Bellende man met iPhone, legend_art via Shutterstock 231593311

Onderzoeker: ‘Siri maakt phishing kinderlijk eenvoudig’

Dankzij proactieve Siri

Bij phishing denk je misschien aan e-mails die de indruk wekken dat ze van je bank afkomstig zijn. Maar het blijkt ook mogelijk om dankzij proactieve Siri en iMessage iemand op het verkeerde been te zetten.

Phishing dankzij Siri

Stel je krijgt een berichtje van je baas of van iemand van de IT-afdeling. “We testen een nieuw systeem. Graag hier even inloggen.” Het ziet er geloofwaardig uit, met een linkje naar 365officeupdate.com en het logo van Office. Voor je het weet ben je erin getrapt en heb je de inloggegevens van je Office-account aan een kwaadaardige partij gegeven. Volgens beveiligingsbedrijf Wandera kan het zomaar gebeuren en is het kinderlijk eenvoudig om op deze manier werknemers binnen een bedrijf voor de gek te houden.

Volgens het bedrijf zijn er twee manieren om deze truc uit te voeren en ze maken allebei gebruik van social engineering. Oftewel: gebruikmaken van informatie die je al over iemand hebt, om vervolgens te kunnen inbreken op een bedrijfsaccount of persoonlijk account.

De eerste methode bestaat uit twee stappen. Ten eerste verstuurt de aanvaller een e-mail vanuit een nepaccount, zo legde Wandera uit aan Fortune. Dit gaat op dezelfde manier als een phishingmailtje van Apple: het ziet er verraderlijk echt uit en het wekt de indruk dat het van een betrouwbare partij afkomstig is. In dat bericht moet een telefoonnummer staan, bijvoorbeeld in de e-mailhandtekening. Reageert de gebruiker hierop, bijvoorbeeld met een automatische out-of-office-melding, dan zal de naam voortaan als Siri contact-suggestie verschijnen bij een binnenkomend gesprek of bericht. Je kent dit wel: de iPhone toont dan de melding ‘Misschien: Tim Cook’, of een andere naam.

Bellende man met iPhone, legend_art via Shutterstock 231593311

De tweede stap is dat de aanvaller de persoon belt. Omdat het om een ‘vertrouwd’ telefoonnummer lijkt te gaan pak je wat sneller op en ben je misschien geneigd te denken dat je met een officiële instantie, de IT-afdeling of misschien wel met Tim Cook te maken hebt. De aanvaller belt meestal met de smoes om ‘accountdetails te bevestigen’ of stuurt via iMessage een phishing-link, waar het slachtoffer op moet klikken. Trapt de ontvanger erin, dan lukt het om inloggegevens en andere details te achterhalen.

Een andere methode is om een tekstbericht te sturen met daarin een naam, bijvoorbeeld Wells Fargo of een andere bekende bank. Wandera ontdekte dat het ook werkt bij namen van bekende personen, zelfs als ze al geruime tijd voor het verschijnen van de eerste iPhone zijn overleden. Zo zou je bijvoorbeeld een berichtje kunnen krijgen van ‘misschien: Bob Marley’, al is het de vraag of veel mensen daarin zullen trappen. Heeft een aanvaller wat huiswerk gedaan en de naam van jouw manager of een directe collega achterhaald, dan wordt het al een stuk geloofwaardiger.

Wandera rapporteerde het probleem op 25 april aan Apple, maar het bedrijf liet een week later weten dat ze er voorlopig niets aan gaan doen. Ze zien het niet als een beveiligingsprobleem maar eerder als een bug. Wandera vindt echter dat het een serieus probleem is. Zelfs een heel knullige, beginnende hacker is in staat om dit trucje uit te voeren. Je hebt geen jailbreak nodig en hoeft ook niet op een telefoon in te breken. Het slachtoffer geeft zelf alle informatie.

Wat kun je eraan doen?
Wil je je beschermen tegen dergelijke aanvallen, dan is er een gemakkelijke oplossing: zet de suggesties voor contactpersonen uit. Dat maakt de proactieve Siri wel iets minder slim, omdat je bij binnenkomende telefoontjes geen hints meer krijgt wie het zou kunnen zijn. Maar als je van jezelf (of van huisgenoten) weet dat je goedgelovig bent, kun je jezelf op die manier een hoop narigheid besparen.

In iOS 12 komen er nog meer slimme Siri-functies bij, zoals Siri Shortcuts en meer suggesties. Zorg dat je erop voorbereid bent en behalve de handigheden van al die intelligente suggesties ook de nadelen ervan beseft.

Afbeelding: Legend_art via Shutterstock

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 11 juni 2018, 12:24
Bron Bron Fortune
Categorie Diensten
Onderwerpen beveiliging, phishing, siri

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

    Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.
    Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactiegegevens worden verwerkt.