Es posible involucrar a Siri en ataques de phishing

Recientemente los investigadores de la firma de ciberseguridad Wandera han logrado demostrar que es posible utilizar Siri para realizar ataques de Phishing. La realización de este tipo de ataques es posible gracias a una de las funcionalidades que incorpora el asistente de Apple desde iOS 9. La funcionalidad en cuestión trata de reconocer a las personas que llaman o envían mensajes y que no se encuentran en nuestra lista de contactos. Al hacerlo, Siri muestra en nuestra pantalla el mensaje “Quizás, nombre de la persona”. El problema surge cuando esto puede utilizarse para suplantar a empresas o entidades bancarias.

Como ha explicado James Mack, uno de los investigadores de Wandera que descubrieron la vulnerabilidad, hay dos formas de realizar este truco de ingeniería social. El primer método consiste en el envío de un correo falso suplantando a una empresa como “Acme Financial”, en el correo se incluye el número de teléfono con el que se llevará a cabo la estafa. En el caso de que la víctima responda el correo, ya sea voluntariamente o con un mensaje de respuesta automática cuando este número llame Siri mostrará el mensaje “Quizas: Acme Financial”. El segundo método es incluso más sencillo de llevar a cabo, basta con enviar un mensaje de texto. Si una entidad desconocida se identifica con un nombre propio en el mensaje entonces la función de Siri utilizará ese nombre para identificar ese contacto en mensajes posteriores.

Figura 1: Siri identifica número desconocido

Los atacantes pueden utilizar este disfraz como una ventaja a la hora de realizar un ataque phishing, ya sea llamando objetivo para “confirmar detalles de la cuenta” o enviando un enlace malicioso. Esta táctica aparentemente no funciona con ciertos términos como “Banco” o “Credit Unión”, sin embargo es posible utilizar el nombre de varias entidades bancarias o el nombre de algunas celebridades. Wandera reportó el problema como un fallo de seguridad a Apple el 25 de abril, pero la respuesta de la empresa californiana fue que no lo consideraban una vulnerabilidad y fue reclasificado como un fallo de software que esperaban resolver en posteriores actualizaciones.