Многие профессионалы используют сообщения электронной почты с автоматическим ответом вне офиса, чтобы информировать клиентов и коллег об их отсутствии и предоставлять контактную информацию, пока они отсутствуют.
Это кажется ответственным, но это не обязательно. Автоответы об отсутствии на рабочем месте могут представлять серьезную угрозу безопасности. Ответы об отсутствии на работе потенциально могут раскрыть огромное количество конфиденциальных данных о вас любому, кто отправит вам электронное письмо, пока вас нет.
Пример распространенного ответа об отсутствии на работе
Меня не будет в офисе на конференции XYZ в Берлингтоне, штат Вермонт, с 1 по 7 июня. Если в течение этого времени вам потребуется какая-либо помощь по вопросам, связанным со счетами, обратитесь к моему руководителю Джо Кто-нибудь по телефону 555-1212. Если вам нужно связаться со мной во время моего отсутствия, вы можете связаться со мной по мобильному телефону 555-1011.
Билл Смит - вице-президент по операциям - Widget [email protected]
Несмотря на то, что приведенное выше сообщение может быть полезным для некоторых, оно раскрывает массу потенциально конфиденциальной информации для других. Преступники или хакеры могут использовать эти данные для атак социальной инженерии.
Приведенный выше пример ответа об отсутствии на рабочем месте предоставляет злоумышленнику:
Информация о текущем местоположении
Раскрытие вашего местоположения помогает злоумышленникам узнать, где вы находитесь. Если вы говорите, что находитесь в Вермонте, то они знают, что вы не дома в Вирджинии. Это было бы прекрасное время, чтобы ограбить вас. Если вы сказали, что были на конференции XYZ (как это сделал Билл), то они знают, где вас искать. Они также знают, что вас нет в офисе, и что они могут заговорить с вами, говоря что-то вроде:
"Билл сказал мне забрать отчет XYZ. Он сказал, что он у него на столе. Не возражаете, если я заскочу к нему в кабинет и возьму его?" Занятая секретарша может просто впустить незнакомца в офис Билла, если история покажется правдоподобной.
Контактная информация
Контактная информация, которую раскрыл Билл, может помочь мошенникам собрать воедино элементы, необходимые для кражи личных данных. Теперь у них есть его адрес электронной почты, его рабочий и мобильный номера, а также контактная информация его руководителя.
Когда кто-то отправляет Биллу сообщение, когда его автоответчик включен, его сервер электронной почты отправит ему автоответ, подтверждающий, что адрес электронной почты Билла действителен. Электронные спамеры любят получать подтверждение того, что их спам достиг реальной цели. Адрес Билла, вероятно, теперь будет добавлен в другие списки спама как подтвержденное попадание.
Место работы, должность, направление работы и цепочка подчинения
В блоке подписи часто указывается ваша должность, название компании, в которой вы работаете (которое также показывает, какой тип работы вы выполняете), ваш адрес электронной почты, а также номера телефона и факса. Если вы добавили «пока меня нет, пожалуйста, свяжитесь с моим руководителем, Джо Кто-нибудь», то вы только что раскрыли свою структуру отчетности, а также свою цепочку подчинения.
Социальные инженеры могут использовать эту информацию для сценариев атак с использованием олицетворения. Например, они могут позвонить в отдел кадров вашей компании, представившись вашим начальником, и сказать:
Это Джо Кто-нибудь. Билл Смит в командировке, и мне нужны его идентификационный номер работника и номер социального страхования, чтобы я мог исправить его налоговые формы компании.
Некоторые настройки сообщений об отсутствии на работе позволяют ограничить ответ, чтобы он направлялся только членам домена электронной почты вашего хоста, но у большинства людей есть клиенты и клиенты за пределами домена хостинга, поэтому эта функция победила. им не помочь.
Итог
Вместо того, чтобы говорить, что вы будете где-то еще, скажите, что вы будете «недоступны». Недоступность может означать, что вы все еще находитесь в городе или в офисе и проходите курс обучения. Это помогает не дать плохим парням узнать, где вы на самом деле находитесь.
Не указывайте контактную информацию
Не сообщайте номера телефонов и адреса электронной почты. Скажите им, что вы будете следить за своей учетной записью электронной почты, если им понадобится связаться с вами.
Избегайте личной информации и удалите блок подписи
Помните, что ваш автоответ могут увидеть совершенно незнакомые люди и, возможно, мошенники и спамеры. Если вы обычно не даете эту информацию о подписи незнакомым людям, не добавляйте ее в свой автоответчик.
