你永远不知道你在回复谁
所以,你正在出差。 你有机票,酒店预订,一切都很好。 只有一件事可做,那就是设置Outlook外出自动回复消息的时间,以便客户或同事通过电子邮件发送邮件时知道如何与你联系,或者知道他们可以联系谁在你不在的时候。
似乎有责任感要做,对吧? 错误! 外出自动答复可能是一个巨大的安全风险。
外出回复可能会向您在离开时发送电子邮件的任何人发送大量关于您的敏感数据。
这是一个常见的不在办公应答的例子:
“我将在6月1 - 7日那周在佛蒙特州伯灵顿的XYZ会议上离开办公室。如果您在此期间需要任何有关发票相关问题的帮助,请联系我的主管Joe Somebody,电话号码555-1212。如果您需要在我缺席的情况下联系我,您可以在555-1011处联系我。
比尔史密斯 - 运营副总裁 - Widget Corp
Smithb@widgetcorp.dom
555-7252"
虽然上面的信息是有帮助的,但它也可能是有害的,因为在上面的电子邮件中,通过几句简短的句子,他发现了一些关于他自己的非常有用的信息。 这些信息可能被犯罪分子用于社会工程攻击。
上面的示例外出回复提供给攻击者:
当前位置信息
揭示你的位置有助于攻击者知道你在哪里以及你不在哪里。 如果你说你在佛蒙特州,那么他们知道你不在弗吉尼亚州的家中。 这将是抢劫你的好时机。 如果你说你在XYZ会议上(就像比尔一样),那么他们知道在哪里寻找你。 他们也知道你不在你的办公室,并且他们可能能够进入你的办公室,说出类似这样的话:
“比尔告诉我拿起XYZ报告,他说这是在他的桌子上,你介意我是否在他的办公室弹出并抓住它。” 如果这个故事看似合理,一个忙碌的秘书可能会让一个陌生人进入比尔的办公室。
联系信息
Bill在外出回复中透露的联系信息可能会帮助骗子拼凑出身份盗用所需的元素。 他们现在有他的电子邮件地址,他的工作和手机号码,以及他的主管的联系信息。
当有人在打开自动回复的同时向Bill发送消息时,他的电子邮件服务器会将自动回复发送给他们,这实际上将Bill的电子邮件地址确认为有效的工作地址。 电子邮件垃圾邮件发送者喜欢得到确认他们的垃圾邮件达到了真正的活动目标。 Bill的地址现在可能会被添加到其他垃圾邮件列表中作为确认命中。
就业地点,职位,工作线路和指挥链
您的签名块通常会提供您的职位,您工作的公司名称(其中还会显示您的工作类型),您的电子邮件以及您的电话和传真号码。 如果您添加了“出门时请联系我的主管Joe Somebody”,那么您只需透露您的报告结构和指挥链。
社交工程师可以将这些信息用于模拟攻击场景。 例如,他们可以打电话给贵公司的人力资源部门假装是你的老板,并说“这是Joe Somebody。Bill Smith不在旅途中,我需要他的员工ID和社会安全号码,这样我才能纠正他的公司税表”
某些外出邮件设置允许您限制回复,以便只回复主机电子邮件域的成员,但大多数人的客户和客户不在主机域中,因此此功能对他们无效。
如何创建安全的外出自动回复消息?
故意含糊不清
不要说你会在别的地方,而是说你会“不可用”。 不可用可能意味着你仍然在城里或在办公室参加培训班。 它有助于让坏人不知道你到底在哪里。
不要提供联系信息
不要给出电话号码或电子邮件。 告诉他们,如果他们需要与您联系,您将会监控您的电子邮件帐户。
删除所有个人信息并删除您的签名块
请记住,完整的陌生人和可能的骗子和垃圾邮件发送者可能会看到您的自动回复。 如果您通常不会将这些信息提供给陌生人,请勿将其放入您的自动回复中。
给我的读者留个便条,下周我将在迪士尼乐园,但你可以通过信鸽(只是在开玩笑迪斯尼世界的一部分)与我联系。