Sprachassistenten sind ja der letzte Schrei der IT-Anbieter. Wie leicht sich Apples Sprachassistentin Siri für Phishing-Angriffe missbrauchen lässt, hat jetzt ein Journalist bei Forbes erklärt.
Anzeige
Robert Hacket berichtet in diesem Artikel über Phishing-Scam (Phishing-Betrug) per Siri. Der Reporter war gerade in einem Hotelzimmer mit Vorbereitungen für eine Tech-Konferenz befasst, als er eine überraschende iMessage-Nachricht erhielt. iMessage signalisierte "Es ist Alan Murray", und die Nachricht erhielt die Aufforderung 'bitte den letzten Artikel hier posten". Alan Murray ist der Chef des Reporters und in der Nachricht war ein Link, wo sich der Reporter zum Posten des Artikels anmelden sollte.
(Quelle: Fortune)
Der Schönheitsfehler: Die Nachricht war nicht von Alan Murray, dem Chef des Reporters. Obwohl Apples virtueller Assistent Siri im Header des iMessage-Threads den Hinweis "Vielleicht Alan Murray" anzeigte. Diese Anzeige basierte aber nicht auf einer Kennung des iMessage-Absenders, sondern auf anderen Kriterien.
Fast wäre der Reporter auf die Nachricht hereingefallen. Dann erinnerte er sich, dass er eine Woche zuvor dem Cybersecurity-Startup Wandera, die Erlaubnis für einen Phising-Angriff erteilt hatte. Die wollten einen Phishing-Angriff, den sie "Call Me Maybe" nannten, demonstrieren. Laut Wandera gibt es zwei Möglichkeiten, diesen Social Engineering Trick durchzuziehen:
Anzeige
- Ein Angreifer schickt jemandem eine gefälschte E-Mail von einem gefälschten Konto. In der Nachricht muss neben dem Namen (z.B. Microsoft) nur eine Telefonnummer enthalten sein (z.B. in der Signatur der E-Mail). Wenn der Empfänger antwortet (ggf. mit einem Auto-Replay) wird das später in iMessage beim nächsten Mal als 'Vielleicht Microsoft' angezeigt.
- Der Angriff funktioniert wohl auch per SMS, indem sich der Schwindler in einer iMessage-Nachricht mit einem Namen identifiziert. Dann schlägt Siri über die Kontaktfunktion des iPhones den Namen bei der SMS als "Vielleicht xxxx" an.
Angreifer können diese Tarnung zu ihrem Vorteil beim Phishing nach sensiblen Informationen nutzen. Sobald der Anrufer es geschafft hat, als vermeintlich bekannt auf dem iPhone angezeigt zu werden, ließe sich der nächste Schritt durchziehen. Er könnte ein Ziel anzurufen, um angeblich "Kontodetails zu bestätigen" oder einen Phishing-Link mitzuschicken. Wenn ein Opfer den Köder schluckt, weil Siri den als vermeintlich Bekannten ausgibt, hat der Schwindler gewonnen. Weitere Details lassen sich hier nachlesen.
Anzeige