Wielu profesjonalistów korzysta z automatycznych odpowiedzi na wiadomości e-mail poza biurem, aby informować klientów i współpracowników o ich nieobecności oraz udostępniać dane kontaktowe podczas ich nieobecności.
Wydaje się, że jest to odpowiedzialna rzecz, ale niekoniecznie. Automatyczne odpowiedzi poza biurem mogą stanowić poważne zagrożenie bezpieczeństwa. Odpowiedzi poza biurem mogą potencjalnie ujawnić ogromną ilość poufnych danych o Tobie każdemu, kto wyśle Ci wiadomość e-mail podczas Twojej nieobecności.
Przykład wspólnej odpowiedzi „Poza biurem”
Będę poza biurem na konferencji XYZ w Burlington w stanie Vermont w tygodniu od 1 do 7 czerwca. Jeśli w tym czasie potrzebujesz pomocy w kwestiach związanych z fakturami, skontaktuj się z moim przełożonym, Joe Somebody pod numerem 555-1212. Jeśli chcesz się ze mną skontaktować podczas mojej nieobecności, możesz zadzwonić na moją komórkę pod numer 555-1011.
Bill Smith - Wiceprezes Operacyjny - Widget [email protected]
Chociaż powyższa wiadomość może być dla niektórych pomocna, innym ujawnia bogactwo potencjalnie poufnych informacji. Przestępcy lub hakerzy mogą wykorzystać te dane do ataków socjotechnicznych.
Przykładowa odpowiedź nieobecności powyżej zapewnia atakującemu:
Informacje o bieżącej lokalizacji
Ujawnienie swojej lokalizacji pomaga napastnikom w zorientowaniu się, gdzie jesteś. Jeśli powiesz, że jesteś w Vermont, to wiedzą, że nie ma cię w domu w Wirginii. To byłby świetny czas, żeby cię obrabować. Jeśli powiedziałeś, że byłeś na konferencji XYZ (tak jak zrobił to Bill), to oni wiedzą, gdzie cię szukać. Wiedzą również, że nie ma Cię w swoim biurze i że mogą być w stanie przemówić do Twojego biura, mówiąc coś w stylu:
Bill powiedział mi, żebym wziął raport XYZ. Powiedział, że jest na jego biurku. Zajęta sekretarka może po prostu wpuścić nieznajomego do biura Billa, jeśli historia wydaje się wiarygodna.
Informacje kontaktowe
Informacje kontaktowe ujawnione przez Billa mogą pomóc oszustom połączyć elementy potrzebne do kradzieży tożsamości. Mają teraz jego adres e-mail, numery służbowe i komórkowe, a także dane kontaktowe jego przełożonego.
Kiedy ktoś wyśle Billowi wiadomość, gdy jego automatyczna odpowiedź jest włączona, jego serwer e-mail odeśle mu automatyczną odpowiedź, co potwierdzi, że adres e-mail Billa jest prawidłowy. Spamerzy e-mailowi uwielbiają otrzymywać potwierdzenie, że ich spam dotarł do żywego celu. Adres Billa prawdopodobnie zostanie teraz dodany do innych list spamowych jako potwierdzone trafienie.
Miejsce zatrudnienia, tytuł zawodowy, linia pracy i struktura dowodzenia
Twój blok podpisu często zawiera stanowisko, nazwę firmy, w której pracujesz (która również ujawnia rodzaj wykonywanej pracy), adres e-mail oraz numery telefonu i faksu. Jeśli dodałeś „podczas mojej nieobecności, skontaktuj się z moim przełożonym, Joe Ktoś”, to właśnie ujawniłeś również strukturę raportowania i łańcuch dowodzenia.
Inżynierowie społeczni mogą wykorzystać te informacje w scenariuszach ataków związanych z podszywaniem się. Na przykład mogą zadzwonić do działu HR Twojej firmy udając szefa i powiedzieć:
To jest Joe Ktoś. Bill Smith jest na wycieczce i potrzebuję jego identyfikatora pracownika i numeru ubezpieczenia społecznego, aby móc poprawić jego firmowe formularze podatkowe.
Niektóre konfiguracje wiadomości poza biurem pozwalają ograniczyć odpowiedź tak, aby trafiała tylko do członków hostującej domeny poczty e-mail, ale większość ludzi ma klientów i klientów spoza domeny hostingu, więc ta funkcja wygrała nie pomagaj im.
Dolna linia
Zamiast mówić, że będziesz gdzie indziej, powiedz, że będziesz „niedostępny”. Niedostępność może oznaczać, że nadal jesteś w mieście lub w biurze, biorąc udział w szkoleniu. Dzięki temu złoczyńcy nie wiedzą, gdzie naprawdę jesteś.
Nie podawaj informacji kontaktowych
Nie podawaj numerów telefonów ani e-maili. Powiedz im, że będziesz monitorować swoje konto e-mail, jeśli będą musieli się z Tobą skontaktować.
Unikaj danych osobowych i usuń blokadę podpisu
Pamiętaj, że zupełnie obcy i prawdopodobnie oszuści i spamerzy mogą zobaczyć Twoją automatyczną odpowiedź. Jeśli normalnie nie podawałbyś tych informacji o podpisie nieznajomym, nie umieszczaj ich w automatycznej odpowiedzi.