Veliko strokovnjakov uporablja e-poštna sporočila s samodejnim odgovorom o odsotnosti, da obvestijo stranke in sodelavce o svoji odsotnosti ter zagotovijo kontaktne podatke, ko so odsotni.
Zdi se, da je to odgovorno početje, vendar ni nujno. Samodejni odgovori o odsotnosti so lahko veliko varnostno tveganje. Odgovori o odsotnosti lahko potencialno razkrijejo ogromno količino občutljivih podatkov o vas vsakomur, ki vam pošlje e-pošto, ko ste odsotni.
Primer pogostega odgovora o odsotnosti
Na konferenci XYZ v Burlingtonu v Vermontu med tednom od 1. do 7. junija ne bom v pisarni. Če v tem času potrebujete kakršno koli pomoč pri težavah, povezanih z računi, se obrnite na mojega nadrejenega Joea Somebodyja na 555-1212. Če me potrebujete med mojo odsotnostjo, me lahko pokličete na moj mobilni telefon 555-1011.
Bill Smith – podpredsednik operacij – Widget [email protected]
Čeprav je zgornje sporočilo nekaterim morda v pomoč, drugim razkriva ogromno potencialno občutljivih informacij. Kriminalci ali hekerji lahko te podatke uporabijo za napade socialnega inženiringa.
Zgornji primer odgovora o odsotnosti ponuja napadalcu:
Informacije o trenutni lokaciji
Razkritje vaše lokacije pomaga napadalcem, da vedo, kje ste. Če rečete, da ste v Vermontu, potem vedo, da niste doma v Virginiji. To bi bil odličen čas, da te oropamo. Če ste rekli, da ste bili na konferenci XYZ (kot je Bill), potem vedo, kje vas iščejo. Prav tako vedo, da niste v svoji pisarni in da se bodo morda lahko pogovorili v vaši pisarni in rekli nekaj takega:
"Bill mi je rekel, naj vzamem poročilo XYZ. Rekel je, da je na njegovi mizi. Imate kaj proti, če stopim v njegovo pisarno in ga vzamem?" Zaposlena tajnica bi lahko preprosto spustila neznanca v Billovo pisarno, če se zdi zgodba verjetna.
Podatki za stik
Podatki za stik, ki jih je razkril Bill, lahko goljufom pomagajo sestaviti elemente, potrebne za krajo identitete. Zdaj imajo njegov e-poštni naslov, njegovo službeno in mobilno številko ter kontaktne podatke njegovega nadrejenega.
Ko nekdo pošlje Billu sporočilo, medtem ko je njegov samodejni odgovor vklopljen, mu bo njegov e-poštni strežnik vrnil samodejni odgovor, ki potrdi, da je Billov e-poštni naslov veljaven. Pošiljatelji neželene e-pošte radi prejmejo potrditev, da je njihova neželena pošta dosegla cilj v živo. Billov naslov bo zdaj verjetno dodan na druge sezname vsiljene e-pošte kot potrjen zadetek.
Kraj zaposlitve, naziv delovnega mesta, področje dela in struktura poveljevanja
Vaš podpisni blok pogosto vsebuje naziv vašega delovnega mesta, ime podjetja, v katerem delate (ki razkriva tudi vrsto dela, ki ga opravljate), vaš e-poštni naslov ter telefonsko številko in številko faksa. Če ste dodali "medtem ko sem zunaj, se obrnite na mojega nadrejenega, Joe Somebody", potem ste pravkar razkrili svojo strukturo poročanja in svojo verigo poveljevanja.
Socialni inženirji bi lahko te informacije uporabili za scenarije napadov z lažnim predstavljanjem. Na primer, lahko pokličejo kadrovsko službo vašega podjetja in se pretvarjajo, da so vaš šef, in rečejo:
To je Joe Somebody. Bill Smith je na potovanju in potrebujem njegovo ID zaposlenega in številko socialnega zavarovanja, da lahko popravim davčne obrazce njegovega podjetja.
Nekatere nastavitve sporočil o odsotnosti vam omogočajo, da omejite odgovor, tako da gre samo članom vaše gostiteljske e-poštne domene, vendar ima večina ljudi stranke in stranke zunaj gostiteljske domene, zato je ta funkcija zmagala ne pomagaj jim.
Spodnja vrstica
Namesto da rečete, da boste nekje drugje, recite, da boste "nedosegljivi." Nedosegljiv lahko pomeni, da ste še vedno v mestu ali v pisarni na tečaju usposabljanja. Pomaga, da negativci ne vedo, kje ste v resnici.
Ne navedite kontaktnih podatkov
Ne izdajajte telefonskih številk ali e-pošte. Povejte jim, da boste spremljali svoj e-poštni račun, če bodo morali stopiti v stik z vami.
Izogibajte se osebnim podatkom in odstranite svoj podpisni blok
Ne pozabite, da lahko vaš samodejni odgovor vidijo popolni neznanci in morebiti prevaranti in pošiljatelji neželene pošte. Če teh podatkov o podpisu običajno ne bi posredovali neznancem, jih ne vnesite v svoj samodejni odgovor.
