im Jahr und dann ein kostenloses SSL Zertifikat installieren und die Pishing attacke kann beginnen.

siehe die Beispiele zum selber anschauen:
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

Abhilfe:
Firefox:
about:config => network.IDN_show_punycode;true

Google Chrome :
liefert die Tage wohl ein Update.

IE Edge und I.E. 11 :
machen es automatisch richtig, bzw.. können einfach nicht mit Sonderzeichen umgehen.

Opera
ist auch betroffen: Abhilfe uns unbekannt