Masser af fagfolk bruger automatiske e-mail-beskeder fra kontoret til at informere kunder og kolleger om deres fravær og give kontaktoplysninger, mens de er væk.
Det virker som den ansvarlige ting at gøre, men det er det ikke nødvendigvis. Ude af kontoret automatiske svar kan være en stor sikkerhedsrisiko. Ikke til stede svar kan potentielt afsløre en enorm mængde følsomme data om dig til alle, der tilfældigvis sender dig en e-mail, mens du er væk.
Eksempel på et almindeligt svar uden for kontoret
Jeg vil være ude af kontoret ved XYZ-konferencen i Burlington, Vermont, i ugen den 1.-7. juni. Hvis du har brug for hjælp med fakturarelaterede problemer i denne periode, bedes du kontakte min supervisor, Joe Somebody på 555-1212. Hvis du har brug for at nå mig under mit fravær, kan du kontakte mig på min celle på 555-1011.
Bill Smith - VP of Operations - Widget [email protected]
Selv om ovenstående besked kan være nyttig for nogle, afslører den et væld af potentielt følsomme oplysninger til andre. Kriminelle eller hackere kan bruge disse data til social engineering-angreb.
Eksemplet på fraværsvar ovenfor giver en angriber:
Oplysninger om aktuelle placering
At afsløre din placering hjælper angribere med at vide, hvor du er. Hvis du siger, du er i Vermont, så ved de, at du ikke er hjemme i Virginia. Dette ville være et godt tidspunkt at røve dig. Hvis du sagde, at du var til XYZ-konferencen (som Bill gjorde), så ved de, hvor de skal lede efter dig. De ved også, at du ikke er på dit kontor, og at de måske kan tale sig ind på dit kontor og sige noget som:
"Bill bad mig hente XYZ-rapporten. Han sagde, at den lå på hans skrivebord. Har du noget imod, hvis jeg går ind på hans kontor og tager den?" En travl sekretær lukker måske bare en fremmed ind på Bills kontor, hvis historien virker plausibel.
Kontaktoplysninger
Kontaktoplysningerne, som Bill afslørede, kan hjælpe svindlere med at sammensætte de nødvendige elementer til identitetstyveri. De har nu også hans e-mail-adresse, hans arbejde og mobilnumre og hans vejleders kontaktoplysninger.
Når nogen sender Bill en besked, mens hans autosvar er slået til, vil hans e-mail-server sende autosvaret tilbage til dem, som bekræfter Bills e-mailadresse som gyldig. E-mailspammere elsker at få bekræftet, at deres spam nåede et live-mål. Bills adresse vil sandsynligvis nu blive føjet til andre spamlister som et bekræftet hit.
Ansættelsessted, stillingsbetegnelse, arbejdslinje og kommandovej
Din signaturblok indeholder ofte din jobtitel, navnet på den virksomhed, du arbejder for (som også afslører, hvilken type arbejde du udfører), din e-mail og dine telefon- og faxnumre. Hvis du tilføjede "mens jeg er ude, kontakt venligst min supervisor, Joe Somebody", så har du lige afsløret din rapporteringsstruktur og din kommandovej.
Sociale ingeniører kunne bruge disse oplysninger til scenarier med efterligning af angreb. For eksempel kunne de ringe til din virksomheds HR-afdeling og udgive sig for at være din chef og sige:
Dette er Joe Somebody. Bill Smith er på tur, og jeg har brug for hans medarbejder-id og cpr-nummer, så jeg kan rette hans selskabsskatteformularer.
Nogle opsætninger af ikke-til-kontormeddelelser giver dig mulighed for at begrænse svaret, så det kun går til medlemmer af dit værts-e-mail-domæne, men de fleste mennesker har klienter og kunder uden for hostingdomænet, så denne funktion vandt ikke hjælpe dem.
Bundlinje
I stedet for at sige, at du vil være et andet sted, så sig, at du vil være "utilgængelig". Utilgængelig kan betyde, at du stadig er i byen eller på kontoret og tager en træningstime. Det hjælper med at forhindre de onde i at vide, hvor du virkelig er.
Oplys ikke kontaktoplysninger
Opgiv ikke telefonnumre eller e-mails. Fortæl dem, at du vil overvåge din e-mail-konto, hvis de skulle kontakte dig.
Undgå personlige oplysninger og fjern din signaturblok
Husk, at fuldstændig fremmede og muligvis svindlere og spammere kan se dit autosvar. Hvis du norm alt ikke ville give denne signaturoplysninger til fremmede, skal du ikke indsætte dem i dit autosvar.
