Spousta profesionálů používá e-mailové zprávy s automatickou odpovědí mimo kancelář, aby informovala klienty a spolupracovníky o jejich nepřítomnosti a také poskytovala kontaktní informace, když jsou pryč. Zdá se, že je to zodpovědná věc, že? Ne nutně. Mimořádné automatické odpovědi mohou být velkým bezpečnostním rizikem. Odpovědi mimo kancelář mohou potenciálně odhalit obrovské množství citlivých údajů o vás každému, kdo vám náhodou pošle e-mail, když jste pryč.
Příklad běžné odpovědi mimo kancelář
Během týdne od 1. do 7. června budu mimo kancelář na konferenci XYZ ve Burlingtonu ve Vermontu. Pokud během této doby budete potřebovat pomoc s problémy souvisejícími s fakturací, kontaktujte prosím mého nadřízeného Joea Somebody na 555-1212. Pokud mě potřebujete zastihnout během mé nepřítomnosti, můžete mě zastihnout v mé cele na 555-1011.
Bill Smith – viceprezident pro operace – Widget [email protected]
I když výše uvedená zpráva může být pro některé užitečná, ostatním odhaluje množství potenciálně citlivých informací. Tyto informace mohou zločinci nebo hackeři použít k útokům sociálního inženýrství. Příklad výše uvedené odpovědi mimo kancelář poskytuje útočníkovi:
Informace o aktuální poloze
Odhalení vaší polohy pomůže útočníkům zjistit, kde jste. Pokud říkáte, že jste ve Vermontu, pak vědí, že nejste doma ve Virginii. To by byl skvělý čas, aby tě okradl. Pokud jste řekli, že jste na XYZ konference (jako to udělal Bill), pak vědí, kde vás hledat. Vědí také, že nejste ve své kanceláři a že by se mohli do vaší kanceláře promluvit slovy:
„Bill mi řekl, abych vyzvedl zprávu XYZ. Říkal, že je na jeho stole. Vadí ti, když v jeho kanceláři vyskočím a chytím ji?“ Zaneprázdněná sekretářka by mohla pustit cizince do Billovy kanceláře, pokud se zdá, že příběh je věrohodný.
Kontaktní informace
Kontaktní informace, které Bill odhalil, mohou podvodníkům pomoci dát dohromady prvky potřebné pro krádež identity. Nyní mají jeho e-mailovou adresu, jeho práci a čísla buněk a také kontaktní údaje jeho nadřízeného. Když někdo pošle Billovi zprávu, když je zapnutá jeho automatická odpověď, jeho e-mailový server mu pošle automatickou odpověď zpět, což ve skutečnosti potvrdí Billovu e-mailovou adresu jako platnou pracovní adresu. E-mailové spammeři rádi získávají potvrzení, že jejich spam dosáhl živého cíle. Billova adresa bude pravděpodobně nyní přidána do dalších seznamů spamů jako potvrzený zásah.
Místo zaměstnání, pracovní zařazení, linie práce a velení
Váš blok podpisu často obsahuje název vaší práce, název společnosti, pro kterou pracujete (což také odhaluje, jaký typ práce děláte), váš e-mail a vaše telefonní a faxové číslo. Pokud jste přidali „když jsem venku, obraťte se na mého nadřízeného, Joe Somebody“, pak jste právě odhalili svoji strukturu hlášení a také vaše velení. Sociální inženýři by mohli tyto informace použít pro scénáře útoku na zosobnění. Mohli například zavolat HR oddělení vaší společnosti a předstírat, že je vaším šéfem, a říct:
To je Joe Někdo. Bill Smith je na cestě a potřebuji jeho ID zaměstnance a číslo sociálního zabezpečení, abych mohl opravit jeho daňové formuláře společnosti.
Některá nastavení zpráv mimo kancelář vám umožňují omezit odpověď tak, aby šla pouze členům vaší e-mailové domény hostitele, ale většina lidí má klienty a zákazníky mimo hostitelskou doménu, takže jim tato funkce nepomůže.
Vytvořte bezpečnější zprávu s automatickou odpovědí mimo kancelář
Místo toho, abyste řekli, že budete někde jinde, řekněte, že budete „nedostupní“. Nedostupné by mohlo znamenat, že jste stále ve městě nebo v kanceláři při školení. Pomáhá zabránit padouchům vědět, kde ve skutečnosti jste.
Neposkytujte kontaktní informace
Neuvádějte telefonní čísla ani e-maily. Řekněte jim, že budete sledovat svůj e-mailový účet, pokud vás bude potřebovat kontaktovat.
Vyvarujte se osobních údajů a odeberte svůj podpisový blok
Pamatujte, že vaši automatickou odpověď mohou vidět úplně cizí lidé a možná podvodníci a spameri. Pokud byste za normálních okolností nedali tyto informace o podpisu cizím lidem, nedávejte je do automatické odpovědi.