Никога не знаеш на кого отговаряш
Така че сте се отправили на бизнес пътуване. Имате самолетни билети, хотелски резервации и всичко е наред. Само едно нещо, което трябва да направите, е време да настроите съобщението "Автоматично отговор на изчакване извън офиса", така че клиентите или колегите ви да изпращат електронна поща, ще знаете как да се свързвате с вас, докато сте далеч или ще знаете кой може да се свърже по време на Вашето отсъствие.
Изглежда като отговорното нещо, нали? Грешка! Автоматичните отговори "извън офиса" могат да представляват огромен риск за сигурността.
Отговорите извън офиса могат потенциално да разкрият огромно количество чувствителни данни за вас на всеки, който се случва да ви изпраща електронна поща, докато сте далеч.
Ето един пример за общ отговор извън офиса:
"Ще изляза от кабинета на конференцията XYZ в Бърлингтън Върмонт през седмицата от 1 до 7 юни. Ако имате нужда от помощ по въпросите, свързани с фактурите през това време, моля свържете се с моя ръководител, Joe Somebody в 555-1212. Ако трябва да се свържете с мен по време на моето отсъствие, можете да се свържете с мен на моята килия на 555-1011.
Бил Смит - вицепрезидент на операциите - Widget Corp
Smithb@widgetcorp.dom
555-7252 "
Макар че посланието по-горе е полезно, то може да бъде и вредно, защото в няколко кратки изречения човекът в имейла по-горе разкри някаква невероятно полезна информация за себе си. Тази информация може да бъде използвана от престъпниците за атаки в социалното инженерство.
Примерният отговорен отговор извън офиса предоставя на атакуващия:
Текуща информация за местоположението
Разкриването на вашето местоположение подпомага атакуващите да знаят къде сте и къде не сте. Ако кажете, че сте във Върмонт, те знаят, че не сте във вашия дом във Вирджиния. Това би било чудесно време да те ограбим. Ако казахте, че сте на конференцията XYZ (както направи Бил), тогава те знаят къде да ви търсят. Те също така знаят, че не сте в офиса си и че те биха могли да говорят в офиса ви, като кажат нещо като:
- Бил ми каза да вдигна доклада на XYZ и каза, че е на бюрото му. Един зает секретар може просто да остави непознат в кабинета на Бил, ако историята изглежда правдоподобна.
Информация за връзка
Информацията за контакт, която Бил разкри в отговора си, може да помогне на измамника да събере заедно елементи, необходими за кражба на самоличност. Те вече имат своя имейл адрес, неговата работа и номера на клетките, както и информацията за контакт с неговия надзорен орган.
Когато някой изпрати съобщение на Бил, докато неговият автоматичен отговор е включен, неговият сървър за електронна поща ще изпрати на него автоматично съобщение, което всъщност потвърждава имейл адреса на Бил като валиден работен адрес. Електронна поща Спамерите обичат да получават потвърждение, че техният спам достига истинска жива цел. Адресът на Бил вероятно ще бъде добавен към други спам списъци като потвърден хит.
Място на заетост, длъжност, ред на работа и вериги на командване
Вашият подпис блок често дава заглавието на длъжността, името на фирмата, за която работите (което също разкрива какъв вид работа вършите), електронната ви поща, номера на вашия телефон и факс. Ако сте добавили "докато не излизам, моля свържете се с моя ръководител, Joe Somebody", след което току-що разкрихте структурата си на докладване и вашата верига на командване.
Социалните инженери могат да използват тази информация за сценарии за нападение срещу представяне под чужда самоличност. Например, те биха могли да се обадят на отдел "Човешки ресурси" на фирмата, който се преструва, че е ваш шеф и да каже: "Това е Джо Някой. Бил Смит е на път и има нужда от неговия Служителски номер и Социалноосигурителен номер, за да мога да коригирам данъчните му форми"
Някои настройки на съобщенията извън офиса ви позволяват да ограничите отговора, така че да отива само на членове на домейна ви за електронна поща, но повечето хора имат клиенти и клиенти извън хостинг домейна, така че тази функция няма да им помогне.
Как бихте могли да създадете по-безопасно съобщение за автоматичен отговор извън офиса?
Намерете намекнато неясно
Вместо да казвате, че ще сте някъде другаде, кажете, че ще бъдете "недостъпни". Невъзможно би могло да означава, че все още сте в града или в офиса, взимайки тренировъчен клас. Той помага на лошите да не знаят къде сте наистина.
Не предоставяйте информация за връзка
Не давайте телефонни номера или имейли. Кажете им, че ще следите вашата електронна поща, ако те трябва да се свържат с вас.
Оставете цялата лична информация и премахнете вашия подпис блок
Не забравяйте, че пълните непознати и евентуално измамници и спамерите може да видят вашия автоматичен отговор. Ако обикновено не бихте дали тази информация на непознати, не я поставяйте в автоматичния отговор.
Само забележка към моите читатели, аз ще бъда в Disney World през следващата седмица, но можете да се свържете с мен с превозвач гълъб (просто се шегувам за частта на Дисни света).