Phishing dankzij Siri
Stel je krijgt een berichtje van je baas of van iemand van de IT-afdeling. “We testen een nieuw systeem. Graag hier even inloggen.” Het ziet er geloofwaardig uit, met een linkje naar 365officeupdate.com en het logo van Office. Voor je het weet ben je erin getrapt en heb je de inloggegevens van je Office-account aan een kwaadaardige partij gegeven. Volgens beveiligingsbedrijf Wandera kan het zomaar gebeuren en is het kinderlijk eenvoudig om op deze manier werknemers binnen een bedrijf voor de gek te houden.
Volgens het bedrijf zijn er twee manieren om deze truc uit te voeren en ze maken allebei gebruik van social engineering. Oftewel: gebruikmaken van informatie die je al over iemand hebt, om vervolgens te kunnen inbreken op een bedrijfsaccount of persoonlijk account.
De eerste methode bestaat uit twee stappen. Ten eerste verstuurt de aanvaller een e-mail vanuit een nepaccount, zo legde Wandera uit aan Fortune. Dit gaat op dezelfde manier als een phishingmailtje van Apple: het ziet er verraderlijk echt uit en het wekt de indruk dat het van een betrouwbare partij afkomstig is. In dat bericht moet een telefoonnummer staan, bijvoorbeeld in de e-mailhandtekening. Reageert de gebruiker hierop, bijvoorbeeld met een automatische out-of-office-melding, dan zal de naam voortaan als Siri contact-suggestie verschijnen bij een binnenkomend gesprek of bericht. Je kent dit wel: de iPhone toont dan de melding ‘Misschien: Tim Cook’, of een andere naam.
De tweede stap is dat de aanvaller de persoon belt. Omdat het om een ‘vertrouwd’ telefoonnummer lijkt te gaan pak je wat sneller op en ben je misschien geneigd te denken dat je met een officiële instantie, de IT-afdeling of misschien wel met Tim Cook te maken hebt. De aanvaller belt meestal met de smoes om ‘accountdetails te bevestigen’ of stuurt via iMessage een phishing-link, waar het slachtoffer op moet klikken. Trapt de ontvanger erin, dan lukt het om inloggegevens en andere details te achterhalen.
Een andere methode is om een tekstbericht te sturen met daarin een naam, bijvoorbeeld Wells Fargo of een andere bekende bank. Wandera ontdekte dat het ook werkt bij namen van bekende personen, zelfs als ze al geruime tijd voor het verschijnen van de eerste iPhone zijn overleden. Zo zou je bijvoorbeeld een berichtje kunnen krijgen van ‘misschien: Bob Marley’, al is het de vraag of veel mensen daarin zullen trappen. Heeft een aanvaller wat huiswerk gedaan en de naam van jouw manager of een directe collega achterhaald, dan wordt het al een stuk geloofwaardiger.
Wandera rapporteerde het probleem op 25 april aan Apple, maar het bedrijf liet een week later weten dat ze er voorlopig niets aan gaan doen. Ze zien het niet als een beveiligingsprobleem maar eerder als een bug. Wandera vindt echter dat het een serieus probleem is. Zelfs een heel knullige, beginnende hacker is in staat om dit trucje uit te voeren. Je hebt geen jailbreak nodig en hoeft ook niet op een telefoon in te breken. Het slachtoffer geeft zelf alle informatie.
Wat kun je eraan doen?
Wil je je beschermen tegen dergelijke aanvallen, dan is er een gemakkelijke oplossing: zet de suggesties voor contactpersonen uit. Dat maakt de proactieve Siri wel iets minder slim, omdat je bij binnenkomende telefoontjes geen hints meer krijgt wie het zou kunnen zijn. Maar als je van jezelf (of van huisgenoten) weet dat je goedgelovig bent, kun je jezelf op die manier een hoop narigheid besparen.
In iOS 12 komen er nog meer slimme Siri-functies bij, zoals Siri Shortcuts en meer suggesties. Zorg dat je erop voorbereid bent en behalve de handigheden van al die intelligente suggesties ook de nadelen ervan beseft.
Afbeelding: Legend_art via Shutterstock
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Siri
Siri is Apple's eigen spraakassistent en hier lees je er alles over. Siri kan informatie voor je opzoeken, taken uitvoeren en apparaten bedienen. Veel apps werken ook samen met Siri en je kunt met de Opdrachten-app je eigen Siri-opdrachten maken. Je vindt hier onze belangrijkste artikelen.
- Alles over Siri
- Hé Siri gebruiken
- Siri opnieuw instellen en trainen
- Grappige Siri-antwoorden
- Siri werkt niet: 6 oorzaken en oplossingen
- Siri op de Mac gebruiken
- Apps openen met Siri
- Zo werken Siri Shortcuts en de Opdrachten-app
- Siri in CarPlay makkelijker gebruiken
- Siri kan dierengeluiden afspelen
- Navigeren met Siri
- Alles over de proactieve Siri
Reacties: 2 reacties