Veľa profesionálov používa e-mailové správy s automatickou odpoveďou mimo kancelárie, aby informovali klientov a spolupracovníkov o svojej neprítomnosti a poskytli im kontaktné informácie, keď sú preč.
Vyzerá to ako zodpovedná vec, ale nie je to nevyhnutne potrebné. Automatické odpovede mimo pracoviska môžu predstavovať veľké bezpečnostné riziko. Odpovede mimo pracoviska môžu potenciálne odhaliť obrovské množstvo citlivých údajov o vás komukoľvek, kto vám náhodou pošle e-mail, keď ste preč.
Príklad bežnej odpovede mimo kancelárie
Počas týždňa od 1. do 7. júna budem mimo kancelárie na konferencii XYZ v Burlingtone vo Vermonte. Ak počas tohto obdobia potrebujete pomoc s problémami súvisiacimi s faktúrami, kontaktujte môjho nadriadeného, Joe Somebodyho na čísle 555-1212. Ak ma potrebujete zastihnúť počas mojej neprítomnosti, môžete ma zastihnúť na telefónnom čísle 555-1011.
Bill Smith – viceprezident pre operácie – Widget [email protected]
Hoci vyššie uvedená správa môže byť pre niektorých užitočná, iným odhaľuje množstvo potenciálne citlivých informácií. Zločinci alebo hackeri môžu tieto údaje použiť na útoky sociálneho inžinierstva.
Vyššie uvedený príklad odpovede mimo pracoviska poskytuje útočníkovi:
Informácie o aktuálnej polohe
Odhalenie vašej polohy pomáha útočníkom vedieť, kde sa nachádzate. Ak poviete, že ste vo Vermonte, potom vedia, že nie ste doma vo Virgínii. Toto by bol skvelý čas na to, aby sme vás okradli. Ak ste povedali, že ste boli na konferencii XYZ (ako to urobil Bill), potom vedia, kde vás majú hľadať. Tiež vedia, že nie ste vo svojej kancelárii a že by mohli byť schopní hovoriť do vašej kancelárie a povedať niečo ako:
"Bill mi povedal, aby som si zobral správu XYZ. Povedal, že je na jeho stole. Nevadilo by ti, keby som vliezol do jeho kancelárie a zobral si ju?" Zaneprázdnená sekretárka môže pustiť cudzinca do Billovej kancelárie, ak sa príbeh zdá byť vierohodný.
Kontaktné informácie
Kontaktné informácie, ktoré Bill odhalil, môžu pomôcť podvodníkom poskladať prvky potrebné na krádež identity. Teraz majú jeho e-mailovú adresu, jeho pracovné a mobilné čísla a tiež kontaktné informácie jeho nadriadeného.
Keď niekto pošle Billovi správu, keď má zapnutú automatickú odpoveď, jeho e-mailový server mu pošle automatickú odpoveď späť, čo potvrdí, že Billova e-mailová adresa je platná. E-mailoví spameri radi dostávajú potvrdenie, že ich spam dosiahol živý cieľ. Billova adresa bude teraz pravdepodobne pridaná do iných zoznamov spamu ako potvrdený prístup.
Miesto zamestnania, pracovná pozícia, okruh práce a velenie
V bloku s podpisom sa často uvádza vaša pracovná pozícia, názov spoločnosti, pre ktorú pracujete (ktorý tiež prezrádza, aký typ práce vykonávate), váš e-mail a vaše telefónne a faxové čísla. Ak ste pridali „keď som mimo, kontaktujte môjho nadriadeného, Joe Somebodyho“, potom ste práve odhalili svoju štruktúru hlásenia a tiež svoj reťazec velenia.
Sociálni inžinieri by mohli tieto informácie použiť na scenáre útoku s odcudzením identity. Mohli by napríklad zavolať na HR oddelenie vašej spoločnosti a predstierať, že je váš šéf, a povedať:
Toto je Joe Somebody. Bill Smith je na výlete a potrebujem jeho ID zamestnanca a číslo sociálneho poistenia, aby som mohol opraviť jeho firemné daňové formuláre.
Niektoré nastavenia správ mimo pracoviska vám umožňujú obmedziť odpoveď tak, aby bola doručená iba členom vašej hostiteľskej e-mailovej domény, ale väčšina ľudí má klientov a zákazníkov mimo hostiteľskej domény, takže táto funkcia vyhrala nepomôž im.
Zrátané podčiarknutie
Namiesto toho, aby ste povedali, že budete niekde inde, povedzte, že budete „nedostupní“. Nedostupnosť môže znamenať, že ste stále v meste alebo v kancelárii na školeniach. Pomáha zabrániť zlým ľuďom, aby vedeli, kde naozaj ste.
Neposkytujte kontaktné informácie
Neposkytujte telefónne čísla ani e-maily. Povedzte im, že budete sledovať svoj e-mailový účet, ak by vás potrebovali kontaktovať.
Vyhnite sa osobným informáciám a odstráňte blokovanie podpisu
Pamätajte, že vašu automatickú odpoveď môžu vidieť úplne neznámi ľudia a možno aj podvodníci a spameri. Ak by ste za normálnych okolností nedali tieto podpisové informácie cudzím ľuďom, nevkladajte ich do automatickej odpovede.
