Soha nem tudja, kihez válaszol
Szóval, egy üzleti útra indulsz. Megvan a repülőjegyed, a szállodai foglalások, és minden jó. Csak egy dolog van hátra, itt az ideje beállítani az Outlook Out-of-Office automatikus válaszüzenetét úgy, hogy az ügyfelek vagy munkatársak e-mailben tudják, mikor lépjen kapcsolatba Önnel, amíg távol vagy, távollétében.
Úgy tűnik, a felelős dolog, ugye? Rossz! A hivatalon kívüli automatikus válaszok óriási biztonsági kockázatot jelenthetnek.
A hivatalon kívüli válaszok potenciálisan rengeteg érzékeny adatot fedezhetnek fel Önről bárkinek, aki esetleg e-mailben van, amíg távol vagy.
Itt van egy példa a közös irodai válaszra:
"A Burlington Vermonton tartandó XYZ konferencián az 1-7. Júniusi héten leszek az irodában. Ha bármikor segítségre van szüksége a számlázással kapcsolatos kérdésekben, kérjük, lépjen kapcsolatba az én felügyelőmmel, Joe Somebody-nel az 555-1212-es számon. Ha távollétem alatt el kell érnie, az 555-1011-es számra érhet el.
Bill Smith - Operations VP - Widget Corp.
Smithb@widgetcorp.dom
555-7252"
Bár a fenti üzenet hasznos, ez is káros lehet, mert néhány rövid mondatban az e-mailben szereplő személy felfedte néhány hihetetlenül hasznos információt magáról. Ezt az információt felhasználhatják a bűnözők a szociális tervezési támadásokhoz.
A példa az irodán kívüli válasz fölött egy támadót nyújt:
Az aktuális tartózkodási hely adatai
A tartózkodási helyének feltárása segíti a támadókat abban, hogy tudják, hol vagy, és hol nem vagy. Ha azt mondod, hogy Vermontban vagy, akkor tudják, hogy nem vagy otthon Virginiaban. Ez nagyszerű alkalom, hogy elraboljon. Ha azt mondtad, hogy az XYZ konferencián voltál (ahogy Bill is), akkor tudják, hogy hol keressenek. Azt is tudják, hogy nem vagy az irodájában, és hogy képesek lehetnek beszélgetni az irodájukba, mondván valami ilyesmit:
- Bill azt mondta, hogy vegye fel az XYZ-jelentést, azt mondta, az íróasztalán van, nem bánja, ha felugrik az irodájába, és megragadom. A forgalmas titkár csak hagyja az idegenet Bill irodájába, ha a történet elfogadhatónak tűnik.
Elérhetőség
A Bill által az ügyeleten kívüli válaszban feltárt kapcsolattartási adatok segíthetnek a csalóknak a személyazonosság-lopáshoz szükséges elemek összeszerelésében. Most rendelkeznek e-mail címével, a munkájával és a cella számával, valamint az ő felügyelője elérhetőségével.
Ha valaki üzenetet küld Billnek, amikor az automatikus válasz be van kapcsolva, az e-mail szervere visszaküldi az automatikus válaszokat, amely érvényteleníti Bill e-mail címét érvényes munkaként. Az e-mailek Spammerek szeretik megkapni a megerősítést arról, hogy spamük valós élő célt ért el. Bill címét valószínűleg mostantól más spamlistákhoz is hozzáadják megerősített találatként.
Foglalkoztatási hely, munkaköri cím, munkamegosztás és irányítási lánc
Aláírási blokkja gyakran megadja a munkakört, a vállalat nevét (amely feltünteti, hogy milyen típusú munkát végez), e-mailjeit, valamint telefon- és faxszámát. Ha hozzáfűzte, hogy "amíg kint vagyok, forduljon a felügyelőhöz, Joe valakihez", akkor csak feltárta jelentési struktúráját és parancsnoki láncát.
A szociális mérnökök ezt az információt felhasználhatják a megszemélyesítési támadási forgatókönyvekhez. Például felhívhatnák a vállalat HR részlegét, hogy úgy tesz, mintha a főnöke lenne, és azt mondaná: "Ez Joe Joe .. Bill Smith le van állva, és szükségem van az alkalmazotti azonosítójára és a társadalombiztosítási számra,
Néhány Office-ban beállított üzenettovábbítás lehetővé teszi, hogy korlátozza a választ úgy, hogy csak a fogadó e-mail domain tagjaira menjen, de a legtöbb embernek ügyfelei és ügyfelei vannak a tárhelyen kívül, így ez a szolgáltatás nem segít nekik.
Hogyan lehet létrehozni egy biztonságosabb off-of-office automatikus válaszüzenet?
Legyen szándékosan homályos
Ahelyett, hogy azt mondaná, hogy valahol máshol leszel, azt mondod, hogy "nem érhető el". Nem érhető el, hogy még mindig a városban vagy az irodában tartózkodik egy képzési osztályban. Segít megőrizni a rosszfiúkat abban, hogy tudják, hol vagy valójában.
Ne adjon meg kapcsolati adatokat
Ne adjon ki telefonszámokat vagy e-maileket. Mondja meg nekik, hogy figyelni fogja az e-mail fiókját, ha kapcsolatba kell lépnie veled.
Hagyja ki az összes személyes adatot, és távolítsa el aláírási blokkját
Ne feledje, hogy a teljes idegenek és esetleg csalók és spammerek láthatják az automatikus válaszadást. Ha ezt az információt nem küldi idegeneknek, ne tegye azt az automatikus válaszadásba.
Csak egy megjegyzés az olvasóimnak, a jövő héten a Disney World-ben leszek, de hordozó galambhoz érhetsz (csak viccelsz a Disney World részéről).