Onderzoeker: ‘Siri maakt phishing kinderlijk eenvoudig’

Dankzij proactieve Siri
Bij phishing denk je misschien aan e-mails die de indruk wekken dat ze van je bank afkomstig zijn. Maar het blijkt ook mogelijk om dankzij proactieve Siri en iMessage iemand op het verkeerde been te zetten.

Phishing dankzij Siri

Stel je krijgt een berichtje van je baas of van iemand van de IT-afdeling. “We testen een nieuw systeem. Graag hier even inloggen.” Het ziet er geloofwaardig uit, met een linkje naar 365officeupdate.com en het logo van Office. Voor je het weet ben je erin getrapt en heb je de inloggegevens van je Office-account aan een kwaadaardige partij gegeven. Volgens beveiligingsbedrijf Wandera kan het zomaar gebeuren en is het kinderlijk eenvoudig om op deze manier werknemers binnen een bedrijf voor de gek te houden.


Volgens het bedrijf zijn er twee manieren om deze truc uit te voeren en ze maken allebei gebruik van social engineering. Oftewel: gebruikmaken van informatie die je al over iemand hebt, om vervolgens te kunnen inbreken op een bedrijfsaccount of persoonlijk account.

De eerste methode bestaat uit twee stappen. Ten eerste verstuurt de aanvaller een e-mail vanuit een nepaccount, zo legde Wandera uit aan Fortune. Dit gaat op dezelfde manier als een phishingmailtje van Apple: het ziet er verraderlijk echt uit en het wekt de indruk dat het van een betrouwbare partij afkomstig is. In dat bericht moet een telefoonnummer staan, bijvoorbeeld in de e-mailhandtekening. Reageert de gebruiker hierop, bijvoorbeeld met een automatische out-of-office-melding, dan zal de naam voortaan als Siri contact-suggestie verschijnen bij een binnenkomend gesprek of bericht. Je kent dit wel: de iPhone toont dan de melding ‘Misschien: Tim Cook’, of een andere naam.

Bellende man met iPhone, legend_art via Shutterstock 231593311

De tweede stap is dat de aanvaller de persoon belt. Omdat het om een ‘vertrouwd’ telefoonnummer lijkt te gaan pak je wat sneller op en ben je misschien geneigd te denken dat je met een officiële instantie, de IT-afdeling of misschien wel met Tim Cook te maken hebt. De aanvaller belt meestal met de smoes om ‘accountdetails te bevestigen’ of stuurt via iMessage een phishing-link, waar het slachtoffer op moet klikken. Trapt de ontvanger erin, dan lukt het om inloggegevens en andere details te achterhalen.

Een andere methode is om een tekstbericht te sturen met daarin een naam, bijvoorbeeld Wells Fargo of een andere bekende bank. Wandera ontdekte dat het ook werkt bij namen van bekende personen, zelfs als ze al geruime tijd voor het verschijnen van de eerste iPhone zijn overleden. Zo zou je bijvoorbeeld een berichtje kunnen krijgen van ‘misschien: Bob Marley’, al is het de vraag of veel mensen daarin zullen trappen. Heeft een aanvaller wat huiswerk gedaan en de naam van jouw manager of een directe collega achterhaald, dan wordt het al een stuk geloofwaardiger.

Wandera rapporteerde het probleem op 25 april aan Apple, maar het bedrijf liet een week later weten dat ze er voorlopig niets aan gaan doen. Ze zien het niet als een beveiligingsprobleem maar eerder als een bug. Wandera vindt echter dat het een serieus probleem is. Zelfs een heel knullige, beginnende hacker is in staat om dit trucje uit te voeren. Je hebt geen jailbreak nodig en hoeft ook niet op een telefoon in te breken. Het slachtoffer geeft zelf alle informatie.

Wat kun je eraan doen?
Wil je je beschermen tegen dergelijke aanvallen, dan is er een gemakkelijke oplossing: zet de suggesties voor contactpersonen uit. Dat maakt de proactieve Siri wel iets minder slim, omdat je bij binnenkomende telefoontjes geen hints meer krijgt wie het zou kunnen zijn. Maar als je van jezelf (of van huisgenoten) weet dat je goedgelovig bent, kun je jezelf op die manier een hoop narigheid besparen.

Bekijk ook

Onbekende bellers en meer: zo schakel je suggesties voor contacten uit (en waarom je dat zou willen)

Met proactieve Siri kun je ervoor zorgen dat er bij telefoongesprekken en berichten alvast een mogelijke contactpersoon wordt genoemd. Maar dat kan je ook op het verkeerde been zetten. Zo schakel je het uit.

In iOS 12 komen er nog meer slimme Siri-functies bij, zoals Siri Shortcuts en meer suggesties. Zorg dat je erop voorbereid bent en behalve de handigheden van al die intelligente suggesties ook de nadelen ervan beseft.

Bekijk ook

Deze nieuwe Siri-functies vind je in iOS 12 en watchOS 5

Er zitten in iOS 12 en watchOS 5 allerlei nieuwe Siri-functies die de virtuele assistent nét iets handiger maken. In dit artikel zetten we de belangrijkste verbeteringen op een rijtje.

Afbeelding: Legend_art via Shutterstock

Siri

Siri is Apple's eigen spraakassistent en hier lees je er alles over. Siri kan informatie voor je opzoeken, taken uitvoeren en apparaten bedienen. Veel apps werken ook samen met Siri en je kunt met de Opdrachten-app je eigen Siri-opdrachten maken. Je vindt hier onze belangrijkste artikelen.

Siri

Reacties: 2 reacties

Reacties zijn gesloten voor dit artikel.