Mange fagfolk bruker automatiske e-postmeldinger som ikke er til stede for å informere kunder og kolleger om deres fravær og gi kontaktinformasjon mens de er borte.
Det virker som den ansvarlige tingen å gjøre, men det er det ikke nødvendigvis. Ikke-tilstedeværende automatiske svar kan være en stor sikkerhetsrisiko. Ikke-tilstedeværende svar kan potensielt avsløre en enorm mengde sensitive data om deg til alle som tilfeldigvis sender deg e-post mens du er borte.
Eksempel på et vanlig utesvar
Jeg vil være ute av kontoret på XYZ-konferansen i Burlington, Vermont, i uken 1.-7. juni. Hvis du trenger hjelp med fakturarelaterte problemer i løpet av denne tiden, vennligst kontakt min veileder, Joe Somebody på 555-1212. Hvis du trenger å nå meg under mitt fravær, kan du nå meg på mobilen min på 555-1011.
Bill Smith - VP of Operations - Widget [email protected]
Selv om meldingen ovenfor kan være nyttig for noen, avslører den et vell av potensielt sensitiv informasjon til andre. Kriminelle eller hackere kan bruke disse dataene til sosiale ingeniørangrep.
Eksemplet på fraværssvar ovenfor gir en angriper:
Gjeldende stedsinformasjon
Avsløring av posisjonen din hjelper angripere med å vite hvor du er. Hvis du sier at du er i Vermont, så vet de at du ikke er hjemme i Virginia. Dette ville være et flott tidspunkt å rane deg. Hvis du sa at du var på XYZ-konferansen (som Bill gjorde), så vet de hvor de skal lete etter deg. De vet også at du ikke er på kontoret ditt, og at de kanskje kan snakke seg inn på kontoret ditt og si noe sånt som:
"Bill ba meg hente XYZ-rapporten. Han sa at den lå på skrivebordet hans. Har du noe imot at jeg går inn på kontoret hans og tar den?" En travel sekretær kan bare slippe en fremmed inn på Bills kontor hvis historien virker plausibel.
Kontaktinformasjon
Kontaktinformasjonen som Bill avslørte, kan hjelpe svindlere med å sette sammen elementer som trengs for identitetstyveri. De har nå e-postadressen hans, arbeids- og mobilnumrene hans, og veilederens kontaktinformasjon også.
Når noen sender Bill en melding mens autosvaret hans er slått på, vil e-postserveren hans sende autosvaret tilbake til dem, som bekrefter Bills e-postadresse som gyldig. E-post Spammere elsker å få bekreftelse på at søppelposten deres nådde et live-mål. Bills adresse vil sannsynligvis nå bli lagt til andre søppelpostlister som et bekreftet treff.
Ansettelsessted, stillingstittel, arbeidslinje og kommandokjede
Signaturblokken din gir ofte stillingstittelen din, navnet på selskapet du jobber for (som også avslører hva slags arbeid du gjør), e-posten din og telefon- og faksnumrene dine. Hvis du la til «mens jeg er ute, vennligst kontakt min veileder, Joe Somebody», avslørte du nettopp rapporteringsstrukturen din og kommandokjeden din også.
Sosiale ingeniører kan bruke denne informasjonen til scenarier med etterligningsangrep. De kan for eksempel ringe bedriftens HR-avdeling og utgi seg for å være sjefen din og si:
Dette er Joe Somebody. Bill Smith er på tur, og jeg trenger hans medarbeider-ID og personnummer slik at jeg kan rette opp skatteskjemaene hans.
Noen oppsett for ikke-på-kontoret-meldinger lar deg begrense svaret slik at det bare går til medlemmer av vertens e-postdomene, men de fleste har klienter og kunder utenfor vertsdomenet, så denne funksjonen vant ikke hjelpe dem.
bunnlinjen
I stedet for å si at du vil være et annet sted, si at du vil være "utilgjengelig." Utilgjengelig kan bety at du fortsatt er i byen eller på kontoret og tar en treningstime. Det bidrar til å forhindre at de slemme gutta vet hvor du egentlig er.
Ikke oppgi kontaktinformasjon
Ikke gi ut telefonnumre eller e-poster. Fortell dem at du vil overvåke e-postkontoen din hvis de trenger å kontakte deg.
Unngå personlig informasjon og fjern signaturblokken din
Husk at fullstendig fremmede og muligens svindlere og spammere kan se autosvaret ditt. Hvis du vanligvis ikke vil gi denne signaturinformasjonen til fremmede, ikke legg den inn i autosvaret ditt.