Monet ammattilaiset käyttävät automaattista vastaussähköpostia ilmoittaakseen asiakkaille ja kollegoille heidän poissaolostaan ja antaakseen yhteystiedot heidän ollessaan poissa. Vaikuttaa vastuulliselta tehtävältä, mutta se ei välttämättä ole sitä. Automaattiset poissaolovastaukset voivat olla suuri turvallisuusriski. Poissaolovastaukset voivat mahdollisesti paljastaa valtavan määrän arkaluontoisia tietoja sinusta kaikille, jotka satut lähettämään sähköpostia ollessasi poissa.
Esimerkki yleisestä poissaolovastauksesta
Olen poissa toimistosta XYZ-konferenssin aikana Burlingtonissa, Vermontissa, viikolla 1.-7. kesäkuuta. Jos tarvitset apua laskutukseen liittyvissä ongelmissa tänä aikana, ota yhteyttä esimieheni Joe Somebodyyn numeroon 555-1212. Jos haluat tavoittaa minut poissa ollessani, voit tavoittaa minut matkapuhelimellani numerosta 555-1011.
Bill Smith – VP Operations – Widget [email protected]
Vaikka yllä oleva viesti voi olla hyödyllinen joillekin, se paljastaa runsaasti mahdollisesti arkaluontoista tietoa toisille. Rikolliset tai hakkerit voivat käyttää näitä tietoja manipulointihyökkäyksiä varten. Yllä oleva esimerkki poissaolovastauksesta tarjoaa hyökkääjän:
Nykyiset sijaintitiedot
Kun paljastat sijaintisi, hyökkääjät voivat tietää missä olet. Jos sanot olevasi Vermontissa, he tietävät, että et ole kotonasi Virginiassa. Nyt olisi hyvä aika ryöstää sinut. Jos sanoit olevasi klo XYZ konferenssissa (kuten Bill teki), niin he tietävät, mistä sinua etsiä. He tietävät myös, että et ole toimistossasi, ja he saattavat pystyä puhumaan toimistoosi sanomalla jotain:
«Bill käski minun hakea XYZ-raporttia. Hän sanoi, että se oli hänen pöydällään. Haittaako sinua, jos tulen hänen luokseen ja haen puvun? Kiireinen sihteeri saattaa päästää tuntemattoman Billin toimistoon, jos tarina vaikuttaa uskottavalta.
Yhteystiedot
Billin paljastamat yhteystiedot voivat auttaa huijareita kokoamaan identiteettivarkauksiin tarvittavia elementtejä. Heillä on nyt hänen sähköpostiosoitteensa, työ- ja matkapuhelinnumeronsa sekä esimiehensä yhteystiedot. Kun joku lähettää Billille viestin, jossa hänen automaattinen vastaus on käytössä, hänen sähköpostipalvelimensa palauttaa hänelle automaattisen vastauksen ja vahvistaa, että Billin sähköpostiosoite on kelvollinen. Sähköpostiroskapostittajat haluavat saada vahvistuksen siitä, että heidän roskapostinsa on saavuttanut reaaliaikaisen tavoitteensa. Billin osoite lisätään nyt todennäköisesti muille roskapostilistoille vahvistettuna osumana.
Työpaikka, tehtävänimike, työlinja ja komentoketju
Allekirjoituslohko sisältää usein työnimikkeesi, työskentelevän yrityksen nimen (josta näkyy myös, millaista työtä teet), sähköpostiosoitteesi sekä puhelin- ja faksinumerosi. Jos lisäsit «kun olen poissa, ota yhteyttä esimieheeni Joe Somebody», niin paljastit juuri raportointirakenteensi ja komentoketjusi. Yhteiskunnalliset suunnittelijat voivat käyttää näitä tietoja toisena henkilönä esiintymishyökkäysskenaarioissa. He voivat esimerkiksi soittaa yrityksesi henkilöstöosastolle ja teeskennellä pomosi ja sanoa:
Tämä on Joe Someone. Bill Smith matkustaa ja tarvitsen hänen työntekijätunnuksensa ja sosiaaliturvatunnuksensa, jotta voin korjata hänen yritysverolomakkeensa.
Joidenkin poissaoloasetusten avulla voit rajoittaa vastauksen lähettämään vain isäntäsähköpostiverkkotunnuksesi jäseniä, mutta useimmilla ihmisillä on asiakkaita isännöintialueen ulkopuolella, joten tämä ominaisuus ei auta heitä.
Luo turvallisempi poissaolovastaus
Sen sijaan, että sanoisit olevasi jossain muualla, sano, että et ole tavoitettavissa. Ei saatavilla voi tarkoittaa, että käyt edelleen koulutusta kaupungissa tai toimistossa. Se estää pahiksia tietämästä missä todella olet.
Älä anna yhteystietoja
Älä anna puhelinnumeroita tai sähköpostiosoitteita. Pyydä heitä pitämään silmällä sähköpostitiliäsi, jos heidän on otettava sinuun yhteyttä.
Vältä henkilökohtaisia tietoja ja poista allekirjoituksesi
Muista, että täysin tuntemattomat henkilöt ja mahdollisesti huijarit ja roskapostittajat voivat nähdä automaattisen vastauksesi. Jos et tavallisesti antaisi näitä allekirjoitustietoja tuntemattomille, älä laita niitä automaattiseen vastaukseesi.