Spousta profesionálů používá e-mailové zprávy s automatickou odpovědí mimo kancelář, aby informovali klienty a spolupracovníky o své nepřítomnosti a poskytli kontaktní údaje, když jsou pryč.
Vypadá to jako zodpovědná věc, ale není to nutně. Automatické odpovědi mimo kancelář mohou představovat velké bezpečnostní riziko. Odpovědi v nepřítomnosti mohou potenciálně odhalit obrovské množství citlivých údajů o vás komukoli, kdo vám náhodou pošle e-mail, když jste pryč.
Příklad běžné odpovědi v nepřítomnosti
V týdnu od 1. do 7. června budu mimo kancelář na konferenci XYZ v Burlingtonu ve Vermontu. Pokud během této doby potřebujete pomoc s problémy souvisejícími s fakturami, kontaktujte mého nadřízeného, Joe Somebodyho na čísle 555-1212. Pokud mě potřebujete zastihnout během mé nepřítomnosti, můžete mě kontaktovat na mém mobilu na čísle 555-1011.
Bill Smith – viceprezident pro operace – Widget [email protected]
I když může být výše uvedená zpráva pro někoho užitečná, jiným odhaluje množství potenciálně citlivých informací. Zločinci nebo hackeři mohou tato data použít k útokům sociálního inženýrství.
Výše uvedený příklad odpovědi v nepřítomnosti poskytuje útočníkovi:
Informace o aktuální poloze
Odhalení vaší polohy pomáhá útočníkům zjistit, kde se nacházíte. Když řeknete, že jste ve Vermontu, pak vědí, že nejste doma ve Virginii. To by byl skvělý čas tě okrást. Pokud jsi řekl, že jsi byl na konferenci XYZ (jako Bill), pak vědí, kde tě hledat. Také vědí, že nejste ve své kanceláři a že by si mohli promluvit do vaší kanceláře a říct něco jako:
"Bill mi řekl, abych si vyzvedl zprávu XYZ. Říkal, že je na jeho stole. Nevadilo by ti, kdybych vlezl do jeho kanceláře a vzal si ji?" Zaneprázdněná sekretářka by mohla pustit cizího člověka do Billovy kanceláře, pokud se příběh zdá věrohodný.
Kontaktní údaje
Kontaktní informace, které Bill odhalil, mohou pomoci podvodníkům poskládat dohromady prvky potřebné pro krádež identity. Nyní mají jeho e-mailovou adresu, jeho pracovní a mobilní čísla a také kontaktní údaje jeho nadřízeného.
Když někdo pošle Billovi zprávu, když má zapnutou automatickou odpověď, jeho e-mailový server mu pošle automatickou odpověď zpět, což potvrdí Billovu e-mailovou adresu jako platnou. E-mailové spammeři rádi dostávají potvrzení, že jejich spam dosáhl živého cíle. Billova adresa bude nyní pravděpodobně přidána do dalších seznamů spamu jako potvrzený přístup.
Místo zaměstnání, pracovní pozice, obor práce a řetězec velení
V bloku s podpisem je často uvedena vaše pracovní pozice, název společnosti, pro kterou pracujete (což také prozrazuje, jaký typ práce děláte), váš e-mail a vaše telefonní a faxová čísla. Pokud jste přidali „když jsem mimo, kontaktujte mého nadřízeného, Joe Somebodyho“, pak jste právě odhalili svou strukturu hlášení a také svůj řetězec velení.
Sociální inženýři by tyto informace mohli použít pro scénáře útoku s předstíráním identity. Mohli by například zavolat na HR oddělení vaší společnosti a předstírat, že je vaším šéfem, a říct:
Tohle je Joe Somebody. Bill Smith je na výletě a potřebuji jeho ID zaměstnance a číslo sociálního zabezpečení, abych mohl opravit jeho firemní daňové formuláře.
Některá nastavení zpráv mimo kancelář vám umožňují omezit odpověď tak, aby byla doručena pouze členům vaší hostitelské e-mailové domény, ale většina lidí má klienty a zákazníky mimo hostitelskou doménu, takže tato funkce vyhrála nepomáhej jim.
Sečteno podtrženo
Místo toho, že budete někde jinde, řekněte, že budete „nedostupní“. Nedostupnost může znamenat, že jste stále ve městě nebo v kanceláři na školení. Pomáhá zabránit padouchům, aby věděli, kde skutečně jste.
Neposkytujte kontaktní údaje
Neposkytujte telefonní čísla ani e-maily. Řekněte jim, že budete sledovat svůj e-mailový účet, pokud by vás potřebovali kontaktovat.
Vyhněte se osobním údajům a odstraňte blokování podpisu
Nezapomeňte, že vaši automatickou odpověď mohou vidět úplně cizí lidé a možná i podvodníci a odesílatelé spamu. Pokud byste normálně tyto podpisové údaje nedali cizím lidem, nevkládejte je do automatické odpovědi.
