Una compañía de seguridad demuestra cómo usando una característica de Siri se puede hacer phishing
Una compañía de ciberseguridad ha demostrado cómo los estafadores podrían explotar una característica de Siri para ayudar con los intentos de phishing.
El enfoque responde sobre la forma en que Siri intenta identificar a las personas desconocidas que llaman, presentándole potencialmente una impresión engañosa de quiénes son...
Cuando Siri no reconoce a una persona que llama, utiliza un par de enfoques diferentes para tratar de averiguar quién es. A continuación, se lo presenta al usuario en su pantalla de llamadas entrantes como 'Quizás: Nombre de la persona'.
Aunque el 'Quizás' es una pista de que Siri no está segura de la identidad de la persona que llama, algunas personas incautas pueden confiar en ella, por ejemplo, si nombra su banco.
Fortune informa que la empresa de seguridad cibernética Wandera explico cómo funciona.
Hay dos formas de llevar a cabo este truco de ingeniería social. El primero consiste en que un atacante envíe a alguien un correo falso desde una cuenta falsa o suplantada, como "Acme Financial". Esta nota debe incluir un número de teléfono; por ejemplo, en la firma del correo electrónico. Si el objetivo responde, incluso con una respuesta automática fuera de la oficina, ese contacto debería aparecer como "Quizás: Acme Financial" cada vez que el atacante envíe un mensaje de texto o llame a continuación.
El otro método es aún más simple a través de mensajes de texto. Si una entidad desconocida se identifica con algún nombre propio en un mensaje de iMessage, la característica de contactos sugeridos del iPhone debería mostrar las futuras llamadas o mensajes como "Quizás: [Nombre]".
Apple bloquea ciertas frases, como 'Banco' o 'Credit union', pero no los nombres de bancos específicos.
Como señala Mark Gurman esto ha sido posible desde iOS 9
Wandera dijo que informó el problema a Apple en abril, pero la compañía dijo que no lo consideraba una vulnerabilidad de seguridad. Apple dijo que lo había notado como un problema de software 'para ayudar a resolverlo', lo que sugiere que puede ajustar las protecciones.
Probablemente ya veas las suposiciones de contacto de Siri como solo eso. Sin embargo, probablemente valga la pena ser consciente de que los estafadores pueden estar tratando de explotar una posible vulnerabilidad.