Nikdy nevíte, na koho odpovíte
Takže jste vyrazil na služební cestu. Máte letenky, hotelové rezervace a vše je dobré jít. Zbývá pouze jedna věc, je na čase nastavit zprávu Auto-Odpovědět mimo kancelář Outlook tak, aby klienti nebo spolupracovníci posílali e-mail, budete vědět, jak se s vámi kontaktovat, když jste pryč, nebo budete vědět, komu mohou kontaktovat během vaší nepřítomnosti.
Zdá se, že je to zodpovědná věc, že? Špatně! Automatické odpovědi mimo kancelář mohou představovat obrovské bezpečnostní riziko.
Odpovědi mimo kancelář mohou potenciálně odhalit obrovské množství citlivých údajů o vás komukoli, komu se vám e-mailové zprávy dostanou, když jste pryč.
Zde je příklad obecné odpovědi mimo kancelář:
"Budem mimo kancelář na konferenci XYZ v Burlingtonu v Vermontu v týdnu od 1. do 7. června. Pokud potřebujete nějakou pomoc s fakturačními záležitostmi během této doby, obraťte se na svého nadřízeného Joe Somebody na 555-1212. Pokud mě potřebujete oslovit během mé nepřítomnosti, můžete se na mě dostat na 555-1011.
Bill Smith - VP operací - Widget Corp
Smithb@widgetcorp.dom
555-7252 "
Zatímco výše uvedená zpráva je užitečná, může to být také škodlivé, protože v několika krátkých větách osoba v e-mailu výše odhalila některé neuvěřitelně užitečné informace o sobě. Tyto informace by mohly být použity zločinci pro útoky sociálního inženýrství.
Příklad odpovědi mimo kancelář poskytuje útočníkovi s:
Aktuální informace o poloze
Odhalení vašeho umístění pomáhá útočníkům vědět, kde jste a kde nejste. Pokud říkáte, že jste ve Vermontu, pak vědí, že nejste doma ve Virginii. Bylo by skvělé, kdybyste tě okradli. Pokud jste říkali, že jste na konferenci XYZ (jak to udělal Bill), pak vědí, kde hledat. Vědí také, že nejste ve vaší kanceláři a že by mohli být schopni promluvit si cestu do vaší kanceláře a říkat něco jako:
"Bill mi řekl, abych zvedl zprávu XYZ a řekl, že je na stole. Nevadí, jestli se ve své kanceláři objevil a chytil ji." Zaneprázdněný sekretář by mohl jen nechat cizince do kanceláře Billa, pokud se příběh zdá být hodnověrný.
Kontaktní informace
Kontaktní informace, které Bill odhalil ve své odpovědi mimo kancelář, mohou pomáhat podvodníkům spojit prvky potřebné pro krádež totožnosti. Nyní mají svou e-mailovou adresu, svou práci a čísla buněk a také kontaktní informace svého nadřízeného.
Když někdo zašle Bill zprávu, když je zapnutá jeho automatická odpověď, jeho e-mailový server pošle automatickou odpověď zpět, která ve skutečnosti potvrdí e-mailovou adresu Billa jako platnou pracovní adresu. E-mail Spamovatelé rádi obdrželi potvrzení, že jejich spam dosáhl skutečného živého cíle. Bílá adresa bude pravděpodobně nyní přidána do jiných seznamů nevyžádané pošty jako potvrzený zásah.
Místo práce, pracovní pozice, pracovní linie a řetězec velení
Blok s podpisem často obsahuje název pracovní pozice, název společnosti, pro kterou pracujete (což také odhaluje, jaký typ práce děláte), e-mail, telefonní a faxová čísla. Pokud jste přidali "když jsem mimo, prosím, kontaktujte svého nadřízeného, Joe Somebody", pak jste právě odhalili vaši strukturu hlášení a svůj řetězec velení.
Sociální inženýři by mohli tyto informace použít pro scénáře útoků proti zosobnění. Mohli byste například zavolat oddělení lidských zdrojů vašeho podniku a předstírat, že je vaším šéfem a říkat: "To je Joe Somebody. Bill Smith je na cestě a potřebuji číslo jeho zaměstnance a číslo sociálního zabezpečení, abych mohl opravit jeho daňové formuláře"
Některá nastavení zpráv mimo kancelář umožňují omezit odpověď tak, aby se jednalo pouze o členy hostitelské e-mailové domény, ale většina lidí má klienty a zákazníky mimo hostitelskou doménu, takže tato funkce jim nepomůže.
Jak můžete vytvořit bezpečnější mimo kancelář Auto-Reply zprávu?
Být úmyslně vágní
Namísto toho, že budete říkat, že budete někde jinde, řekněte, že budete "nedostupní". Nedostupná by mohla znamenat, že jste stále ve městě nebo v kanceláři, který trénujete. Pomáhá udržet špatné lidi, aby věděli, kde skutečně jsou.
Neposkytněte kontaktní informace
Nedávejte telefonní čísla ani e-maily. Řekněte jim, že budete sledovat váš e-mailový účet, pokud vás budou muset kontaktovat.
Nechat všechny osobní údaje a odstranit blok podpisu
Nezapomeňte, že úplní cizinci a možná i podvodníci a spamátoři mohou vidět automatickou odpověď. Pokud byste normálně neposkytli tyto informace cizincům, nezapojujte je do automatické odpovědi.
Jen poznámka pro mé čtenáře, budu v příštím týdnu v Disney World, ale můžete se k němu dostat dopravním holubem (jen si dělám legraci o části Disney World).