所以,你出差了。你有机票,酒店预订,一切都很好。只剩下一件事,是时候设置你的Outlook外出自动回复消息,以便通过电子邮件发送给你的客户或同事知道如何在你离开时联系你,或者知道他们可以联系谁你的缺席。
好像负责任的事情要做,对吗?错误。外出自动回复可能是一个巨大的安全风险。
外出回复可能会向您在离开时向您发送电子邮件的任何人泄露大量有关您的敏感数据。
常见的外出回复示例
6月1日至7日这一周,我将离开位于佛蒙特州伯灵顿的XYZ会议。如果您在此期间需要任何有关发票相关问题的帮助,请联系我的主管Joe Somebody,电话:555-1212。如果你需要在我不在的时候联系我,你可以在555-1011与我联系。 Bill Smith - 运营副总裁 - Widget [email protected]虽然上面的信息很有用,但它也可能有害,因为在几句短句中,上面的电子邮件中的人透露了一些关于他自己的非常有用的信息。犯罪分子可以利用这些信息进行社会工程攻击。
上面的示例外出回复为攻击者提供:
当前位置信息
显示您的位置有助于攻击者了解您的位置以及您不在的位置。如果你说你在佛蒙特州,那么他们就知道你不在弗吉尼亚州的家中。这将是抢劫你的好时机。如果你说你在 XYZ 会议(如比尔所做的那样),然后他们知道在哪里找你。他们也知道你不在你的办公室里,而且他们可能会以自己的方式进入你的办公室,说:
联系信息
Bill在他的外出回复中透露的联系信息可能有助于诈骗者将身份盗窃所需的元素拼凑在一起。他们现在有他的电子邮件地址,他的工作和手机号码,以及他的主管的联系信息。
当有人在打开自动回复时向Bill发送消息时,他的电子邮件服务器会将自动回复发送给他们,这实际上会将Bill的电子邮件地址确认为有效的工作地址。电子邮件垃圾邮件发送者喜欢确认他们的垃圾邮件是真实的目标。比尔的地址现在可能会被添加到其他垃圾邮件列表中作为确认命中。
就业地点,职称,工作线和指挥系统
您的签名栏通常会提供您的职位,您所在公司的名称(也会显示您的工作类型),电子邮件以及您的电话和传真号码。如果您添加“当我出去的时候,请联系我的主管Joe Somebody”然后您刚刚透露了您的报告结构和您的指挥链。
社交工程师可以将此信息用于模拟攻击场景。例如,他们可以打电话给贵公司的人力资源部门,假装自己是老板,并说:
这是Joe Somebody。比尔史密斯不在旅行,我需要他的员工ID和社会安全号码,所以我可以纠正他的公司税表。一些外出消息设置允许您限制回复,以便它只发送到主机电子邮件域的成员,但大多数人在托管域之外有客户端和客户,因此此功能对他们没有帮助。
创建更安全的外出自动回复消息
而不是说你会在别的地方,说你将“不可用”。不可用意味着您仍然在城里或办公室参加培训课程。它有助于防止坏人知道你到底在哪里。
不提供联系信息
不要发出电话号码或电子邮件。告诉他们,如果他们需要与您联系,您将监控您的电子邮件帐户。
避免个人信息并删除您的签名块
请记住,完全陌生人,可能是诈骗者和垃圾邮件发送者可能会看到您的自动回复。如果您通常不会将此签名信息提供给陌生人,请不要将其放入自动回复中。
