Es posible involucrar a Siri en ataques de phishing
Como ha explicado James Mack, uno de los investigadores de Wandera que descubrieron la vulnerabilidad, hay dos formas de realizar este truco de ingeniería social. El primer método consiste en el envío de un correo falso suplantando a una empresa como “Acme Financial”, en el correo se incluye el número de teléfono con el que se llevará a cabo la estafa. En el caso de que la víctima responda el correo, ya sea voluntariamente o con un mensaje de respuesta automática cuando este número llame Siri mostrará el mensaje “Quizas: Acme Financial”. El segundo método es incluso más sencillo de llevar a cabo, basta con enviar un mensaje de texto. Si una entidad desconocida se identifica con un nombre propio en el mensaje entonces la función de Siri utilizará ese nombre para identificar ese contacto en mensajes posteriores.
Figura 1: Siri identifica número desconocido |
Los atacantes pueden utilizar este disfraz como una ventaja a la hora de realizar un ataque phishing, ya sea llamando objetivo para “confirmar detalles de la cuenta” o enviando un enlace malicioso. Esta táctica aparentemente no funciona con ciertos términos como “Banco” o “Credit Unión”, sin embargo es posible utilizar el nombre de varias entidades bancarias o el nombre de algunas celebridades. Wandera reportó el problema como un fallo de seguridad a Apple el 25 de abril, pero la respuesta de la empresa californiana fue que no lo consideraban una vulnerabilidad y fue reclasificado como un fallo de software que esperaban resolver en posteriores actualizaciones.
Powered by WPeMatico