Sie gehen also auf Geschäftsreise. Sie haben Ihre Flugtickets, Hotelreservierungen und alles ist gut zu gehen. Jetzt müssen Sie nur noch Ihre Outlook-Abwesenheitsnachricht mit automatischer Antwort einstellen, sodass Kunden oder Kollegen per E-Mail wissen, wie Sie während Ihrer Abwesenheit mit Ihnen in Kontakt treten können, oder mit wem sie Kontakt aufnehmen können Ihre Abwesenheit.
Scheint wie die verantwortliche Sache zu tun, richtig? Falsch. Automatische Antworten auf Abwesenheit können ein großes Sicherheitsrisiko darstellen.
Abwesenheitsantworten können potenziellen Personen, die Ihnen während Ihrer Abwesenheit eine E-Mail senden, eine riesige Menge sensibler Daten über Sie preisgeben.
Beispiel für eine gewöhnliche Abwesenheitsantwort
Ich werde während der Woche vom 1. bis 7. Juni auf der XYZ-Konferenz in Burlington Vermont sein Büro verlassen. Wenn Sie in dieser Zeit Hilfe zu Fragen im Zusammenhang mit Rechnungen benötigen, wenden Sie sich bitte an meinen Vorgesetzten, Joe Somebody, um 555-1212. Wenn Sie mich während meiner Abwesenheit erreichen müssen, können Sie mich unter 555-1011 auf meiner Zelle erreichen. Bill Smith - VP of Operations - Widget [email protected]Obwohl die obige Nachricht hilfreich ist, kann sie auch schädlich sein, da die Person in der obigen E-Mail in ein paar kurzen Sätzen einige äußerst nützliche Informationen über sich selbst enthielt. Diese Informationen könnten von Kriminellen für Social-Engineering-Angriffe verwendet werden.
Die obige Abwesenheitsantwort oben zeigt einem Angreifer Folgendes:
Informationen zum aktuellen Standort
Wenn Sie Ihren Standort preisgeben, können Angreifer wissen, wo Sie sich befinden und wo Sie sich nicht befinden. Wenn Sie sagen, dass Sie in Vermont sind, wissen sie, dass Sie in Virginia nicht zu Hause sind. Dies wäre eine großartige Zeit, dich auszurauben. Wenn Sie sagten, Sie wären im XYZ Konferenz (wie Bill tat), dann wissen sie, wo Sie suchen müssen. Sie wissen auch, dass Sie nicht in Ihrem Büro sind und dass sie in der Lage sein könnten, in Ihr Büro zu gelangen und Folgendes zu sagen:
Kontaktinformation
Die Kontaktinformationen, die Bill in seiner Abwesenheitsantwort enthielt, könnten den Betrügern dabei helfen, Elemente zusammenzustellen, die für Identitätsdiebstahl benötigt werden. Sie haben jetzt seine E-Mail-Adresse, seine Arbeits- und Zellennummern sowie die Kontaktinformationen seines Vorgesetzten.
Wenn jemand Bill eine Nachricht sendet, während seine automatische Antwort aktiviert ist, sendet sein E-Mail-Server die automatische Antwort an sie zurück, wodurch Bills E-Mail-Adresse als gültige Arbeitsadresse bestätigt wird. E-Mail-Spammer lieben es, bestätigt zu werden, dass ihr Spam ein echtes Live-Ziel erreicht hat. Bills Adresse wird nun wahrscheinlich als bestätigter Treffer zu anderen Spam-Listen hinzugefügt.
Dienstort, Berufsbezeichnung, Arbeitskette und Befehlskette
Ihr Signaturblock enthält häufig Ihre Berufsbezeichnung, den Namen der Firma, für die Sie arbeiten (was auch die Art Ihrer Arbeit anzeigt), Ihre E-Mail-Adresse sowie Ihre Telefon- und Faxnummern. Wenn Sie hinzugefügt haben, "während ich unterwegs bin, wenden Sie sich bitte an meinen Vorgesetzten, Joe Somebody", haben Sie Ihre Berichtsstruktur und Ihre Befehlskette ebenfalls enthüllt.
Social Engineers könnten diese Informationen für Szenarien mit Identitätswechselangriffen verwenden. Sie könnten beispielsweise die Personalabteilung Ihres Unternehmens anrufen, die vorgibt, Ihr Chef zu sein, und folgendes sagen:
Das ist Joe Jemand. Bill Smith ist auf Reisen und ich brauche seine Mitarbeiter-ID und Sozialversicherungsnummer, damit ich seine Steuerformulare korrigieren kann.Bei einigen Abwesenheitsnachrichten-Setups können Sie die Antwort einschränken, sodass nur Mitglieder Ihrer Host-E-Mail-Domäne gesendet werden. Die meisten Benutzer haben jedoch Kunden und Kunden außerhalb der Hosting-Domäne, sodass diese Funktion ihnen nicht helfen kann.
Erstellen Sie eine sicherere automatische Antwortnachricht für Abwesenheit
Anstatt zu sagen, dass Sie woanders sein werden, sagen Sie, dass Sie "nicht verfügbar" sein werden. Nicht verfügbar kann bedeuten, dass Sie sich noch in der Stadt oder im Büro befinden und eine Schulung absolvieren. Es hilft, die Bösen davon abzuhalten, zu wissen, wo Sie wirklich sind.
Geben Sie keine Kontaktinformationen an
Geben Sie keine Telefonnummern oder E-Mails aus. Sagen Sie ihnen, dass Sie Ihr E-Mail-Konto überwachen, falls sie Kontakt mit Ihnen aufnehmen müssen.
Vermeiden Sie persönliche Informationen und entfernen Sie Ihren Signaturblock
Denken Sie daran, dass vollständige Fremde und möglicherweise Betrüger und Spammer Ihre automatische Antwort sehen können. Wenn Sie diese Signaturinformationen normalerweise nicht an Fremde weitergeben, geben Sie sie nicht in Ihre automatische Antwort ein.
